Sé libre de divulgar nuestra página y códigos con otro, apóyanos para ampliar esta comunidad.
Solución:
La autenticidad se trata de una parte (digamos, Alice) interactuando con otra (Bob) para convencer Beto que algunos datos realmente provienen de Alice.
El no repudio se trata de que Alice le muestre a Bob una prueba de que algunos datos realmente provienen de Alice, de modo que no solo Bob esté convencido, sino que Bob también obtenga la seguridad de que podría mostrarle la misma prueba a Charlie, y Charlie también estaría convencido. , incluso si Charlie no confía en Bob.
Por lo tanto, un protocolo que proporciona no repudio necesariamente proporciona autenticidad como subproducto; en cierto modo, la autenticidad es un subconcepto del no repudio. Sin embargo, hay formas de proporcionar autenticidad (solo) que son mucho más eficientes que los métodos conocidos para lograr firmas (la autenticidad se puede obtener con un Código de autenticación de mensajes, mientras que el no repudio requiere una Firma digital con matemáticas mucho más complicadas). Por esta razón, tiene sentido usar “autenticidad” como un concepto separado.
SSL/TLS es un protocolo de tunelización que proporciona autenticidad (el cliente está seguro de hablar con el servidor deseado) pero no no repudio (el cliente no puede grabar la sesión y mostrarla como prueba, en caso de una disputa legal con el servidor, porque sería fácil construir un registro de sesión totalmente falso).
La autenticación y el no repudio son dos tipos diferentes de conceptos.
-
La autenticación es un concepto técnico: por ejemplo, se puede resolver mediante criptografía.
-
El no repudio es un concepto juridico: por ejemplo, solo se puede resolver a través de procesos legales y sociales (posiblemente con la ayuda de la tecnología).
A algunas personas se les ha enseñado que el no repudio se puede proporcionar solo a través de las criptomatemáticas. Sin embargo, eso no es correcto.
¿Por qué querrías la autenticación?
Saber que un correo electrónico, pieza de software, sitio web u otro elemento se originó en una persona, sistema informático o empresa específica. Por lo general, está utilizando la identidad de origen como parte de una decisión sobre la confianza.
Si un correo electrónico proviene de su banco y autentica el correo electrónico, deposita cierta confianza en el contenido. Si un correo electrónico proviene de un adversario, pero afirma provenir de su espalda y no puede autenticar el correo electrónico, desconfía del contenido del correo electrónico.
La autenticación se utiliza para verificar la identidad. La identidad es la afirmación de que un individuo es una persona específica. La autenticación es un intento de verificar una afirmación sobre la identidad. Puedo afirmar que soy Margaret Thatcher, pero como no soy Margaret Thatcher, no debería poder autenticar mi afirmación.
¿Por qué querrías el no repudio?
Para probar que una persona dijo una oración en particular, escribió una frase específica o realizó una acción específica. Repudiar es afirmar que todo lo que se dijo, escribió, comunicó o realizó no lo hizo usted (o la persona en cuestión).
Si alguien afirma que George Carlin usó palabrotas y George Carlin intenta repudiar la afirmación, es fácil probar que ha usado palabrotas. Hay evidencia de que George Carlin ha usado palabrotas. Si George Carlin no puede repudiar la afirmación sobre las malas palabras, la evidencia proporciona el no repudio.
El no repudio es un intento activo de crear artefactos que puedan ser utilizados contra una persona identificada que niega ser el origen de una comunicación o acción. Los artefactos son identidad, autenticación de la identidad y algo que conecta una comunicación o acción con la identidad.
En el ejemplo de George Carlin, hay documentos legales que registran el testimonio de muchos testigos que identificaron y autenticaron a George Carlin y lo presenciaron usando malas palabras. Esta es una producción pasiva y accidental de artefactos que conectan una acción con una identidad.
En seguridad, queremos una producción activa y intencionada de artefactos que puedan ayudar en un argumento de no repudio. Para hacer eso, debemos identificar una entidad, autenticar la identidad y conectar la entidad identificada a una acción o comunicación específica.
Algunas personas usan público/privado key certificados para firmar su correo electrónico. Mediante el uso de su dirección de correo electrónico están proporcionando identificación. Su uso de un privado key (para firmar el correo electrónico) proporciona autenticación siempre y cuando sea privado key es conocido solo por el individuo. Cuando firman un correo electrónico con su firma digital, están conectando el contenido del correo electrónico con la identidad autenticada por el certificado. Estos artefactos pueden ayudar a evitar que una persona rechace el contenido del correo electrónico; “Nunca envié ese correo electrónico”. Sin embargo, para repudiar el correo electrónico, un remitente puede alegar que sus datos privados key fue robado (conocido por otra parte) y el ladrón envió el correo electrónico.
Si piensas que te ha sido de provecho este post, sería de mucha ayuda si lo compartes con el resto juniors y nos ayudes a extender nuestra información.