ISO25023規格によるセキュリティ特性
次のことを明確にするのを手伝っていただけませんか。
ISO 25023規格は、セキュリティを次の5つの特性に分割しました。
機密性特性(に分割)----->アクセスの制御性とデータの暗号化
整合性特性(に分割)----->データ破損防止と内部データ破損防止
否認防止特性(に分割)----->デジタル署名の利用
説明責任の特性(に分割)-----> Accessの監査可能性とシステムログの保持時間
信頼性特性(に分割)----->認証プロトコルと認証ルールの確立
文献に基づくと、真正性は機密性(アクセス制御性)の一部ですが、ISOがそれを機密性から分離し、特性として分類したのはなぜですか?
私はこれらの用語が重複していることに同意し、読み取りアクセスのコンテキストでそれらを区別するのにも苦労しています(信頼性は情報が「本物である」という保証を意味することはできません-既知のソースから発信されたものであり、エージェントとしての認証のみです特定のアクセス権限を持つ)。ただし、2つの概念が異なる書き込みアクセスを含むいくつかの例を次に示します。
攻撃者はチャネルから暗号化されたメッセージを読み取ることができ、復号化キーにアクセスできるようになりました。機密性(暗号化)を保証する手段は回避されましたが、メッセージを作成できたのは、主張された意図された作成者だけであるという点で、信頼性はまだ維持されている可能性があります(非対称暗号化は、チャネルのアクセス制御と同様に、これを保証できます)。
攻撃者は暗号化された通信チャネルに書き込みます。機密保持には、通信されているプレーンテキストが攻撃者によって発見されないようにする必要があります。攻撃者が実際にチャネルからも読み取ることができる場合でも、それは依然として非常に有効である可能性があります。ただし、信頼性は失われており、「再生された」メッセージは迎え角として使用できます。
私は、その区別が非常に一般的であり、機密性、完全性、および信頼性(便利な頭字語CIAを可能にする)が安全な通信に不可欠であると引用されているという印象を受けています。パーカーのヘキサドに基づく大学からの私のメモは、所有性、可用性、実用性をかなり自明の性質として追加していますが、いずれにせよ、機密性と信頼性の区別を保持しています。