Confidencialidade, Integridade e Dispoñibilidade

O repudio refírese á negación dunha acción ou dun evento por parte dun participante nun proceso. No contexto da seguridade informática, o repudio ten que ver coa posibilidade de que un usuario ou entidade negue ter realizado algunha acción, como o envío dun mensaxe, a recepción de información ou a participación nunha transacción.

Tipos de Repudio

Ocorre cando unha entidade nega ter enviado unha mensaxe ou iniciado unha acción. Por exemplo, un usuario podería negar ter enviado un correo electrónico ou realizado unha transacción financeira.

Repudio do receptor (ou do destinatario):
Ocorre cando unha entidade nega ter recibido unha mensaxe ou certa información. Neste caso, un usuario podería afirmar que nunca recibiu un correo ou un documento importante.

Garantindo o Non Repudio

Para evitar o repudio e asegurar que unha entidade non poida negar ter realizado ou recibido unha acción, utilízanse varias técnicas criptográficas e legais. Aquí están os métodos máis comúns:

1. Sinaturas dixitais:
   As sinaturas dixitais garanten que unha mensaxe foi enviada por un remitente específico e que non foi alterada. Funcionan mediante o uso de criptografía de chave pública.
   Cando unha persoa envía unha mensaxe, asina o contido usando a súa chave privada. O destinatario pode verificar esta sinatura coa chave pública do remitente.
   Isto garante que a mensaxe provén do remitente e non pode ser repudiada.

   • Exemplo: Unha persoa asina un contrato dixitalmente; a sinatura asegura que non poderá negar a súa participación na creación ou aceptación do documento.

2. Marcas de tempo (timestamps):
   Unha marca de tempo utilízase para rexistrar o momento exacto no que ocorreu unha transacción ou se enviou unha mensaxe. Estas marcas adoitan estar asinadas por unha autoridade de certificación confiable.
   As marcas de tempo garanten que unha transacción ou mensaxe se enviou ou recibiu nun momento específico e evitan que un remitente ou receptor negue a temporalidade dun evento.

   • Exemplo: Un servizo de transaccións financeiras inclúe unha marca de tempo asinada para garantir que unha transacción se realizou a unha hora e data específicas.

3. Selos dixitais:
   Un selo dixital é unha técnica usada para garantir a autenticidade dun documento e para asegurar que non foi alterado dende a súa creación ou aprobación.
   Ao selar dixitalmente un documento, pódese garantir tanto a autenticidade do emisor como a integridade do contido, evitando así que o emisor negue ter enviado o documento ou modificado o seu contido.

   • Exemplo: Un servizo de correo electrónico que aplica un selo dixital aos correos enviados para garantir que non foron alterados e que realmente foron enviados polo emisor lexítimo.

4. Autoridades de Certificación (CAs):
   As autoridades de certificación emiten certificados dixitais que validan a identidade das partes nunha comunicación.
   Nun sistema de chave pública, unha CA garante que unha chave pública pertence a unha persoa ou entidade específica. Se alguén tenta negar ter asinado unha mensaxe, a CA pode proporcionar evidencia en forma dun certificado dixital.

   • Exemplo: Cando se asina un contrato en liña, a CA valida que o asinante é efectivamente quen di ser, o que evita que este poida negar a súa participación.

5. Rexistros de auditoría (logs):
   Os rexistros de auditoría son unha ferramenta útil para proporcionar probas en caso de repudio. Estes rexistros documentan cada paso ou transacción realizada nun sistema, o que permite rastrexar a actividade do usuario.
   Estes rexistros poden estar protexidos contra manipulacións mediante selos dixitais e poden servir como probas en caso de disputa.

   • Exemplo: Un sistema de banca en liña garda un rexistro de todas as transaccións realizadas, con marcas de tempo e direccións IP, para evitar que un usuario negue ter realizado unha transferencia.