¿Hay alguna manera de probar la autoría en un repositorio compartido?

Navega tus respuestas
3

Supongamos que tenemos varias personas que trabajan en algún tipo de esfuerzo de colaboración (como un trabajo de investigación o un proyecto de software) comprometido en un repositorio compartido. Sin embargo, un cierto subconjunto de estas personas también están conspirando contra el resto de las personas involucradas para negarles la autoría. Las motivaciones podrían ser, por ejemplo, tomar crédito por el trabajo de otras personas, negarles a otros el reconocimiento o el dinero que merecían como contribuyentes, etc.

El modelo de amenaza aquí involucra instituciones sin una estructura de control fija y sin una autoridad superior efectiva localizada que pueda resolver tal disputa, como suele ser el caso de los proyectos de pasatiempos trabajados por amigos, y en ciertas situaciones, investigación. papeles. (Para ser claros, tenemos un poder judicial donde se pueden presentar disputas legales).

Las marcas de tiempo y la información de autoría en el repositorio en sí no proporcionan ninguna prueba válida, ya que los conspiradores pueden recrear otra versión del repositorio con la misma facilidad que mostraría que solo ellos han cometido los compromisos.

¿Existe un protocolo que, si es seguido por cada persona que se compromete con el repositorio, permitiría a las víctimas probar su autoría si surgiera una disputa?

    
pregunta user2064000 17.07.2016 - 20:47
fuente

3 respuestas

4

Necesita un tercero de confianza para presenciar y responder por cada compromiso. Por ejemplo, si usa un repositorio en línea como GitHub, entonces hay un registro en línea de cada confirmación. Si no está utilizando un servicio de terceros de confianza, debe utilizar un notario o servicio similar . Esto podría ser una persona que sea testigo de cada compromiso, o un notario en línea que realiza El trabajo de forma electrónica. Simplemente puede enviar por correo o correo electrónico a una persona de confianza (tal vez un abogado).

Todas estas soluciones se basan en la confiabilidad de terceros.

Tenga en cuenta que todas estas soluciones solo prueban que el trabajo existió en una fecha específica. No pueden probar en qué cerebro se originó el trabajo. Para eso necesitarás un lector mental .

    
respondido por el Neil Smithline 17.07.2016 - 21:11
fuente
0

Puede iniciar sesión en ese sitio utilizando enlace . Solo debes cambiar tus contraseñas después como precaución.

    
respondido por el Martin Loehnertz 29.07.2016 - 00:18
fuente
0

Siempre necesita un tercero de confianza para resolver estos problemas. Sin embargo, hay algunos enfoques interesantes que utilizan al público en sí mismo como un tercero de confianza.

El ejemplo clásico utiliza un periódico y la sección de clasificados. Cuando tiene un trabajo para el que quiere demostrar su autoría, toma una suma de comprobación (quizás SHA-1), fírmelo (con RSA quizás) y luego saque un anuncio clasificado con el contenido de esa firma. Luego esperas al menos un día antes de revelar tu trabajo.

Cualquier persona que quiera autenticar su trabajo simplemente toma la suma de comprobación y verifica que es realmente la suma de verificación que ingresa en el clasificado, y luego verifica que usted fue la persona que lo firmó.

Alguien que quiera robar el trabajo debe firmar esa suma de comprobación y ponerlo también en un anuncio clasificado. Sin embargo, como no conocen el contenido del trabajo hasta que lo lanzas, tienen que colocar un anuncio en el periódico del día next . Por lo tanto, pueden afirmar que son los autores del trabajo, pero siempre puede indicar que su anuncio clasificado se publicó un día antes que el suyo. La única forma en que podrían haberlo creado y que publicaste primero es si robaste el trabajo antes de que se hiciera público.

Este proceso se puede aplicar fácilmente a un repositorio Git etiquetando su trabajo con su firma y luego publicando la etiqueta en un anuncio clasificado.

    
respondido por el Cort Ammon 29.07.2016 - 03:47
fuente

Lea otras preguntas en las etiquetas

¿Hace una DoS donde solo permite su propia conexión? ¿Cómo puedo transmitir los riesgos asociados con el software fuera de soporte?