真实性定义

Question

在密码学中，我遇到了各种关于真实性的定义。我想知道哪一个是正确的。

第一个定义--我经常使用的定义--如下：

数据的真实性意味着最初的消息发送者就是他/她声称的那个人。

根据这一定义，我们可以在没有数据完整性的情况下获得数据的真实性。

第二个定义将真实性定义为身份验证+完整性。

Answer 1

没有诚信就很难有消息的真实性。要对消息进行身份验证，您需要知道要验证的消息是什么。如果您可以更改消息，则身份验证标记将变得无效。消息的真实性意味着您可以确定消息来自受信任的实体。因此，消息的真实性往往意味着完整性。

这并不是因为校验和，而是相反的。校验和可用于保护消息的完整性。但是，校验和并不能防止主动攻击，因为任何人都可以计算校验和。如果您需要防止主动攻击，那么消息通常也要经过身份验证。

我不确定“数据真实性意味着最初的消息发送方是他/她声称的那个人”是一个正确的定义。这似乎是实体身份验证的定义。数据可能不是实体的标识方面。我宁愿说，消息的真实性证明了消息来源于特定的实体。在这种情况下--正如第一节所解释的--完整性可能是隐含的。

举个例子，比如说，我们发现一堆画都有相同的签名。然而，我们不知道是谁创作了这些画。我们所知道的是，有一个不知名的画家画的信息-画家的身份并没有真正确定。然而，我们所知道的是，所有的画都属于一位画家。这些画本身就说明了很多问题。

如果您查看实体身份验证，则不需要涉及显式消息，因此可能不需要数据完整性。这就是:没有完整性的身份验证。

真实性和完整性是不同的概念，即使在数据/消息的上下文中使用也是如此。将这些概念混合在一起是没有意义的，即使其中一个暗示了另一个。因此，我尝试写“消息认证和完整性”，而不是仅仅写“消息真实性”或“消息完整性”。

在文本中，您必须区分消息和实体身份验证。如果您有消息身份验证，您就知道完整性很可能是隐含的。实体身份验证的情况并非如此。因此，您确实需要查看上下文，以确定是否意味着完整性。

Answer 2

我还在学习安全知识，我想分享我的两分钱。

总的来说，我认为有两种真实性-实体真实性和数据真实性。

实体真实性在很大程度上是验证协议的人或参与者。一个例子是您手机上的生物识别锁(例如指纹或脸ID)，它验证了您是有权使用该手机的用户。在这种情况下，实体真实性可以被认为是用户身份验证。

数据真实性是为了确保您正在接收的消息来自声称的发送方。这与实体真实性不同。在实体真实性中，您可以验证与您交谈的人是您要与之交谈的人，但是，在数据真实性中，您可以验证您收到的消息是否来自该人。在这种情况下，数据真实性可以被认为是消息的真实性。

通常，正如前面的答案所提到的，消息的真实性通常意味着消息的完整性，而相反的则不是真实的。我能想到的一个例子是，假设A和B在说话，但M是一个偷听它们的守恒的攻击者。M捕获了A发送给B的数据包，并将该数据包重放给B。在这种情况下，由于消息没有被M修改(由选择)，消息的完整性得到了保持，但是，消息的真实性被破坏，因为消息是由M而不是A发送的。

请随时纠正我或编辑这一点。谢谢。

Answer 3

没有一个“正确”的。在不同的背景下有不同的真实性概念，并且编码的目标略有不同。