Artykuł jest częścią serii opracowań zagadnień obowiązujących na egzaminie CompTIA Security+ SY0-701. Zapisz się na newsletter, jeżeli nie chcesz przegapić kolejnych publikacji.
Zasada niezaprzeczalności (ang. non-repudiation), oprócz bycia jednym z fundamentalnych zasad bezpieczeństwa IT, jest również istotnym elementem kryptografii. Zapewnia, iż otrzymana wiadomość, w niezmienionej formie, została wysłana przez domniemanego nadawcę, który teraz nie może tego faktu się wyprzeć.
Aby osiągnąć niezaprzeczalność w cyfrowym świecie, stosuje się m.in. podpis elektroniczny (ang. digital signature), który można traktować jako wirtualny odcisk palca (ang. fingerprint). Podpis cyfrowy jest w pewnym stopniu odpowiednikiem odręcznego podpisu na fizycznym dokumencie.
Mechanizmy kryptograficzne, wykorzystywane w podpisach elektronicznych, są w stanie dostarczyć nam dowód niezmienności (ang. proof of integrity) oraz dowód pochodzenia (ang. proof of origin), co przekłada się na zapewnienie wysokiego stopnia autentyczności.
Proof of integrity – dowód niezmienności, za pomocą którego jesteśmy w stanie zweryfikować, iż otrzymane informacje są dokładnie takie same, jak te wysłane przez nadawcę. Dane są spójne i nic nie zostało w nich zmienione od chwili nadania, aż do momentu odczytania.
- Osiągalny dzięki mechanizmowi hashowania, czyli obliczania skrótu (ang. hash), reprezentującego dane w postaci krótkiego ciągu znaków o stałej długości. Hash, dzięki swoim adekwatnościom, pomaga stwierdzić, czy treść wiadomości nie uległa zmianie.
- Jeśli stwierdzimy, iż hash dołączony do otrzymanych danych różni się od tego, który sami obliczyliśmy (zakładając, iż używamy dokładnie tej samej funkcji hashującej), powinno to wzbudzić nasze podejrzenia. Oryginalna wiadomość mogła zostać uszkodzona lub celowo zmieniona.
- Należy pamiętać, ze sam skrót nie daje możliwości weryfikacji źródła wiadomości.
Proof of origin – dowód pochodzenia daje możliwość weryfikacji, kto wysłał nam wiadomość i stanowi najważniejszy element zasady niezaprzeczalności. Do utworzenia podpisu cyfrowego przez nadawcę wykorzystywany jest jej/jego klucz prywatny (ang. private key), a do weryfikacji tegoż podpisu klucz publiczny (ang. public key).
Uwaga! Należy pamiętać, iż przedstawiona zasada niezaprzeczalności opiera się na założeniu, iż klucz prywatny jest w posiadaniu domniemanego nadawcy i jest dobrze chroniony.
