Autentificare, autenticitate, integritate, non-repudiere – conformitatea legală şi mitul tehnicismelor

“securitate cibernetică – starea de normalitate rezultată în urma aplicării unui ansamblu de măsuri proactive şi reactive prin care se asigură confidenţialitatea, integritatea, disponibilitatea, autenticitatea şi nonrepudierea informaţiilor în format electronic, a resurselor şi serviciilor publice sau private, din spaţiul cibernetic.” (Hotărârea Nr.271 din 15.05.2013 pentru aprobarea Strategiei de securitate cibernetică a României şi a Planului de acţiune la nivel naţional privind implementarea Sistemului naţional de securitate cibernetică, MONITORUL OFICIAL NR. 296 din 23 mai 2013)

Scopul avizului îl constituie verificarea îndeplinirii de către sistemul informatic al emitentului și de către soluția software, prin intermediul cărora este oferit instrumentul de plată cu acces la distanță, a unor cerințe minime de securitate, referitoare la:
a) confidențialitatea și integritatea comunicațiilor;
b) confidențialitatea și nonrepudierea tranzacțiilor;

(Ordinul MCTI nr. 389 din 27 iunie 2007 privind procedura de avizare a instrumentelor de plată cu acces la distanță, de tipul aplicațiilor internet-banking, home-banking sau mobile-banking)

Trebuie sa existe un plan de securitate al sistemului informatic, cuprinzând masurile tehnice si organizatorice care sa asigure urmatoarele cerinte minimale:
a) confidentialitatea si integritatea comunicatiilor;
b) confidentialitatea si nonrepudierea tranzactiilor;

(OMEF nr. 3512/2008 privind documentele financiar-contabile.)

Cei mai mulţi cunosc semnificaţia tehnică a elementelor din triada C-I-A şi a nonrepudierii. Pentru non-repudiere nu ştiu să existe nici o definiţie în vreun text de act normativ din România. Este oarecum firesc: legislaţia nu are cum să reflecte instantaneu implicaţiile schimbărilor induse de tehnologie. Totuşi, au trecut ceva ani şi, mai mult decît atît, se cere să se confirme că această cerinţă este respectată.

Legea nr. 455 din 18 iulie 2001 privind semnatura electronica nu defineşte non repudierea deşi la Art. 5 precizează că:

Inscrisul in forma electronica, caruia i s-a incorporat, atasat sau i s-a asociat logic o semnatura electronica extinsa, bazata pe un certificat calificat nesuspendat sau nerevocat la momentul respectiv si generata cu ajutorul unui dispozitiv securizat de creare a semnaturii electronice, este asimilat, in ceea ce priveste conditiile si efectele sale, cu inscrisul sub semnatura privata.

iar semnatura electronica extinsa reprezinta:

acea semnatura electronica care indeplineste cumulativ urmatoarele conditii:
a) este legata in mod unic de semnatar;
b) asigura identificarea semnatarului;
c) este creata prin mijloace controlate exclusiv de semnatar;
d) este legata de datele in forma electronica, la care se raporteaza in asa fel incat orice modificare ulterioara a acestora este identificabila;
5. semnatar reprezinta o persoana care detine un dispozitiv de creare a semnaturii electronice si care actioneaza fie in nume propriu, fie ca reprezentant al unui tert;

Spre deosebire de semnătura olografă este oarecum incorect să se afirme că semnătura electronică este “legată în mod unic de semnatar”. Dacă semnătura mea stă “în capul şi în mîna mea” nu acelaşi lucru se poate afirma despre semnătura electronică. Nu îmi este clar la ce se referă “unicitatea”. Remarc totodată şi lipsa unei definiţii pentru „tranzacţii”.

Definiţii conform Glosarului de termeni ISACA:

Authentication

1. The act of verifying identity, i.e., user, system.
Scope Notes: Risk: Can also refer to the verification of the correctness of a piece of data.

2. The act of verifying the identity of a user, the user’s eligibility to access computerized information.
Scope Notes: Assurance: Authentication is designed to protect against fraudulent logon activity. It can also refer to the verification of the correctness of a piece of data.

Integrity

Guarding against improper information modification or destruction, and includes ensuring information non-repudiation and authenticity.

Nonrepudiation

The assurance that a party cannot later deny originating data; provision of proof of the integrity and origin of the data and that can be verified by a third party.

Scope Notes: A digital signature can provide non-repudiation

Există diferenţe între asigurarea non repudierii tehnice şi a celei legale?

Conform ISO/IEC 13888-1:2004 IT security techniques – Non-repudiation – Part 1: General trebuie respectate următoarele principii:

•  Creation of evidence for the participation of an entity in a transaction
•  Collection of evidence
•  Preservation  of  evidence  for  a  time  period  in  which  they  can  be  requested  if needed
•  Availability of evidence for a third party
•  Verification of evidence authenticity should be possible

Conform ISO/lEC 10181-4 Information  technology  –  Open  Systems Interconnection  –  Security  frameworks  for open  systems:  Non-repudiation  framework :

In  an OSI environment  (see CCITT  Rec. X.800  and IS0  7498-2)  the Non-repudiation  service has two  forms:
–  Non-repudiation  with  proof of origin which is used to  counter  false denial  by  a sender that  the data or  its contents has been sent
–  Non-repudiation  with  proof  of delivery  which  is used to  counter  false denial by a recipient that the data or its contents (i.e.  the  information  that  the data represents) has been received.

Mergem şi la RFC 4949

non-repudiation service 1. (I) A security service that provide protection against false denial of involvement in an association (especially a communication association that transfers data). (See: repudiation, time stamp.)

„Technical non-repudiation”: Refers to the assurance a relying party has that if a public key is used to validate a digital signature, then that signature had to have been made by the corresponding private signature key. [SP32]

– „Legal non-repudiation”: Refers to how well possession or control of the private signature key can be established.

Autoritatea de Certificare efectuează o autentificare pentru a verifica identitatea proprietarului şi utilizatorului legitim al semnăturii electronice extinsă. Cealaltă parte implicată în tranzacția electronică se bazează pe autoritatea de certificare și are încredereverificarea autenticităţii a fost efectuată cu succes. Identitatea reală a semnatarului nu este însă verificată! Cum se poate depăşi această limită? Doar prin biometrie, cred.

Non-repudierea tehnică nu este absolută!

Bibliografie:

Non-repudiation

Liability and Computer Security: Nine Principles – Ross J Anderson

Digital Signatures, Certificates and Electronic Commerce

Cryptography and evidence

Mulţumesc.

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s