Ikke -avvisning - Non-repudiation

Ikke-avvisning refererer til en situasjon der forfatteren til en uttalelse ikke kan bestride forfatterskapet eller gyldigheten av en tilknyttet kontrakt . Begrepet blir ofte sett i en juridisk setting når autentisiteten til en signatur blir utfordret. I et slikt tilfelle blir "ekteheten" avvist.

For eksempel kjøper Mallory en mobiltelefon for $ 100 og skriver et papir sjekk som betaling, og tegn sjekken med en penn. Senere finner hun ut at hun ikke har råd til det, og hevder at sjekken er en forfalskning. Signaturen garanterer at bare Mallory kunne ha signert sjekken, og derfor må Mallorys bank betale sjekken. Dette er ikke-avvisning; Mallory kan ikke avvise sjekken. I praksis er det ikke vanskelig å smi penn-og-papir-signaturer , men digitale signaturer kan være svært vanskelige å bryte.

I sikkerhet

Generelt innebærer ikke-avvisning å knytte handlinger eller endringer til et unikt individ. For eksempel kan et sikkert område bruke et nøkkelkorttilgangssystem der ikke-avvisning vil bli krenket hvis nøkkelkort ble delt eller hvis tapte og stjålne kort ikke ble rapportert umiddelbart. På samme måte må eieren av en datakonto ikke tillate andre å bruke den, for eksempel ved å gi bort passordet sitt, og det bør iverksettes en policy for å håndheve dette.

I digital sikkerhet

I digital sikkerhet betyr ikke-avvisning:

• En tjeneste som gir bevis på integriteten og opprinnelsen til data .
• En autentisering som kan sies å være ekte med høy tillit.

Bevis på dataintegritet er vanligvis det enkleste av disse kravene å oppnå. En data hash som SHA2 vanligvis sikrer at data ikke vil bli endret ikke målbar. Selv med denne beskyttelsen, er det mulig å tukle med data under transport , enten gjennom et mann-i-midten-angrep eller phishing . På grunn av dette er dataintegritet best hevdet når mottakeren allerede har nødvendig verifiseringsinformasjon, for eksempel etter å ha blitt gjensidig godkjent .

Den vanlige metoden for å tilby ikke-avvisning i forbindelse med digital kommunikasjon eller lagring er Digital Signatures , et kraftigere verktøy som gir ikke-avvisning på en offentlig verifiserbar måte. Message Authentication Codes (MAC) , nyttig når kommunikasjonspartene har avtalt å bruke en delt hemmelighet som de begge besitter, gir ikke avvisning. En misforståelse er at kryptering i seg selv gir autentisering "Hvis meldingen dekrypteres ordentlig, er den autentisk" - Feil! MAC kan være utsatt for flere typer angrep, som: rekkefølge av meldinger, blokkeringserstatning, blokkering av repetisjon, .... Dermed gir vi bare meldingens integritet og autentisering, men ikke ikke-avvisning. For å oppnå ikke-avvisning må man stole på en tjeneste (et sertifikat generert av en pålitelig tredjepart (TTP) kalt sertifikatmyndighet (CA)) som forhindrer en enhet i å nekte tidligere forpliktelser eller handlinger (f.eks. Å sende melding A til B). Forskjellen mellom MAC og digitale signaturer , den ene bruker symmetriske taster og de andre asymmetriske tastene (levert av CA). Vær oppmerksom på at målet ikke er å oppnå konfidensialitet: i begge tilfeller (MAC eller digital signatur), legger man ganske enkelt til en tagg til den ellers klare, synlige meldingen. Hvis konfidensialitet også kreves, kan et krypteringsskjema kombineres med den digitale signaturen, eller en eller annen form for autentisert kryptering kan brukes. Verifisering av den digitale opprinnelsen betyr at de sertifiserte/signerte dataene sannsynligvis kom fra noen som har den private nøkkelen som tilsvarer signeringssertifikatet. Hvis nøkkelen som ble brukt til å signere en melding digitalt, ikke er forsvarlig beskyttet av den opprinnelige eieren, kan digital forfalskning oppstå.

Pålitelige tredjeparter (TTP -er)

For å redusere risikoen for at folk refuserer sine egne signaturer, er standardmetoden å involvere en pålitelig tredjepart .

De to vanligste TTP -ene er rettsmedisinske analytikere og notarier . En rettsmedisinsk analytiker som spesialiserer seg på håndskrift, kan sammenligne noen signaturer med en kjent gyldig signatur og vurdere dens legitimitet. En notar er et vitne som bekrefter en persons identitet ved å kontrollere andre legitimasjoner og vedlegge sertifiseringen av at personen som signerer er den de påstår å være. En notar gir den ekstra fordelen ved å opprettholde uavhengige logger over transaksjonene sine, komplett med typer legitimasjon som er kontrollert, og en annen signatur som kan verifiseres av kriminalteknisk analytiker. Denne doble sikkerheten gjør notarer til den foretrukne verifiseringsformen.

For digital informasjon er den mest brukte TTP en sertifikatmyndighet , som utsteder offentlige nøkkelsertifikater . Et offentlig nøkkelsertifikat kan brukes av alle til å verifisere digitale signaturer uten en delt hemmelighet mellom signatøren og verifisereren. Sertifikatmyndighetens rolle er å autoritativt oppgi hvem sertifikatet tilhører, noe som betyr at denne personen eller enheten har den tilhørende private nøkkelen. Imidlertid er en digital signatur rettsmedisinsk identisk både i legitime og forfalskede bruksområder. Noen som har den private nøkkelen kan lage en gyldig digital signatur. Beskytte den private nøkkelen er ideen bak noen smartkort som United States Department of Defense 's Common Access Card (CAC), som aldri lar nøkkelen permisjon kortet. Det betyr at for å bruke kortet til kryptering og digitale signaturer, trenger en person PIN -koden ( Personal Identification Number ) som er nødvendig for å låse den opp.

Se også

• Sannsynlig fornektelse
• Ragget forsvar
• Utpekt verifikatorsignatur
• Informasjonssikkerhet
• Ubestridelig signatur

Referanser

Eksterne linker

• "Ikke-avvisning i elektronisk handel" (Jianying Zhou), Artech House, 2001
• 'Ikke-avvisning' hentet fra Stephen Mason, Electronic Signatures in Law (3. utg., Cambridge University Press, 2012)
• 'Non-repudiation' i juridisk sammenheng i Stephen Mason, Electronic Signatures in Law (4. utg., Institute of Advanced Legal Studies for SAS Humanities Digital Library, School of Advanced Study, University of London, 2016) nå åpen kildekode