it-swarm-tr.com

Reddetmeme nasıl sağlanır?

Başka birine göndermem gereken bir mesajım varsa, reddedilmemeyi nasıl sağlarım?

Mesajı dijital olarak imzalamak yeterli mi?

43
user1157

Hayır. Dijital imzalar reddetmeme için yeterli değildir - uzun bir atışla değil.

Reddetmeme legal bir kavramdır. Bu, bir anlaşmazlık olması durumunda, bir davada, bir tarafın taahhütlerine bağlı kalmanın mümkün olacağı anlamına gelir.

Örneğin, inkâr edilmediğini iddia eden matematik şemaları "jüri saldırısına" dayanmak zorundadır. Bazı uzman tanıklar, teknik olmayan terimlerle sıradan bir jürinin (ve yargıçın) matematiğin neden bir şey kanıtladığını açıklayabilmelidir. Bu arada, karşı taraf için uzman bir tanık tam tersini tartışacak. Şema süslü matematik kullanıyorsa, jüri üyeleri ve hakim için anlaşılmaz olması muhtemeldir ve bu nedenle bir davada çok fazla kullanılması muhtemel değildir. Bu, literatürdeki çoğu matematiksel şemanın dayanamayacağı bir saldırıdır.

Korkarım kriptografik araştırma topluluğunun çoğu bunu berbat etti. Araştırmacılar matematikle çözmeye çalışarak "inkâr etmeme sorununu" ele aldığını iddia eden birçok teknik makale yazdılar - ancak kabul etmedikleri şey, kripto-matematik ile pragmatikler arasında muazzam bir boşluk olması ve Yasal sorunlar. Ve ne yazık ki, sorunun çözülmesinin en zor kısmı matematik değil, pragmatik ve yasal konular. Ne yazık ki, bu kriptografik araştırma topluluğu içinde uzun süredir kör bir nokta gibi görünüyor.

Aşağıda, bir mahkemenin veya avukatın tatmin olacağı gerçek bir inkâr edilmemeyi başarmanın zorlukları yer almaktadır:

  • Kötü amaçlı yazılım. Büyükbabanın bilgisayarına özel anahtarını çalan kötü amaçlı yazılım bulaşmışsa ne olur? Evini kaybettiği anlamına gelse bile, bu kötü amaçlı yazılım tarafından imzalanan herhangi bir şeyden onu sorumlu tutacak mıyız? Bu çok saçma olurdu. Özellikle, reddetmenin kolay bir yolu basitçe "özel anahtarımın sızdırılmış/çalınmış olması" olduğunu iddia etmektir.

    Sosyal mühendislik konusunda da benzer açıklamalar yapılabilir. Sosyal mühendislik saldırılarının özel anahtarı çalma konusunda başarılı olma şansı olduğunda ve program sıradan insanların güvenli bir şekilde kullanamayacağı şekilde tasarlandığında ve tasarımcılar bunu bildiğinde (veya bilmesi gerektiğinde), jüri üyelerinin Büyükbaba'yı sorumlu tutmaya istekli olup olmayacağı tartışmalıdır, çünkü kötü tasarlanmış bir güvenlik sistemi tarafından mahvoldu.

  • İnsanlar ve bilgisayarlar. Yasal olarak, inkâr etmemek bir insan eylemleriyle ilgilidir. Bir mahkeme, bir insanın (ör. Büyükbaba) sözleşme/işlem şartlarını kabul ettiğine dair kanıt arayacaktır. Kriptografik şemalar bunu başaramaz. Sadece bazı bilgisayarların bazı işlemler yaptığını gösterebilirler. Kriptograflar, bilgisayarın insanın bir ajanı olarak davrandığını ve bilgisayarın eylemlerinin insanın eylemleri için durabileceğini varsaymayı severler, ancak bu makul bir varsayım değildir. Örneğin, kişinin bilgisayarındaki kötü amaçlı yazılım özel anahtarı insanın izni olmadan uygulayabilir.

    Temel olarak, reddedilmeme planlarına yönelik kriptografik araştırmaların çoğu yanlış tehdit modeline sahiptir. O zamandan beri keşfettiğimiz varsayımlara dayanmaktadır.

Daha fazla bilgi edinmek isterseniz, kriptografik literatürde "reddedilmeme" adı verilen ile avukatların yeterli kabul ettikleri arasında bu boşluklar hakkında çok şey yayınlanmıştır. Daha fazla bilgi edinebileceğiniz bazı örnek yayınlar:

73
D.W.

Reddetmeme, ilan edilen yazarın mesajı gerçekten yazdığına dair bir kanıt bulundurmakla ilgilidir - ve bu kanıt, adı geçen yazarın onayı olmadan bile doğrulanabilir: yazar mesajını reddetmek .

Bu, asimetrik kriptografi gerektirir (doğrulama, yazarın onayı olmadan yapılabileceğinden, yazarın sahip olduğu gizli anahtarları kullanamaz), yani bunun için bir araç olan dijital imzalar.

Bununla birlikte, dijital bir imza ile işin sadece yarısını yaptınız ve bu kolay yarı. Dijital imza size “yazar Bob” demez. Diyor ki: "yazar, bu ortak anahtarla ilişkili özel anahtarı kim kontrol ederse" Hala Bob'un ortak anahtarını Bob'un kimliğiyle güvenilir bir şekilde (bir anlamda kanıt olarak kabul edilebilir şekilde) bağlamanın bir yoluna sahip olmalısınız. sertifikalar devreye giriyor. Sertifika, bir kimlik ("Bob") ve bir ortak anahtar içeren bir veri parçasıdır ve bir "Sertifika Yetkilisi" tarafından imzalanır: CA, sertifikayı imzaladığında şöyle der: "bu, sahip olunan ortak anahtardır o adam". CA kendisini dijital bir imza kullandığından, reddetmeme kapsamına girer: sertifika, CA'nın dürüst olduğu ve güvenilir prosedürler kullandığı sürece ortak anahtarın Bob olduğunu ancak "kanıtlar" olduğunu kanıtlar. kimlik kartı doğrulamasıyla yüzleşin). CA başarısız olursa, CA'ya dava açmak için yanlış sertifika kullanılabilir. Pratik bir bakış açısıyla, CA'nın ana ilgisi sertifikanın otomatik olarak doğrulanabilmesidir ve CA'nın ürettiği milyonlarca sertifikayı doğrulamak için tek bir CA ortak anahtarını bilmek yeterlidir. Web tarayıcıları bunu bir HTTPS sitesine bağlandıklarında yaparlar: sunucunun sertifikasını tarayıcı kodunda (veya işletim sisteminde) kodlanmış olan "kök CA" ya göre doğrularlar. İnternetin tamamını doğrulamak için birkaç düzine kök CA ortak anahtarı yeterlidir.

Sonuç olarak, dijital imzalar kullanılacak uygun şifreleme aracı olsa da, çözümün çoğu kriptografik değildir; çoğunlukla prosedürler ve çok sayıda avukatla uyumlu makale meselesidir.

37
Thomas Pornin

Ayrıca, iletiyi imzalamak için kullanılan özel anahtara erişen tek kişi olduğunuzun bir güvencesi varsa da yardımcı olur. Örneğin, özel anahtarın bir kopyası da bir tür anahtar emanet servisi tarafından tutuluyorsa, itiraz etmemek daha zordur, çünkü her zaman "İletiyi imzalamadım, kötü bir sysadmin olmalı msgstr "emanet veritabanına erişim".

X.509 sertifikalarında, anahtarın amaçlanan kullanımını tanımlamak için keyusage özniteliğinde "reddedilmemiş" bir bit bulunur. rfc528 bundan bahsediyor.

12
David Gelhar

Hiçbiri İtiraz talepte bulunandan otoriteye ve aynı zamanda otoriteden talep sahibine yapılan herhangi bir işlemin kanıtını ifade eder. bu, herhangi bir işlem yapan kişinin bilgisine sahip olacak elektronik bir kanıttır.

örneğin: Bir müşteri bir bankaya gidecek ve banka hesabı, veznedar veya yazar için bir şifre değiştirmeyi isteyecek, ancak müşteriye yardımcı olacak, ancak biyometri kullanarak sisteme giriş yapmak zorunda kalacak, bu, müşterinin banka hesabında bir sorun olduğunda müşteriye kimin yardım ettiğini tanımlamaktır, o zaman soruşturma ekibi müşterinin banka hesabından kimin sorumlu olduğunu izleyebilir, çünkü bu biyometrik bir uygulamadır, yazar inkâr edemez kendisine yöneltilen herhangi bir suçlama, müşterinin banka hesabında herhangi bir sahtekarlık olması gerektiğinde.

Müşteri ayrıca biyometri uygulamasını sadece bankaya gerçekten geldiğinden emin olmak ve bu değişiklik talebini yapmak için kullanır, bazen bir banka hesabı sahibi hassas bilgiler, kullanımı konusunda bankaya birisini gönderir. hiçbiri İtiraz, müşterinin banka hesabı ayrıntılarında herhangi bir sahtekarlık olması halinde bankaya kimin geldiğini ve değişiklik talebinde bulunduğunu belirleyen bir kanıt olarak kullanılamaz.

Hassas verilerin tüm değişikliklerinde, değiştirilmeden önce ve bir değişiklik isteği yapıldıktan sonra gösterilecek bir kasa (rapor) olacaktır. Bu rapor aynı zamanda değişiklik talebinde bulunan müşterinin ayrıntılarını ve ayrıca müşteri tarafından yapılan değişikliklere izin veren otoritenin ayrıntılarını da gösterecektir. bu rapor, değişiklik yapıldıktan sonra müşterinin banka hesabında herhangi bir sahtekarlık raporlandığında araştırmacı ekip tarafından kullanılabilir.

2
Tshekedi

Parmak izleri veya yüz tanıma gibi bazı biyometri biçimlerinin, sahtekarlıkla çoğaltma için en kolay kimlik doğrulama yöntemleri olduğunu belirtmek önemlidir. Her durumda, biyometrik verilerin bir dosyada saklandığını ve gerçekleşen kayıttaki verilerle eşleştiğini unutmayın. Veri dosyasının çalınması olasılığı sizi "Bob" olup olmadığı konusunda aynı tartışmaya yönlendirir.

1
Bob