Authentication

真實性的定義

  • September 26, 2020

我遇到了關於密碼學中真實性意味著什麼的各種定義。我想知道哪個是正確的。

第一個定義——我一直使用的那個——如下:

數據真實性意味著最初的消息發送者是他/她聲稱的那個人。

根據這個定義,我們可以在沒有數據完整性的情況下擁有數據真實性。

第二個定義將真實性定義為身份驗證+完整性。

沒有完整性就很難有消息的真實性。要驗證消息,您需要知道正在驗證的消息。如果您可以更改消息,則身份驗證標籤應該無效。消息真實性意味著您可以確定消息來自受信任的實體。出於這個原因,消息的真實性通常意味著完整性。

由於校驗和,這不會反過來。校驗和可用於保護消息的完整性。然而,校驗和並不能防止主動攻擊,因為任何人都可以計算校驗和。如果您需要防止主動攻擊,那麼通常也會對消息進行身份驗證。


我不確定“數據真實性意味著最初的消息發送者是他/她聲稱的那個人”是一個正確的定義。這似乎是實體身份驗證的定義。數據可能不是實體的辨識方面。我寧願說消息真實性證明消息來自特定實體。在那種情況下——正如第一部分所解釋的——完整性可能是隱含的。

例如,假設我們發現一堆畫作都帶有相同的簽名。然而,我們不知道是誰創作了這些畫作。我們所知道的是,有一些不知名的畫家繪製了這些資訊——畫家的身份並沒有真正確定。然而,我們所知道的是,所有的畫作都屬於一個畫家。這說明了繪畫本身的很多內容。

如果您查看實體身份驗證,則不需要涉及顯式消息,因此可能不需要數據完整性。所以你就是:沒有完整性的身份驗證。


真實性和完整性是不同的概念,即使在數據/消息的上下文中使用也是如此。混合這些概念是沒有意義的,即使其中一個暗示了另一個。所以我嘗試寫“消息驗證和完整性”,而不僅僅是“消息真實性”或“消息完整性”。

在文本中,您必須區分消息和實體身份驗證。如果您有消息身份驗證,您就知道很可能暗示了完整性。這不是實體認證的情況。因此,您確實需要查看上下文以查看是否暗示了完整性。

引用自:https://crypto.stackexchange.com/questions/29080