it-swarm-vi.com

Sự khác biệt giữa tính xác thực và không thoái thác là gì?

Tôi mới sử dụng infosec và đọc sách. Không ngạc nhiên khi một điểm khởi đầu là wikipedia. Trong bài viết này , tính xác thực không thoái thác được liệt kê dưới dạng 2 'khái niệm cơ bản' riêng biệt. Hiểu biết của tôi là bạn không thể đạt được sự từ chối bằng cách không biết bên nào có liên quan, điều này đòi hỏi phải có tính xác thực. Theo nghĩa đó, tôi thấy tính xác thực là một thành phần phụ của không thoái thác.

Bạn đã có ví dụ ủng hộ cách tiếp cận rằng hai khái niệm này về cơ bản là riêng biệt?

46
Max

Tính xác thực là về một bên (giả sử Alice) tương tác với một (Bob) khác để thuyết phục Bob rằng một số dữ liệu thực sự đến từ Alice.

Không từ chối là về việc Alice đưa cho Bob một bằng chứng chứng minh rằng một số dữ liệu thực sự đến từ Alice, như vậy không chỉ Bob bị thuyết phục, mà Bob còn nhận được sự đảm bảo rằng anh ta có thể đưa ra bằng chứng tương tự với Charlie, và Charlie cũng sẽ bị thuyết phục , ngay cả khi Charlie không tin tưởng Bob.

Do đó, một giao thức cung cấp không thoái thác nhất thiết phải cung cấp tính xác thực như một sản phẩm phụ; theo một cách nào đó, tính xác thực là một khái niệm phụ của không thoái thác. Tuy nhiên, có nhiều cách để cung cấp tính xác thực (chỉ) hiệu quả hơn nhiều so với các phương pháp đã biết để đạt được chữ ký (tính xác thực có thể đạt được bằng Mã xác thực thư trong khi không thoái thác yêu cầu Kỹ thuật số Chữ ký với toán học liên quan nhiều hơn). Vì lý do này, việc sử dụng "tính xác thực" là một khái niệm riêng biệt có ý nghĩa.

SSL/TLS là giao thức đường hầm cung cấp tính xác thực (khách hàng chắc chắn sẽ nói chuyện với máy chủ dự định) nhưng không từ chối (khách hàng không thể ghi lại phiên và hiển thị dưới dạng bằng chứng, trong trường hợp một tranh chấp pháp lý với máy chủ, bởi vì nó sẽ dễ dàng xây dựng một bản ghi phiên hoàn toàn giả mạo).

44
Thomas Pornin

Xác thực và không thoái thác là hai loại khái niệm khác nhau.

  • Xác thực là một khái niệm kỹ thuật : ví dụ: nó có thể được giải quyết thông qua mật mã.

  • Không thoái thác là một khái niệm pháp lý : ví dụ: nó chỉ có thể được giải quyết thông qua các quy trình pháp lý và xã hội (có thể được hỗ trợ bởi công nghệ).

Một số người đã được dạy rằng không thoái thác có thể được cung cấp thông qua toán học tiền điện tử. Tuy nhiên, điều đó không đúng.

20
D.W.

Tại sao bạn muốn xác thực?

Để biết rằng một e-mail, một phần mềm, trang web hoặc mục khác có nguồn gốc từ một người cụ thể, hệ thống máy tính hoặc công ty. Nói chung, bạn đang sử dụng danh tính của Xuất xứ như một phần của quyết định về niềm tin.

Nếu một e-mail đến từ ngân hàng của bạn và bạn xác thực e-mail, bạn đặt một số lượng tin cậy nhất định vào nội dung. Nếu một e-mail đến từ một kẻ thù, nhưng tuyên bố đến từ phía sau của bạn và bạn không thể xác thực e-mail, bạn không tin vào nội dung của e-mail.

Xác thực được sử dụng để xác minh danh tính. Danh tính là tuyên bố rằng một cá nhân là một người cụ thể. Xác thực là một nỗ lực để xác minh một yêu cầu về danh tính. Tôi có thể tự xưng là Margaret Thatcher, nhưng vì tôi không phải Margaret Thatcher nên tôi không thể xác thực yêu cầu của mình.

Tại sao bạn muốn không thoái thác?

Để chứng minh rằng một người đã nói một câu cụ thể, gõ một cụm từ cụ thể hoặc thực hiện một hành động cụ thể. Để từ chối là tuyên bố rằng bất cứ điều gì đã được nói, đánh máy, truyền đạt hoặc thực hiện đều không được thực hiện bởi bạn (hoặc người được hỏi).

Nếu ai đó tuyên bố rằng George Carlin đã sử dụng những lời chửi thề và George Carlin cố gắng từ chối yêu cầu đó, thì rất dễ để chứng minh rằng anh ta đã sử dụng những từ chửi thề. Có bằng chứng cho thấy George Carlin đã sử dụng những lời chửi thề. Nếu George Carlin không thể từ chối yêu cầu về những lời chửi thề, bằng chứng cung cấp không thoái thác.

Không thoái thác là một nỗ lực tích cực để tạo ra các tạo tác có thể được sử dụng để chống lại một người được xác định đang phủ nhận rằng họ là Nguồn gốc của một giao tiếp hoặc hành động. Các vật phẩm là danh tính, xác thực danh tính và một cái gì đó kết nối một giao tiếp hoặc hành động với danh tính.

Trong ví dụ của George Carlin, có những tài liệu pháp lý ghi lại lời khai của nhiều nhân chứng đã xác định và chứng thực George Carlin và chứng kiến ​​anh ta sử dụng những lời chửi thề. Đây là một sản phẩm tạo tác thụ động và tình cờ kết nối một hành động với một bản sắc.

Trong bảo mật, chúng tôi muốn sản xuất các đồ tạo tác có chủ đích có thể hỗ trợ trong một cuộc tranh luận không thoái thác. Để làm điều đó, chúng ta phải xác định một thực thể, xác thực danh tính và kết nối thực thể được xác định với một hành động hoặc giao tiếp cụ thể.

Một số người sử dụng chứng chỉ khóa công khai/riêng để ký email của họ. Bằng cách sử dụng địa chỉ e-mail của họ, họ đang cung cấp nhận dạng. Việc họ sử dụng khóa riêng (để ký e-mail) cung cấp xác thực miễn là cá nhân chỉ biết khóa riêng. Khi họ ký một e-mail bằng chữ ký số của họ, họ đang kết nối nội dung của e-mail với danh tính được chứng thực bởi chứng chỉ. Những cổ vật này có thể giúp ngăn chặn một cá nhân từ chối nội dung của e-mail; "Tôi chưa bao giờ gửi e-mail đó." Tuy nhiên, để từ chối e-mail, người gửi có thể cho rằng khóa riêng của họ đã bị đánh cắp (được biết bởi một bên khác) và tên trộm đã gửi e-mail.

7
this.josh

Tính xác thực : Thường được xác định bởi người nhận dự định và được triển khai bằng cách sử dụng mã xác thực tin nhắn (MAC) hoặc Băm có khóa (một thông báo kết hợp một khóa trong quá trình phân loại) . Cơ sở là người gửi và người nhận sẽ có một khóa chung (chia sẻ bằng cách nào đó). Người gửi sẽ sử dụng thuật toán MAC lấy khóa và nội dung được chia sẻ và tính toán MAC. MAC này được gửi đến người nhận cùng với tin nhắn. Khi nhận, người nhận sẽ làm điều tương tự, sử dụng thuật toán MAC trên khóa và nội dung được chia sẻ để tính MAC ở cuối. Nếu MAC nhận được khớp với một tính toán, hai điều được xác minh, tin nhắn không bị giả mạo và tin nhắn được gửi bởi người gửi dự kiến.

Không thoái thác : Bất kỳ ai đều có thể xác thực tính xác thực của tin nhắn cũng như nguồn của tin nhắn. Nó dựa trên Chữ ký số (Mật mã khóa công khai) nơi mọi người đều có quyền truy cập vào khóa chung của người ký , người đã tính chữ ký số trên một số nội dung (có thể được sản xuất bởi cô ấy hoặc người khác) bằng khóa riêng của cô ấy. Và phần còn lại của thế giới có khóa công khai , để họ có thể chạy một số toán học trên khóa công khai của người ký , nội dung đã được ký và chữ ký họ có để xác minh rằng thực sự, người ký đã ký nội dung nội dung chưa bị giả mạo . Nếu điều này được xác thực, thì người ký không thể bác bỏ việc không ký nội dung, do đó, không thoái thác.

Hi vọng điêu nay co ich.

0
user2237777