Caratteristiche di sicurezza attraverso lo standard ISO 25023

1

Potresti per favore aiutarmi a chiarire quanto segue:

Sicurezza standard divisa ISO 25023 nelle seguenti 5 caratteristiche:

  1. Caratteristica di riservatezza (divisa in) ----- > Controllabilità dell'accesso e crittografia dei dati

  2. Caratteristica di integrità (divisa in) ----- > Prevenzione della corruzione dei dati e prevenzione della corruzione dei dati interni

  3. Caratteristica di non ripudio (diviso in) ----- > Utilizzo della firma digitale

  4. Caratteristica di responsabilità (divisa in) ----- > Audit di accesso e tempo di mantenimento del registro di sistema

  5. Caratteristica di autenticità (divisa in) ----- > Protocolli di autenticazione e definizione delle regole di autenticazione

Sulla base della letteratura, l'autenticità è una parte della riservatezza (controllabilità dell'accesso), perché ISO l'ha separata dalla riservatezza e l'ha categorizzata come una caratteristica?

    
posta user3011084 23.08.2015 - 06:43
fonte

1 risposta

1

Sono d'accordo sul fatto che questi termini si sovrappongono e ho anche difficoltà a distinguere tra loro nel contesto dell'accesso in lettura (dove l'autenticità non può significare la certezza che le informazioni siano "autentiche" - provenienti da una fonte conosciuta, ma solo l'autenticazione come agente con determinati privilegi di accesso). Ma ecco alcuni esempi di accesso in scrittura in cui i due concetti differiscono:

  • Un utente malintenzionato può leggere messaggi crittografati da un canale e ora ha ottenuto l'accesso a una chiave di decrittografia. La misura che garantisce la riservatezza (la crittografia) è stata aggirata, ma l'autenticità potrebbe ancora essere presente, in quanto solo l'autore presunto e previsto avrebbe potuto creare i messaggi (la crittografia asimmetrica può garantire ciò, come può accedere al controllo sul canale).

  • Un utente malintenzionato scrive su un canale di comunicazione crittografato. La riservatezza richiede che il testo in chiaro che viene comunicato non venga scoperto dagli autori di attacchi, cosa che potrebbe essere ancora molto in vigore, anche se l'autore dell'attacco può effettivamente leggere anche dal canale. L'autenticità, tuttavia, è stata sconfitta e i messaggi "replayed" possono essere utilizzati come angolo di attacco.

Ho l'impressione che la distinzione sia abbastanza comune e che la riservatezza, l'integrità e l'autenticità (che consente la conveniente inizializzazione della CIA) siano citati come essenziali nella comunicazione sicura. I miei appunti universitari - basati sull'esperienza di Parkerian - aggiungono possesso, disponibilità e utilità come qualità piuttosto evidenti, ma in ogni caso mantengono la distinzione tra riservatezza e autenticità.

    
risposta data 23.08.2015 - 19:16
fonte

Leggi altre domande sui tag