1. Inicio
  2. Pregunta y respuesta
  3. X509: Cuál es la diferencia entre firma digital y no repudio

X509: Cuál es la diferencia entre firma digital y no repudio

2010-08-12 14 views
18

Tengo que ocuparme de los certificados emitidos por la oficina postal suiza en tokens USB. Allí entregan dos certificados en el mismo token. En sus campos de uso previsto, uno tiene "no repudio" y el otro "firma digital".X509: Cuál es la diferencia entre firma digital y no repudio

Ahora, no puedo entender cuál es la diferencia práctica entre los dos: siempre he visto ambos en el mismo certificado, nunca dos certs para la misma identidad, cada uno con uno de los roles. De hecho, no puedo imaginar un escenario en el que el no repudio y la firma digital no sean lo mismo, para todos los asuntos prácticos, la misma cosa.

¿Alguien podría explicarme cuál es la diferencia, por favor? Y si tuvieras una sugerencia sobre en qué situación uno debería ser elegido sobre el otro, eso ayudaría también.

Fuente

2010-08-12 Stephane

Respuesta

27

Me doy cuenta de que esta pregunta es un poco antigua, pero creo que puedo arrojar algo de luz sobre la pregunta.

El valor de no repudio en el atributo keyUsage se refiere a todo el certificado, no a ningún propósito en particular. La presencia del indicador de no repudio indica que la clave privada tiene suficientes protecciones establecidas que la entidad nombrada en el certificado no puede repudiar-negar-acciones más adelante que toman con el certificado. La presencia de la bandera no previene el repudio, más bien indica que no es probable que el repudio sobreviva a un escrutinio razonable.

Por lo tanto, en este caso específico, la CA otorga al usuario la opción de un certificado que incluye o no el elemento de no repudio. Si desea afirmar a aquellos que verifican la firma que no puede negar fácilmente que fue usted quien la firmó (el token USB es el habilitador clave aquí), use el certificado de no repudio. De lo contrario, use el certificado marcado para firmas digitales. (Dependiendo de los otros atributos en el certificado, que puede o no ser capaz de firmar documentos con uno o ambos certificados.)

Ver Wikipedia: http://en.wikipedia.org/wiki/Non-repudiation
Véase también el RFC relevantes: http://www.faqs.org/rfcs/rfc3280.html (sección 4.2.1.3)

Fuente

2012-04-06 07:30:00 Calrion

+0

Hmm ... Interesante aclaración, de verdad. Gracias: tiene mucho más sentido cuando se ve así. No estoy seguro de que realmente coincida con la implementación real (porque, bueno, una firma se SUPONGA para hacer un contrato final) pero ciertamente explica la lógica detrás de la bandera. – Stephane

+0

Ahora bajo la regulación de eIDAS, el no repudio recibió un impacto adicional. QES, tal como lo define eIDAS, puede garantizar el no repudio en circunstancias definidas (en resumen: cuando QES se emitió y se aplicó correctamente) Consulte https://www.cryptomathic.com/news-events/blog/is-non-repudiation -realmente-no repudiable –

4

Pregunta interesante, y tus pensamientos coinciden con los míos.

He encontrado una referencia en IBM here sobre el uso de la clave, pero todavía no puedo entender bien la distinción.

El mejor que puedo frase mi entendimiento después de leer el artículo es que un uso no repudio significa "Yo realmente refería a firmar esto, y realmente comprender las implicaciones de la firma de este."

Disculpa, esta no es una respuesta completa, pero espero que ayude.

EDITAR 4 º de abril de 2014

Me acaban dado más puntos de nuevo. La respuesta de @Calrion es mucho mejor, así que envía cualquier +1 de esa manera.

Fuente

2010-08-12 13:57:12

+0

Gracias por el enlace. Apunta en la misma dirección que lo que sospechaba: el no repudio es un subconjunto limitado de la firma digital. – Stephane

+3

Acabo de recibir más puntos por esta respuesta, pero la respuesta de @Calrion es mucho mejor, así que cualquier + 1 debería ir allí :-) –

5

Hablé con el tipo que lo implementó y, aparentemente, pretendían que el certificado de "no repudio" para/realmente/firmando documentos y el de "firma digital" se utilizaran para la autenticación.

Fuente

2010-08-13 09:24:01 Stephane

5

"firma digital" significa que puede garantizar el origen del documento o la identificación del usuario; esto es AUTENTICACIÓN.

"no repudio" significa que el documento está aprobado, este es el compromiso de contenido también llamado FIRMA ELECTRÓNICA (no firma digital).

Esperanza esto ayuda a las causas siempre hacen esta pregunta, incluso en 2013 ...

Franck.

Fuente

2013-12-12 15:44:29

-1

"firma digital" se debe utilizar para la autenticación (fuiste tú quien firmó esto), mientras que "no repudio" significa que sabes lo que has firmado.

Si utiliza su certificado privado para autenticación (contra algún servidor) la autenticación funciona de la siguiente manera: Durante el establecimiento de la conexión su navegador (u otro SW) firmó algunos datos aleatorios proporcionados por el servidor para demostrar que era usted del otro lado. Pero el punto clave es que no tienes control sobre qué datos estás firmando. Por lo tanto, el servidor puede enviar en lugar de enviar datos al azar "Yo, Petr Novonty, le doy todo mi dinero a James Clark".

Para evitar esto, la clave utilizada para firmar algunos documentos debe tener bits de "no repudio" y no de "firma digital".

Fuente

2017-04-05 00:38:56 Vlasta

Cuestiones relacionadas

 Cuestiones relacionadas