<<< [=]

Sekureco kaj konfidenceco en komputila komunikado

3 Tradicia komunikado: aŭtentikeco

Kiel dirite, la problemo pri aŭtentikeco en komunikado inter homoj konsistas en la pruvo aŭ certigo, ke ricevata mesaĝo venas efektive de la persono, de kiu ĝi ŝajnas veni.

3.1 Parola komunikado

3.1.1 Parola komunikado inter konatoj

En rekta parola komunikado (konversacio) inter konatoj oni malmulte zorgas pri aŭtentikeco. Se oni bone vidas, aŭdas kaj konas la parolanton, estas malfacile trompiĝi pri ties identeco. Same estas preskaŭ neeble erari pri la origino de liaj vortoj; se iu alia, proksima, provus imiti lian voĉon, oni verŝajne rimarkus, kaj ĉiuokaze la imitato protestus.

Blinduloj eble povas iom pli facile erari pri la identeco de konversacia partnero, sed normale ne dum iom longa konversacio. Facile erari oni tamen povas inter identaj ĝemeloj; eĉ ne multe helpas prezentado de legitimilo, escepte se ĝi enhavas fingropremaĵon. Sed se oni tre bone konas la koncernaton, eble pasigis multan tempon kun li, oni eble tamen rimarkas kondutajn diferencojn de trompanto. Krome trompanto ne povas scii ĉion pri komunaj travivaĵoj de la alparolato kaj la alia ("vera") ĝemelo, do eblas konstati la trompon pro la mankanta scio.

3.1.2 Parola komunikado inter nekonatoj

Dum konversacio inter nekonatoj validas, same kiel inter konatoj, ke preskaŭ ne eblas erari pri tio, kiu persono parolas. Eblas tamen erari pri la identeco de tiu persono. Tiam helpas ekzemple prezentado de legitimilo.

Legitimi sin signifas pruvi sian identecon. Farante tion oni certigas la fonton de tio, kion oni diras, kaj do aŭtentikigas siajn diraĵojn. Oni povas klasi la eblojn legitimi sin jene:

  1. Legitimado per posedo
  2. Legitimado per scio
  3. Legitimado per korpaj ecoj
  4. Legitimado per kapablo

3.1.2.1 Legitimado per posedo

Eblas legitimi sin per la posedo de io, kion ne ĉiu povas posedi. Ekzemple estas ŝtata, firmaa aŭ asocio legitimilo, produktita en maniero ne tro facile imitebla.

Interesa kaj grava estas tiurilate la fakto, ke la produktado de io povas esti pli facila ol la imitado. Ekzemplo estas, ke oni ŝiras paperan folion en du pecojn kaj donas po unu al du personoj, kiuj ne konas sin reciproke. Kontrolante, ĉu la paperaj ŝiraĵoj interrespondas, ili povas facile legitimi sin, kvankam estas ege malfacile imiti precize tiun ŝiradon.

3.1.2.2 Legitimado per scio

Same kiel ĉe posedo la scio devas esti scio, kiun ne ĉiu posedas. Povas esti antaŭe interkonsentita sekreto, ekzemple pasvorto en armeo, pasvorto de komputilo aŭ komputila programo, identiga numero de kredit- aŭ bankokarto. Interese estas, ke ankaŭ sufiĉe disvastigita scio povas servi por legitimado: Dum militoj oni jam identigis spionojn demandante homojn pri scio konata "al ĉiu", ekzemple la rezultoj de ĵusa sporta konkurso. Eksterlandaj spionoj ĵus alvenintaj ne scias tiajn aferojn.

3.1.2.3 Legitimado per korpaj ecoj

Tiaj ecoj povas esti alteco, pezo, koloro de hararo, haŭto kaj okuloj, cikatroj, la tono de la voĉo, la ritmo de klavara tajpado, fingropremaĵoj, la aspekto de la retino kaj, kompreneble, la aspekto de la vizaĝo. Fake oni parolas pri biometriaj ecoj. Necesas atenti, ke kelkaj ecoj ŝanĝiĝas dum la vivo (hararkoloro, pezo, vizaĝo) aŭ dum malsanoj (voĉo).

3.1.2.4 Legitimado per kapablo

Legitimado per scio estas vere nur speciala kazo de legitimado per kapablo; la kapablo tie estas la kapablo diri la sekretan scion. Sed se homo posedas specialajn, eksterordinarajn, eble tre konatan kapablon, li povas identigi sin per ili.

La plej multaj homoj ne posedas vere eksterordinarajn individuajn kapablojn. Sed preskaŭ ĉiu posedas la grupan kapablon, bone kaj senakĉente paroli sian gepatran lingvon. Tion efektive limpolicanoj uzas por identigo: Ofte ili demandas kontrolaton pri iu afero tute banala, ekzemple "De kie vi venas?", "Kien vi veturas?" aŭ "Ĉu vi intencas resti longe?". Tion ili faras ne por scii la respondon, sed por aŭdi, ĉu ĝia prononco kongruas kun la nacieco de la pasporto.

Pri io simila jam raportas la kristana Biblio:

Biblio, Juĝistoj, 12, 5-6:

Kaj la Gileadanoj baris al la Efraimidoj la transirejon de Jordan. Kaj kiam unu el la forkurantoj diris: Mi volas transiri, tiam la Gileadanoj diris al li: Ĉu vi estas Efraimido? Se li diris: Ne, tiam ili diris al li: Diru: Ŝibolet; li diris: Sibolet, ĉar li ne povis elparoli ĝuste; tiam ili kaptis lin kaj buĉis lin ĉe la transirejo de Jordan.

3.2 Letera (skriba) komunikado

En letera (skriba) komunikado estas multe pli facile erari aŭ erarigi pri la identeco de la sendanto, ĉar la ricevanto ne havas rektan kontakton kaj ne vidas kaj aŭdas lin. Tial oni elpensis rimedojn por aŭtentikigi skribajn mesaĝojn:

Ĉiuj tiuj teknikoj similas la legitimadon per posedo, sed posedas gravan kroman econ: La posedata objekto (aŭ ĝia bildo en la okazo de stampilo aŭ sigelilo) estas ligebla kun la portanto de mesaĝo, ekzemple papero. La papero siaflanke estas firme ligita al la mesaĝo sur ĝi; kvankam eblas aldoni ion al la mesaĝa teksto, ne eblas forskrapi aŭ fortondi ion sen lasi spurojn. Tiu ligo inter mesaĝo kaj aŭtentikigilo estas fundamenta eco.

Simile fundamenta estas la problemo, ke eblas manipuli mesaĝ-portaĵon, ekzemple paperon, post la almeto de aŭtentikigilo, ekzemple subskribo. Kvankam ofte eblas ekkoni tion pro alia inko, tajpilo aŭ manskribo, ĝi ja estas ebla maniero falsi mesaĝon. Oni evitas ĝin per kelkaj "universalaj" reguloj:

unu stampo povas aŭtentikigi du foliojn unu sigelo povas aŭtentikigi multajn foliojn

Tiuj tradiciaj teknikoj baziĝas sur pluraj faktoj:

3.3 Eblaj problemoj

La priskribitaj metodoj kaj teknikoj havas certajn problemojn, kiuj estas longe konataj.

3.3.1 Posedo kaj ŝtelo aŭ perdo

Objekto, kiu servas por aŭtentikigo per posedo, povas esti ŝtelita aŭ perdita. Tiam la ŝtelinto aŭ trovinto povas uzi ĝin por false legitimi sin. La problemo estas tre konata kaj grava pri kreditkartoj.

La kutima solvo estas kombini aŭtentikigon per posedo kun alia metodo, scio aŭ biometriaj metodoj. Bankokarto necesigas por uzo la scion de persona identiga numero, kreditkarto la kapablon produkti la ĝustan subskribon. Pli sekuraj estas kreditkartoj kun fotoj; la bankoj, kiuj metas fotojn sur kreditkartojn, havas multe malpli da misuzo ol aliaj.

3.3.2 Scio kaj komunaj sekretoj

Aŭtentikigo per komuna sekreto havas specialan problemon: ĉar ĉiuj partneroj scias la komunan sekreton, la scio pruvas nur, ke oni apartenas al la grupo de la sciantoj. Legitimi sin kiel certan personon funkcias nur, sed la grupo enhavas nur du homojn. Do ĉiu paro da personoj bezonas komunan sekreton, kaj ĉiu persono devas havi tiom da sekretoj, kiom ĝi havas partnerojn.

Tiun problemon ne havas aŭtentikigo per kapablo, ĉar kapablon eblas kontroli sen havi mem la saman kapablon (laŭ la konata diro: kiu ne mem kapablas produkti ovon, tamen povas prijuĝi la kvaliton de ovo).

3.3.3 Pruvi aŭtentikigon al triaj personoj

Ofte okazas, ke iu persono A aŭtentikigas sin al alia persono B, kaj tiu devas pruvi al tria persono C la aŭtentikigon. Pensu pri bank-dungito B, kiu elpagis monon al kliento A kaj devas pruvi al sia estro C, ke li pagis al A.

Per subskribo tio funkcias, kvankam surpapera subskribo estas malpli forta pruvilo ol subskribo farata antaŭ ies okuloj. Sed per scio tio ne funkcias: Por kontroli la scion B devas mem scii la sekreton, do lia scio ne pruvas, ke A aŭtentikigis sin. Ni poste vidos eblajn solvojn por tiu problemo.

3.4 Manieroj de falsado

Aŭtentikigo de mesaĝoj direktiĝas kontraŭ falsado, do kontraŭ provoj trompi aliajn pri la aŭtentikeco de mesaĝo. Por pli bone kompreni la ĉi-rilatajn danĝerojn necesas distingi

Sendo de mesaĝo koncernas sendanton S kaj ricevanton R; krome eble estas tria(j) persono(j) T, kiu malice volas malutili al iu. Ne nur T, sed ankaŭ S kaj R povas havi intereson falsi la mesaĝon:

En ĉiu el tiuj tri okazoj ekzistas la speciala okazo, ke mesaĝo estas ne nur modifita, sed nove kreita aŭ detruita:

Tiujn tri oble tri okazojn eblas aranĝi en matrico:

SRT
modifi MSMRMT
detrui DSDRDT
krei (imiti) KSKRKT

De ekstere unuavide ne eblas distingi, kiu falsis kiel. Por eksterulo, ekzemple juĝisto, jenaj okazoj estas ne facile distingeblaj (la situacioj priskribas, kion la personoj S kaj R asertas, ne nepre tion, kio vere okazis):

Ĉe R alvenas alia mesaĝo ol S sendis: MS MR MT
Ĉe R ne alvenas mesaĝo, kvankam S sendis mesaĝon: KS DR DT
Ĉe R alvenas mesaĝo, kvankam S ne sendis mesaĝon: DS KR KT

Kial distingi la falsad-manierojn de modifo, kreado kaj detruo? Ĉar sub certaj cirkonstancoj ili prezentas al la falsanto malsamajn gradojn de malfacileco. Ĝenerale eblas supozi, ke kreado de nova mesaĝo estas plej malfacila, ĉar la falsanto ne havas la originalajn aŭtentikigilojn, kaj detruado estas plej facila, ĉar ĝi detruas ankaŭ la aŭtentikigilojn.

Tradicia letera komunikado klare montras, ke nenia aŭtentikigilo povas protekti kontraŭ detruo de mesaĝo (povas ankaŭ okazi simpla perdo, sen iu malica intenco). Pro tio la poŝtoj enkondukis la instrumenton de registrado de leteroj en registro disa de la leteroj mem. Tiel detruado de letero ne detruas la registran informon, kaj eblas pruvi la detruon aŭ perdon – pli klare, eblas pruvi la sendon de la letero, eĉ se tiu ne alvenis.


Specimenaj demandoj


>>>