stringtranslate.com

No repudio

En derecho, el no repudio es una situación en la que el autor de una declaración no puede impugnar con éxito su autoría o la validez de un contrato asociado . [1] El término se utiliza a menudo en un contexto jurídico cuando se cuestiona la autenticidad de una firma. En tal caso, se está "repudiando" la autenticidad. [2]

Por ejemplo, Mallory compra un teléfono celular por $100, escribe un cheque en papel como pago y firma el cheque con un bolígrafo. Más tarde, descubre que no puede pagarlo y afirma que el cheque es falso . La firma garantiza que solo Mallory podría haber firmado el cheque, por lo que el banco de Mallory debe pagar el cheque. Esto es no repudio; Mallory no puede repudiar el cheque. En la práctica, las firmas en papel y bolígrafo no son difíciles de falsificar , pero las firmas digitales pueden ser muy difíciles de descifrar.

En seguridad

En general, el no repudio implica asociar acciones o cambios con un individuo único. Por ejemplo, un área segura puede utilizar un sistema de acceso con tarjeta de acceso en el que el no repudio se violaría si se compartieran las tarjetas de acceso o si no se informara inmediatamente de la pérdida o el robo de tarjetas. De manera similar, el propietario de una cuenta de computadora no debe permitir que otros la utilicen, por ejemplo, dando su contraseña, y se debe implementar una política para hacerla cumplir. [3]

En seguridad digital

En seguridad digital , no repudio significa: [4]

La prueba de integridad de los datos suele ser el requisito más fácil de cumplir. Un hash de datos como SHA2 suele garantizar que los datos no se modificarán de forma indetectable. Incluso con esta protección, es posible manipular los datos en tránsito , ya sea mediante un ataque de intermediario o phishing . Por ello, la integridad de los datos se evalúa mejor cuando el destinatario ya posee la información de verificación necesaria, como después de haberse autenticado mutuamente . [6]

El método común para proporcionar no repudio en el contexto de las comunicaciones o el almacenamiento digitales son las Firmas Digitales , una herramienta más poderosa que proporciona no repudio de una manera públicamente verificable . [7] Los Códigos de Autenticación de Mensajes (MAC) , útiles cuando las partes que se comunican han acordado usar un secreto compartido que ambos poseen, no otorgan no repudio. Un concepto erróneo es que el cifrado, per se, proporciona autenticación "Si el mensaje se descifra correctamente, entonces es auténtico", lo cual no es el caso. MAC puede estar sujeto a varios tipos de ataques, como: reordenamiento de mensajes, sustitución de bloques, repetición de bloques, .... Por lo tanto, solo proporciona integridad y autenticación del mensaje, pero no no repudio. Para lograr el no repudio, uno debe confiar en un servicio (un certificado generado por un tercero de confianza (TTP) llamado autoridad de certificación (CA)) que evita que una entidad niegue compromisos o acciones anteriores (por ejemplo, enviar el mensaje A a B). La diferencia entre MAC y Firmas Digitales es que una utiliza claves simétricas y la otra claves asimétricas (proporcionadas por la CA). Nótese que el objetivo no es lograr confidencialidad: en ambos casos (MAC o firma digital), uno simplemente agrega una etiqueta al mensaje que de otro modo sería texto simple y visible. Si también se requiere confidencialidad, entonces se puede combinar un esquema de cifrado con la firma digital, o se podría utilizar alguna forma de cifrado autenticado . Verificar el origen digital significa que los datos certificados/firmados probablemente provienen de alguien que posee la clave privada correspondiente al certificado de firma. Si la clave utilizada para firmar digitalmente un mensaje no está debidamente protegida por el propietario original, puede ocurrir una falsificación digital. [8] [9] [10]

Terceros de confianza (TTP)

Para mitigar el riesgo de que las personas repudian sus propias firmas, el enfoque estándar es involucrar a un tercero de confianza . [11]

Los dos tipos de TTP más comunes son los analistas forenses y los notarios . Un analista forense especializado en escritura a mano puede comparar una firma con una firma válida conocida y evaluar su legitimidad. Un notario es un testigo que verifica la identidad de una persona comprobando otras credenciales y colocando su certificación de que la persona que firma es quien dice ser. Un notario proporciona el beneficio adicional de mantener registros independientes de sus transacciones, junto con los tipos de credenciales comprobadas y otra firma que puede ser verificada por el analista forense. [ cita requerida ]

En el caso de la información digital, la TTP más empleada es una autoridad de certificación , que emite certificados de clave pública . Cualquiera puede utilizar un certificado de clave pública para verificar firmas digitales sin un secreto compartido entre el firmante y el verificador. El papel de la autoridad de certificación es indicar con autoridad a quién pertenece el certificado, lo que significa que esta persona o entidad posee la clave privada correspondiente. Sin embargo, una firma digital es idéntica desde el punto de vista forense tanto en usos legítimos como falsificados. Alguien que posee la clave privada puede crear una firma digital válida. Proteger la clave privada es la idea detrás de algunas tarjetas inteligentes como la Tarjeta de Acceso Común (CAC) del Departamento de Defensa de los Estados Unidos , que nunca deja que la clave salga de la tarjeta. Eso significa que para usar la tarjeta para cifrado y firmas digitales, una persona necesita el código de número de identificación personal (PIN) necesario para desbloquearla. [ cita requerida ]

Véase también

Referencias

  1. ^ Li, Zhaozheng; Lei, Weimin; Hu, Hanyun; Zhang, Wei (2019). "Un sistema de no repudio de comunicación basado en blockchain para el servicio conversacional". 2019 IEEE 13th International Conference on Anti-counterfeiting, Security, and Identification (ASID) . págs. 6–10. doi :10.1109/ICASID.2019.8924991. ISBN 978-1-7281-2458-2. Número de identificación del sujeto  209320279.
  2. ^ Rosendorff (25 de enero de 2023). "¿Qué es el repudio de un contrato? - Abogados Rosendorff".
  3. ^ Christopher Negus (2012). Biblia de Linux. Wiley. pág. 580. ISBN 978-1-118-28690-6.
  4. ^ El no repudio en el entorno digital (Adrian McCullagh)
  5. ^ Yu, Mingchao; Sahraei, Saeid; Nixon, Mark; Han, Song (18 de julio de 2020). "SoK: Sharding on Blockchain". Actas de la 1.ª Conferencia de la ACM sobre avances en tecnologías financieras . págs. 114-134. doi :10.1145/3318041.3355457. ISBN . 9781450367325.S2CID204749727  .​
  6. ^ Chen, Chin-Ling; Chiang, Mao-Lun; Hsieh, Hui-Ching; Liu, Ching-Cheng; Deng, Yong-Yuan (julio de 2020). "Una autenticación mutua ligera con un dispositivo portátil en la informática móvil de borde basada en la ubicación". Comunicaciones personales inalámbricas . 113 (1): 575–598. doi :10.1007/s11277-020-07240-2. S2CID  218934756.
  7. ^ Chia, Jason; Chin, Ji-Jian; Yip, Sook-Chin (16 de septiembre de 2021). "Esquemas de firma digital con fuerte imposibilidad existencial de falsificación". F1000Research . 10 : 931. doi : 10.12688/f1000research.72910.1 . PMC 9925878 . PMID  36798451. 
  8. ^ Wu, Wei; Zhou, Jianying; Xiang, Yang; Xu, Li (diciembre de 2013). "Cómo lograr el no repudio del origen con protección de la privacidad en la computación en la nube". Journal of Computer and System Sciences . 79 (8): 1200–1213. doi : 10.1016/j.jcss.2013.03.001 .
  9. ^ "¿Cuáles son las diferencias entre una firma digital, una MAC y un hash?".
  10. ^ Sosin, Artur (2018). "Cómo aumentar la seguridad de la información en la era de la información". Revista de Gestión de Recursos de Defensa . 9 (1): 45–57. ProQuest  2178518357.
  11. ^ Zhou, Jianying; Gollmann, Dieter (1996). "Observaciones sobre el no repudio". En Kim, Kwangjo; Matsumoto, Tsutomu (eds.). Avances en criptología — ASIACRYPT '96 . Apuntes de clase en informática. Vol. 1163. Berlín, Heidelberg: Springer. págs. 133–144. doi :10.1007/BFb0034842. ISBN 978-3-540-70707-3.

Enlaces externos