Non ripudio che non può mai essere provato

1

Comprendo che il non ripudio è basato sulla crittografia a chiave pubblica e sul principio che solo il mittente conosce la propria chiave privata. Tuttavia, qual è una condizione, se esiste, di non ripudio che non può mai essere provata attraverso l'analisi digitale? Questa analisi digitale includerebbe l'ispezione del messaggio e dei registri. Presumo che "I was hacked" non funzionerà qui perché abbiamo accesso ai log.

    
posta larrylampco 19.03.2014 - 21:33
fonte

3 risposte

8

Il non ripudio non viene eseguito con chiavi pubbliche; il non ripudio è fatto con un quadro legale che definisce responsabilità e doveri. Sebbene i dettagli dipendano dalla giurisdizione, la maggior parte seguirà il seguente schema:

  • Una firma che esegui è vincolante fintanto che hai fatto . Questa è la definizione. Il resto riguarda ciò che accade in caso di contenzioso e dichiari che NON lo hai fatto .

  • Una firma elettronica è realizzata con un meccanismo in cui sono coinvolti elettroni, ma non inchiostro su carta.

  • Le leggi locali di solito spostano l' onere della prova . Se scrivi semplicemente il tuo nome alla fine di un'e-mail, questa è legalmente una firma vincolante, ma in caso di contenzioso, spetta al tuo avversario dimostrare che hai davvero firmato l'e-mail. Cioè, un nome alla fine di un'e-mail ti legherà in modo efficace solo se può essere provato che hai scritto quella email così com'è. Questa prova può assumere molte forme; ad esempio, potrebbe essere un testimone che ti ha visto scrivere quell'email.

  • Le leggi locali potrebbero riconoscere l'esistenza di sistemi di firma avanzata in cui l'onere della prova è invertito: il sistema di firma è ritenuto affidabile per impostazione predefinita; se vuoi ripudiare la tua firma (cioè se dichiari di non averlo fatto), allora tu devi fare il lavoro e trovare la prova di framing / hacking / qualunque (ad es. trovi un testimone che ti ho visto fare escursioni in Groenlandia, lontano da qualsiasi connessione di rete, al momento in cui la firma è stata presumibilmente generata).

  • Normalmente i sistemi di diritto locale garantiscono lo stato "strong" a un sistema di firma solo dopo un complesso processo di valutazione dei meccanismi interni dei sistemi di firma indicati. Ciò comporterà un sacco di carta e certificazioni e orde di auditor, e sarà costoso. La maggior parte dei sistemi di legge locali richiedono che i presunti sistemi di firma strong utilizzino la crittografia asimmetrica con chiavi pubbliche e così via (questo è un prerequisito, ma non sufficiente di per sé per ottenere lo status giuridico di "firma strong"). È qui che conta la crittografia: è uno strumento che può aiutare a raggiungere un determinato obiettivo all'interno di un determinato quadro legale.

  • In ogni caso, sarebbe straordinariamente ottimistico assumere che "l'accesso ai log" risolverebbe in modo affidabile la questione se l'hacking si è verificato o non si è verificato. I log possono essere cancellati; i log possono essere falsificati.

risposta data 19.03.2014 - 22:03
fonte
1

PKI può essere utilizzato per generare firme digitali. Questi possono essere usati per fornire non ripudio. Come indicato nella risposta precedente, l'onere della prova è ciò che è importante in caso di non ripudio.

La capacità di dimostrare il non ripudio che è stato assicurato attraverso la crittografia (in particolare PKI) può essere aiutata dimostrando che il portatore della chiave privata utilizzata per generare la firma è la persona solo che ha accesso alla chiave privata. Questo è solitamente implementato dalla generazione e dall'archiviazione della chiave privata utilizzando un modulo di sicurezza hardware (HSM) o simile.

Gli HSM sono disponibili in una varietà di forme. Generatori di chiavi in blocco e cripto-acceleratori vengono utilizzati per lo scaricamento di SSL / TLS. Network HSM per la generazione e l'archiviazione di chiavi in framework di gestione delle chiavi distribuiti, come le reti ATM. Possono anche venire sotto forma di piccoli dispositivi portatili, come smart card e token USB.

Questi tipi di dispositivi sono generalmente scelti dove è richiesta la non-ripudio tramite crittografia.

Essenzialmente dove il non ripudio è un requisito è importante condurre una valutazione del rischio completa e dettagliata della soluzione, comprese tutte le aree di business che utilizzeranno l'applicazione, al fine di cogliere tutti i rischi, siano essi operativi, aziendali, legali / regolamentazione o tecnologia.

    
risposta data 20.03.2014 - 08:50
fonte
0

Decenni fa un gruppo di crittografi ha inventato il concetto di non ripudio e ha affermato di applicarlo nella vita reale con mezzi tecnici (un magico "non ripudio"). Tuttavia, nella vita reale le persone sono libere di negare tutto ciò che vogliono e le corti giudicano i conflitti tra le parti, non i bit.

Qui ci sono due argomenti per il ripudio della firma che sono stati utilizzati in casi giudiziari reali in UE, e in cui la scientifica digitale non ha aiutato:

  • la mia smart card eID ha lo stesso codice PIN per l'autenticazione e firma, quindi quando l'applicazione mi ha chiesto il mio PIN, ho pensato stava autenticando, non firmando qualcosa.

  • quando ho firmato questo documento volevo esprimere che l'avevo letto, non che ero d'accordo con il suo contenuto.

risposta data 20.03.2014 - 20:46
fonte

Leggi altre domande sui tag