¿Cómo probar que el volante no fue escrito por una persona específica?

2

Supongamos que creamos un folleto en algún software de publicación de escritorio (por ejemplo, InDesign, Illustrator), lo imprimimos físicamente y lo publicamos en algún lugar.

No queremos reclamaciones de autoría no auténticas.

¿Hay una manera de, digamos, poner un [?] en el folleto que solo nosotros podríamos haber generado. O bien, que alguien que dice ser autor del folleto no puede probar que generó. (Estamos bien en revelarnos si tenemos que demostrar que lo generamos, es más defenderse contra otros que dicen que lo hicieron).

¿O debería ser un mensaje que nadie pueda descifrar?

Este podría ser un simple problema de clave pública, pero si alguien pudiera hacer una lista específica de cómo lo haríamos, sería muy apreciado.

    
pregunta reinhartvalgar 16.07.2014 - 06:51
fuente

2 respuestas

5

Con una firma digital puede reclamar la propiedad de una parte de los datos, pero generalmente no en su propio beneficio. Una firma digital funciona así:

  • El propietario de la clave genera un par de claves pública / privada (dos objetos matemáticos que comparten una estructura común).
  • La clave pública se hace pública (de ahí el nombre) mientras que la clave privada se mantiene privada (la estructura es tal que revelar la clave pública no permite la recuperación de la clave privada).
  • Una firma se calcula sobre un dato determinado utilizando el algoritmo de generación de firmas, que se basa en la clave privada.
  • Se puede verificar un valor de firma a través de los datos, utilizando el algoritmo de verificación de firma y la clave pública.

La firma demuestra de alguna manera que el propietario de la clave privada estuvo involucrado en el proceso, ya que se necesita el conocimiento de la clave privada para producir un valor de firma que el algoritmo de verificación acepte. El valor de la firma está ligado matemáticamente a los datos que se firmaron y, por lo tanto, no se puede transportar a otra pieza de datos. Los certificados (por lo tanto, PKI ) son un método para vincular identidades (por ejemplo, su nombre y ser físico) a claves públicas , para que otras personas puedan aprender (con cierta garantía de fiabilidad) cuál es realmente su clave pública. Los certificados se basan internamente en firmas.

Ahora, esto realmente no resuelve su problema. Como escribí, las firmas pueden usarse para reclamar la propiedad; al firmar un dato, usted demuestra que estuvo involucrado, pero nada le impide firmar un archivo que fue "producido" (de alguna manera) por otra persona.

La forma normal de usar firmas es respaldar : al firmar algo, usted acepta estar vinculado (de alguna manera, posiblemente de manera legal) al contenido de lo que firmó. Eso no es lo que buscas aquí.

Un mejor candidato es sellos de tiempo . La autoría realmente se define en relación al tiempo : usted es el autor de algunos trabajos porque es < em> el primero en haberlo logrado. Así que quieres una prueba de anterioridad .

Una Autoridad de sello de tiempo es un servicio que firma (con una firma digital) una estructura que contiene la fecha y hora actuales. (como lo sabe la TSA) y un dato (en realidad, un hash del mismo, pero eso es un tecnicismo). La TSA, con esa firma, garantiza que el dato existió en la fecha especificada. Entonces, lo que quiere hacer es enviar a una TSA una estructura que contenga su trabajo artístico (el "folleto") y su nombre; y la TSA emitirá una marca de tiempo que prueba que, en alguna fecha T , el folleto estaba en su poder.

Si lo hace antes publicando el folleto, otras personas no podrán obtener una marca de tiempo para los mismos datos, con su nombre y una fecha anterior a T . Si la primera prueba de posesión del volante lleva su nombre, entonces se le considerará el "propietario original", es decir, el autor.

En la práctica , lo que haces es lo siguiente:

  • Tome el trabajo artístico como un archivo F .
  • Crea un archivo de texto llamado README.txt con tu nombre.
  • Coloque tanto F como README.txt en un archivo Zip.
  • Obtenga una marca de tiempo de una TSA.
  • Mantenga la marca de tiempo y el archivo Zip en algún lugar. En caso de disputa, muéstreselas al juez.

Si tal esquema se llevaría a cabo en la corte es otro asunto. Los asuntos legales son su propio mundo. Mi sentimiento técnico es que una marca de tiempo realizada de esa manera es un elemento de prueba bastante fuerte, pero si será suficiente depende de la jurisdicción, las leyes locales y, de manera crucial, cómo Bueno, el TSA usado hace su trabajo.

Hay un equivalente no informático a la marca de tiempo; se llama un sobre de Soleau . Si toma su folleto en forma impresa, y lo pone en el sobre de Soleau junto con una hoja de papel con su nombre, sería un buen comienzo para las reclamaciones de autoría posteriores.

    
respondido por el Thomas Pornin 16.07.2014 - 15:17
fuente
1

Firmar un objeto físico como un póster impreso es, en el mejor de los casos, problemático.

Si alguien fotocopió el cartel y lo volvió a publicar o en otro lugar, ¿sigue siendo válido? ¿Qué pasa si recortan los bordes de un cartel válido? sigue siendo bueno? ¿Qué hay de los cambios sutiles pero semánticamente significativos, como el color o la claridad? ¿Llevar un marcador a tu cartel lo invalida?

No hay una buena manera de abordar estos problemas en el mundo físico. Los activos digitales se prestan mucho más fácilmente a las firmas digitales. Entonces puntuamos: en lugar de intentar firmar el elemento físico, enlace desde el póster impreso (por ejemplo, mediante un código qr) a una versión digital. Tal vez una página web que contenga todos los detalles notables. Ubicación, contenido, tiempo, tal vez una imagen del propio elemento. Todo eso firmado, con marca de tiempo, lo que sea que necesite hacer. Pero el cartel real no es el contenido firmado. Es un puntero que muestra al espectador dónde puede ver y verificar los datos firmados reales.

    
respondido por el tylerl 18.07.2014 - 08:44
fuente

Lea otras preguntas en las etiquetas