it-swarm-eu.dev

Was ist der Unterschied zwischen Authentizität und Nicht-Zurückweisung?

Ich bin neu in der Infosec und lese etwas. Es überrascht nicht, dass Wikipedia ein Ausgangspunkt war. In diesem Artikel , Authentizität und Nicht-Zurückweisung sind als 2 separate 'Grundbegriffe' aufgeführt. Mein Verständnis ist, dass Sie keine Nicht-Ablehnung erreichen können, wenn Sie nicht wissen, welche Parteien beteiligt sind, was Authentizität erfordert. In diesem Sinne sehe ich Authentizität als Unterkomponente der Nicht-Zurückweisung.

Haben Sie Beispiele, die den Ansatz belegen, dass diese beiden Konzepte grundsätzlich voneinander getrennt sind?

46
Max

Bei der Authentizität geht es darum, dass eine Partei (z. B. Alice) mit einer anderen (Bob) interagiert, um Bob davon zu überzeugen, dass einige Daten wirklich von Alice stammen.

Bei der Nicht-Ablehnung geht es darum, dass Alice Bob einen Beweis zeigt, dass einige Daten wirklich von Alice stammen, so dass nicht nur Bob überzeugt ist, sondern Bob auch die Zusicherung erhält, dass er Charlie denselben Beweis vorlegen kann, und Charlie wäre auch überzeugt , auch wenn Charlie Bob nicht vertraut.

Daher liefert ein Protokoll, das eine Nicht-Zurückweisung bietet, notwendigerweise Authentizität als Nebenprodukt; In gewisser Weise ist Authentizität ein Unterkonzept der Nicht-Zurückweisung. Es gibt jedoch (nur) Möglichkeiten, Authentizität bereitzustellen, die weitaus effizienter sind als bekannte Methoden zum Erreichen von Signaturen (Authentizität kann mit einem Nachrichtenauthentifizierungscode erhalten werden, während für die Nicht-Zurückweisung ein Digital) erforderlich ist Unterschrift mit viel mehr Mathematik). Aus diesem Grund ist es sinnvoll, "Authentizität" als separates Konzept zu verwenden.

SSL/TLS ist ein Tunnelprotokoll, das Authentizität bietet (der Client wird sicher mit dem beabsichtigten Server sprechen), aber keine Ablehnung (der Client kann die Sitzung nicht aufzeichnen und im Falle von als Beweis anzeigen) ein Rechtsstreit mit dem Server, da es einfach wäre, einen völlig gefälschten Sitzungsdatensatz zu erstellen.

44
Thomas Pornin

Authentifizierung und Nicht-Zurückweisung sind zwei verschiedene Arten von Konzepten.

  • Die Authentifizierung ist ein technisches Konzept : Sie kann beispielsweise durch Kryptographie gelöst werden.

  • Nicht-Zurückweisung ist ein Rechtsbegriff : Sie kann beispielsweise nur durch rechtliche und soziale Prozesse (möglicherweise mithilfe von Technologie) gelöst werden.

Einige Leute haben gelernt, dass Nicht-Ablehnung allein durch Kryptomathematik bereitgestellt werden kann. Das ist jedoch nicht korrekt.

20
D.W.

Warum sollten Sie eine Authentifizierung wünschen?

Zu wissen, dass eine E-Mail, eine Software, eine Website oder ein anderes Element von einer bestimmten Person, einem bestimmten Computersystem oder einer bestimmten Firma stammt. Im Allgemeinen verwenden Sie die Identität von Origin als Teil einer Vertrauensentscheidung.

Wenn eine E-Mail von Ihrer Bank kommt und Sie die E-Mail authentifizieren, vertrauen Sie dem Inhalt in gewissem Maße. Wenn eine E-Mail von einem Gegner stammt, aber behauptet, von Ihrem Rücken zu kommen, und Sie die E-Mail nicht authentifizieren können, misstrauen Sie dem Inhalt der E-Mail.

Die Authentifizierung wird verwendet, um die Identität zu überprüfen. Identität ist die Behauptung, dass eine Person eine bestimmte Person ist. Die Authentifizierung ist ein Versuch, einen Anspruch auf Identität zu überprüfen. Ich kann behaupten, Margaret Thatcher zu sein, aber da ich nicht Margaret Thatcher bin, sollte ich meinen Anspruch nicht bestätigen können.

Warum sollten Sie eine Nicht-Ablehnung wünschen?

Um zu beweisen, dass eine Person einen bestimmten Satz gesagt, eine bestimmte Phrase eingegeben oder eine bestimmte Aktion ausgeführt hat. Zurückweisen bedeutet zu behaupten, dass alles, was gesagt, getippt, kommuniziert oder aufgeführt wurde, nicht von Ihnen (oder der betreffenden Person) getan wurde.

Wenn jemand behauptet, George Carlin habe Schimpfwörter verwendet, und George Carlin versucht, die Behauptung zurückzuweisen, ist es leicht zu beweisen, dass er Schimpfwörter verwendet hat. Es gibt Hinweise darauf, dass George Carlin Schimpfwörter verwendet hat. Wenn George Carlin die Behauptung über Schimpfwörter nicht zurückweisen kann, liefern die Beweise keine Ablehnung.

Nicht-Zurückweisung ist ein aktiver Versuch, Artefakte zu erstellen, die gegen eine identifizierte Person verwendet werden können, die bestreitet, dass sie der Ursprung einer Kommunikation oder Handlung ist. Die Artefakte sind Identität, Authentifizierung der Identität und etwas, das eine Kommunikation oder Aktion mit der Identität verbindet.

Im Beispiel von George Carlin gibt es juristische Dokumente, die die Testomie vieler Zeugen aufzeichnen, die George Carlin identifiziert und authentifiziert und ihn mit Schimpfwörtern beobachtet haben. Dies ist eine passive und zufällige Produktion von Artefakten, die eine Aktion mit einer Identität verbinden.

In Bezug auf die Sicherheit wollen wir eine aktive, zielgerichtete Produktion von Artefakten, die bei einem Argument der Nicht-Zurückweisung hilfreich sein können. Dazu müssen wir eine Entität identifizieren, die Identität authentifizieren und die identifizierte Entität mit einer bestimmten Aktion oder Kommunikation verbinden.

Einige Benutzer verwenden öffentliche/private Schlüsselzertifikate, um ihre E-Mail zu signieren. Durch die Verwendung ihrer E-Mail-Adresse geben sie einen Ausweis. Die Verwendung eines privaten Schlüssels (zum Signieren der E-Mail) ermöglicht die Authentifizierung solange der private Schlüssel nur der Person bekannt ist. Wenn sie eine E-Mail mit ihrer digitalen Signatur signieren, verbinden sie den Inhalt der E-Mail mit der durch das Zertifikat authentifizierten Identität. Diese Artefakte können dazu beitragen, zu verhindern, dass eine Person den Inhalt der E-Mail ablehnt. "Ich habe diese E-Mail nie gesendet." Um die E-Mail abzulehnen, kann ein Absender jedoch behaupten, dass sein privater Schlüssel gestohlen wurde (einer anderen Partei bekannt) und der Dieb die E-Mail gesendet hat.

7
this.josh

Authentizität: Wird im Allgemeinen vom beabsichtigten Empfänger ermittelt und implementiert mit Nachrichtenauthentifizierungscodes (MAC) oder Keyed Hashes (ein Digest, der während des Digests einen Schlüssel enthält). Die Basis ist, dass der Absender und der Empfänger einen gemeinsamen Schlüssel haben (irgendwie geteilt). Der Absender verwendet einen MAC-Algorithmus, der den gemeinsam genutzten Schlüssel und Inhalt aufnimmt und einen MAC berechnet. Dieser MAC wird zusammen mit der Nachricht an den Empfänger gesendet. Beim Empfang wird der Empfänger dasselbe tun und den MAC-Algorithmus für den gemeinsam genutzten Schlüssel und Inhalt verwenden, um einen MAC an seinem Ende zu berechnen. Wenn der empfangene MAC mit dem berechneten übereinstimmt, werden zwei Dinge überprüft, die Nachricht wurde nicht manipuliert und die Nachricht wurde vom erwarteten Absender gesendet.

Nicht-Zurückweisung: Jeder kann das Authentizität einer Nachricht sowie das Quelle der Nachricht validieren. Es basiert auf digitalen Signaturen (Public Key Cryptography), bei denen jeder Zugriff auf den öffentlichen Schlüssel eines nterzeichners hat, der mit seinem privaten Inhalt eine digitale Signatur für einige Inhalte berechnet hat (die möglicherweise von ihm oder einer anderen Person erstellt wurden) Schlüssel. Und der Rest der Welt hat den öffentlichen Schlüssel nterzeichner, damit sie etwas Mathematik ausführen können den öffentlichen Schlüssel des Unterzeichners, den signierten Inhalt und die Signatur, die sie haben, um dies zu überprüfen in der Tat der Unterzeichner hat den Inhalt signiert und der Inhalt wurde nicht manipuliert. Wenn dies bestätigt wird, kann der Unterzeichner nicht widerlegen, den Inhalt nicht unterschrieben zu haben, daher keine Ablehnung.

Hoffe das hilft.

0
user2237777