一般的には、否認防止には、アクションや変更を一意の個人に関連付けることが必要です。 例えば、セキュアエリアでは、キーカードによるアクセスシステムを使用しています。 ここで、キーカードが共有されていたり、カードの紛失や盗難がすぐに報告されなかったりすると、否認権が侵害されることになります。 同様に、コンピュータ アカウントの所有者は、パスワードを教えるなどして、他人にそのアカウントを使用させてはならず、これを実施するためのポリシーを導入する必要があります。
デジタル セキュリティ
デジタル セキュリティにおいて、否認防止とは次のことを意味します。 SHA2のようなデータハッシュは、通常、データが検出できないほど変更されないことを保証します。 しかし、このような安全策を講じても、中間者攻撃やフィッシングなどによって、転送中のデータを改ざんすることは可能です。
デジタル通信やデジタルストレージの文脈で否認防止を提供する一般的な方法は、デジタル署名であり、公的に検証可能な方法で否認防止を提供する、より強力なツールです。 メッセージ認証コード(MAC)は、通信当事者がお互いに所有する共有秘密を使用するように取り決めた場合に有効ですが、否認防止機能はありません。 メッセージが正しく復号されれば、それは本物である」という、暗号化すること自体が認証になるという誤解がありますが、これは間違いです。 MAC は、メッセージの並べ替え、ブロックの置換、ブロックの繰り返し、…. など、いくつかのタイプの攻撃を受ける可能性があります。 したがって、メッセージの完全性と認証を提供するだけで、否認防止はできません。 否認防止を実現するためには、認証局(CA)と呼ばれる信頼できる第三者(TTP)によって生成された証明書を信頼する必要があります。この証明書は、エンティティが以前の約束や行動(例:メッセージAをBに送信する)を否認できないようにするものです。 MACとデジタル署名の違いは、一方が対称鍵を使用し、もう一方が非対称鍵(CAが提供する)を使用することです。 どちらの場合(MACまたはデジタル署名)も、単に平文で見えるメッセージにタグを追加するだけです。 機密性が必要な場合は、暗号化スキームとデジタル署名を組み合わせるか、認証された暗号化を使用することができます。 デジタル起源の検証とは、認証/署名されたデータが、署名証明書に対応する秘密鍵を所有している人からのものである可能性が高いことを意味します。 メッセージのデジタル署名に使用される鍵が元の所有者によって適切に保護されていない場合、デジタル偽造が発生する可能性があります。