¿Cuál es la diferencia entre autenticidad y no repudio?

La autenticación y el no repudio son dos tipos diferentes de conceptos.

• La autenticación es un concepto técnico : por ejemplo, se puede resolver mediante criptografía.

• El no repudio es un concepto legal : por ejemplo, solo se puede resolver mediante procesos legales y sociales (posiblemente con la ayuda de la tecnología).

A algunas personas se les ha enseñado que el no repudio puede proporcionarse solo a través de cripto-matemáticas. Sin embargo, eso no es correcto.

La autenticidad se trata de una parte (por ejemplo, Alice) que interactúa con otra (Bob) para convencer a Bob de que algunos datos realmente provienen de Alice.

El no repudio consiste en que Alice le muestre a Bob una prueba de que Alice realmente recibe algunos datos, por lo que no solo Bob está convencido, sino que Bob también tiene la seguridad de que podría mostrarle la misma prueba a Charlie, y Charlie lo estaría. También estoy convencido, incluso si Charlie no confía en Bob.

Por lo tanto, un protocolo que proporciona no repudio necesariamente proporciona autenticidad como un subproducto; En cierto modo, la autenticidad es un sub-concepto de no repudio. Sin embargo, hay formas de proporcionar autenticidad (solo) que son mucho más eficientes que los métodos conocidos para lograr firmas (la autenticidad se puede obtener con un mensaje Código de autenticación mientras que el no repudio requiere una Firma digital con matemáticas mucho más complejas). Por esta razón, tiene sentido utilizar la "autenticidad" como un concepto separado.

SSL / TLS es un protocolo de túnel que proporciona autenticidad (el cliente seguramente hablará con el servidor deseado) pero no el no repudio (el cliente no puede grabar la sesión y mostrarla como prueba, en caso de una disputa legal con el servidor, ya que sería fácil construir un registro de sesión totalmente falso).

¿Por qué querrías la autenticación?

Para saber que un correo electrónico, pieza de software, sitio web u otro elemento se originó en una persona, sistema informático o empresa específicos. En general, está utilizando la identidad de origen como parte de una decisión sobre la confianza.

Si un correo electrónico proviene de su banco y usted autentica el correo electrónico, deposita cierta confianza en el contenido. Si un correo electrónico proviene de un adversario, pero afirma que proviene de su espalda y no puede autenticar el correo electrónico, desconfíe de su contenido.

La autenticación se utiliza para verificar la identidad. La identidad es la afirmación de que un individuo es una persona específica. La autenticación es un intento de verificar una reclamación sobre la identidad. Puedo afirmar que soy Margaret Thatcher, pero como no soy Margaret Thatcher, no debería poder autenticar mi reclamo.

¿Por qué querrías el no repudio?

Para probar que una persona dijo una oración en particular, escribió una frase específica o realizó una acción específica. Repudiar es afirmar que lo que se dijo, escribió, comunicó o realizó no fue hecho por usted (o la persona en cuestión).

Si alguien alega que George Carlin usó malas palabras, y George Carlin intenta repudiar la reclamación, es fácil demostrar que ha usado malas palabras. Hay evidencia de que George Carlin ha usado malas palabras. Si George Carlin no puede repudiar la afirmación acerca de las malas palabras, la evidencia proporciona un no repudio.

El no repudio es un intento activo de crear artefactos que pueden usarse contra una persona identificada que niega que sean el origen de una comunicación o acción. Los artefactos son la identidad, la autenticación de la identidad y algo que conecta una comunicación o acción con la identidad.

En el ejemplo de George Carlin, hay documentos legales que registran el testimonio de muchos testigos que identificaron y autenticaron a George Carlin y lo atestiguaron usando malas palabras. Esta es una producción pasiva y accidental de artefactos que conectan una acción con una identidad.

En seguridad, queremos una producción activa y con propósito de artefactos que puedan ayudar en un argumento de no repudio. Para hacer eso, debemos identificar una entidad, autenticar la identidad y conectar la entidad identificada a una acción o comunicación específica.

Algunas personas usan certificados de clave pública / privada para firmar su correo electrónico. Al utilizar su dirección de correo electrónico están proporcionando identificación. El uso de una clave privada (para firmar el correo electrónico) proporciona autenticación siempre que la clave privada sea conocida solo por el individuo . Cuando firman un correo electrónico con su firma digital, conectan el contenido del correo electrónico a la identidad autenticada por el certificado. Estos artefactos pueden ayudar a prevenir que una persona repudia el contenido del correo electrónico; "Nunca envié ese correo electrónico". Sin embargo, para repudiar el correo electrónico, un remitente puede reclamar que su clave privada fue robada (conocida por otra parte) y el ladrón envió el correo electrónico.

Autenticidad : Por lo general, el destinatario lo ha averiguado y se implementa mediante el uso de códigos de autenticación de mensajes (MAC) o Keyh Hashes (un resumen que incorpora una clave durante el resumen ) . La base es que el remitente y el destinatario tendrán una clave compartida común (de alguna manera compartida). El remitente utilizará un algoritmo de MAC que toma la clave y el contenido compartidos y computará un MAC. Este MAC se envía al destinatario junto con el mensaje. Al recibirlo, el destinatario hará lo mismo, utilizará el algoritmo MAC en la clave compartida y el contenido para calcular un MAC en su extremo. Si el MAC recibido coincide con el computado, se verifican dos cosas, el mensaje no fue manipulado y el mensaje fue enviado por el remitente esperado.

No repudio : Cualquiera puede validar la autenticidad de un mensaje, así como la fuente del mensaje. . Se basa en Firmas digitales (criptografía de clave pública) donde todos tienen acceso a la clave pública de un firmante que computó una firma digital en algún contenido (puede ser producida por ella o por otra persona) utilizando su privado. llave. Y el resto del mundo tiene la clave pública firmantes , por lo que pueden ejecutar algunas matemáticas en la clave pública firmante, el contenido que se firmó y la firma que tienen para verificar que de hecho, el firmante firmó el contenido y el contenido no se ha manipulado . Si esto se valida, entonces el firmante no puede refutar que no haya firmado el contenido, por lo tanto, no repudio.

Espero que esto ayude.

La Recomendación X.800 define claramente la autenticación y el no rechazo como servicios de seguridad , como puede leer en el párrafo 5.2 del siguiente documento: enlace

servicios de seguridad son los requisitos básicos de seguridad y se implementan mediante mecanismos de seguridad .

Por lo tanto, tanto la autenticación como el no repudio son el mismo tipo de concepto y la diferencia entre los dos se explica claramente en el documento citado anteriormente.