it-swarm.it

Qual è la differenza tra autenticità e non ripudio?

Sono nuovo di infosec e sto leggendo. Non sorprende che un punto di partenza sia stato Wikipedia. In questo articolo , autenticità e non ripudio sono elencati come 2 "concetti di base" separati. La mia comprensione è che non è possibile ottenere il non ripudio non sapendo quali parti sono coinvolte, il che richiede l'autenticità per essere in atto. In tal senso, vedo l'autenticità come un sottocomponente della non ripudio.

Hai esempi a sostegno dell'approccio secondo cui questi 2 concetti sono fondamentalmente separati?

46
Max

L'autenticità riguarda una parte (diciamo, Alice) che interagisce con un'altra (Bob) per convincere Bob che alcuni dati provengono davvero da Alice.

La non ripudio riguarda Alice che mostra a Bob una prova del fatto che alcuni dati provengono davvero da Alice, in modo tale che non solo Bob è convinto, ma Bob ha anche la certezza di poter mostrare la stessa prova a Charlie, e anche Charlie sarebbe convinto , anche se Charlie non si fida di Bob.

Pertanto, un protocollo che prevede il non ripudio fornisce necessariamente autenticità come sottoprodotto; in un certo senso, l'autenticità è un sotto-concetto di non ripudio. Tuttavia, ci sono modi per fornire autenticità (solo) che sono enormemente più efficienti dei metodi noti per ottenere firme (l'autenticità può essere ottenuta con un Codice di autenticazione dei messaggi mentre la non ripudio richiede un Digitale Firma con molta più matematica coinvolta). Per questo motivo, ha senso usare "autenticità" come concetto separato.

SSL/TLS è un protocollo di tunneling che fornisce autenticità (il client è sicuro di parlare con il server previsto) ma non di non ripudio (il client non può registrare la sessione e mostrarla come prova, in caso di una controversia legale con il server, perché sarebbe facile creare un record di sessione totalmente falso).

44
Thomas Pornin

Autenticazione e non ripudio sono due diversi tipi di concetti.

  • L'autenticazione è un concetto tecnico : ad esempio, può essere risolto tramite la crittografia.

  • Il non ripudio è un concetto legale : ad esempio, può essere risolto solo attraverso processi legali e sociali (eventualmente aiutati dalla tecnologia).

Ad alcune persone è stato insegnato che la non ripudio può essere fornita solo attraverso la cripto-matematica. Tuttavia, ciò non è corretto.

20
D.W.

Perché vorresti l'autenticazione?

Sapere che un'e-mail, un software, un sito Web o un altro oggetto proviene da una persona, un sistema informatico o un'azienda specifici. Generalmente stai usando l'identità di Origin come parte di una decisione sulla fiducia.

Se un'e-mail proviene dalla tua banca e tu autentichi l'e-mail, riponi una certa fiducia nei contenuti. Se un'e-mail proviene da un avversario, ma afferma di provenire dalla tua schiena e non sei in grado di autenticare l'e-mail, non ti fidi del contenuto dell'e-mail.

L'autenticazione viene utilizzata per verificare l'identità. L'identità è l'affermazione che un individuo è una persona specifica. L'autenticazione è un tentativo di verificare un reclamo sull'identità. Posso affermare di essere Margaret Thatcher, ma dal momento che non sono Margaret Thatcher non dovrei essere in grado di autenticare la mia richiesta.

Perché vorresti non ripudio?

Per dimostrare che una persona ha detto una frase particolare, ha digitato una frase specifica o ha compiuto un'azione specifica. Ripudiare è affermare che tutto ciò che è stato detto, digitato, comunicato o eseguito non è stato fatto da te (o dalla persona in questione).

Se qualcuno afferma che George Carlin ha usato parolacce e George Carlin tenta di ripudiare il reclamo, è facile provare che ha usato parolacce. Ci sono prove che George Carlin abbia usato parolacce. Se George Carlin non può ripudiare l'affermazione relativa alle parolacce, l'evidenza fornisce non ripudio.

La non ripudio è un tentativo attivo di creare artefatti che possono essere utilizzati contro una persona identificata che sta negando di essere l'origine di una comunicazione o azione. Gli artefatti sono identità, autenticazione dell'identità e qualcosa che collega una comunicazione o un'azione all'identità.

Nell'esempio di George Carlin ci sono documenti legali che registrano la testimonianza di molti testimoni che hanno identificato e autenticato George Carlin e lo hanno testimoniato usando parolacce. Questa è una produzione passiva e accidentale di artefatti che collegano un'azione a un'identità.

Per quanto riguarda la sicurezza, desideriamo una produzione attiva e intenzionale di artefatti che possano essere d'aiuto in un argomento di non ripudio. Per fare ciò dobbiamo identificare un'entità, autenticare l'identità e connettere l'entità identificata a un'azione o comunicazione specifica.

Alcune persone usano i certificati con chiave pubblica/privata per firmare la loro e-mail. Usando il loro indirizzo e-mail stanno fornendo un documento d'identità. Il loro uso di una chiave privata (per firmare l'e-mail) fornisce l'autenticazione purché la chiave privata sia nota solo all'individuo. Quando firmano un'e-mail con la loro firma digitale, connettono il contenuto dell'e-mail all'identità autenticata dal certificato. Questi artefatti possono aiutare a impedire a una persona di ripudiare il contenuto dell'e-mail; "Non ho mai inviato quell'e-mail." Tuttavia, per ripudiare l'e-mail un mittente può dichiarare che la sua chiave privata è stata rubata (conosciuta da un'altra parte) e che il ladro ha inviato l'e-mail.

7
this.josh

Autenticità: Generalmente accertato dal destinatario previsto e implementato usando codici di autenticazione dei messaggi (MAC) o Keyed Hash (un digest che incorpora una chiave durante il digest). La base è che il mittente e il destinatario avranno una chiave condivisa comune (in qualche modo condivisa). Il mittente utilizzerà un algoritmo MAC che accetta la chiave e il contenuto condivisi e calcola un MAC. Questo MAC viene inviato al destinatario insieme al messaggio. Alla ricezione, il destinatario farà la stessa cosa, utilizzerà l'algoritmo MAC sulla chiave condivisa e il contenuto per calcolare un MAC alla sua fine. Se il MAC ricevuto corrisponde a quello calcolato, due cose vengono verificate, il messaggio non è stato manomesso e il messaggio è stato inviato dal mittente previsto.

Non ripudio: Chiunque può convalidare autenticità di un messaggio e fonte del messaggio. Si basa sulle firme digitali (crittografia a chiave pubblica) in cui tutti hanno accesso alla chiave pubblica di un firmatario che ha calcolato una firma digitale su alcuni contenuti (che possono essere prodotti da lei o da qualcun altro) usando il suo privato chiave. E il resto del mondo ha la signers chiave pubblica, quindi possono eseguire un po 'di matematica su chiave pubblica del firmatario, il contenuto che è stato firmato e la firma che hanno per verificare che infatti il firmatario ha firmato il contenuto e il contenuto non è stato manomesso. Se questo viene convalidato, il firmatario non può rifiutare di non aver firmato il contenuto, quindi la non ripudio.

Spero che sia di aiuto.

0
user2237777