Комментарии материала

19.10.2020 13:32

«Небывалый простор для мошенничества». Как уязвимость закона разрушает сделки с электронной подписью

Читать материал
Комментарии (16)
Все дискуссии
Самые ранниеОтображать в прямом порядкеОтображать в обратном порядке
Показательно казнить мошенников - через месяц мошенничеств не будет. Остальные меры - бесполезны.
2 ответа

Пробовали - не помогает (ц)

Можно упростить взыскание ущерба с удостоверяющих центров за выдачу подписи без надёжной идентификации с дополнительными штрафами по аналогии с законом о защите прав потребителя.

Что значит можно скопировать и что значит флешка это токен с определенным количеством контейнеров, в которых могут храниться ЭЦП. Т.е. это не совсем флешка и не все токены позволяют копировать саму ЭЦП. Более того, доступ к ЭЦП можно защитить паролем, ну и саму ЭЦП не выпускать на конкрентном токене. В плане защиты, узкое место - это удостоверяющие центры, там много неквалифицированного персонала, а главное пренебрегающего мерами безопасности и нарушающего протоколы по удостоверению личности.
1 ответ

обычно эцп криптопро совместимая с разрешенным экспортом закрытого ключа.
криптопро позволяет скопировать контейнер на флешку в виде набора файлов, или на жесткий диск.
на токене обычно пароль 12345678. далеко не все его меняют

Ну, если появится место, где будут светиться ВСЕ созданные мной ЭЦП - это хорошо. Когда ипотеку оформлял "Зеленый" безбанк категорически отказался использовать наличествующую электронную подпись (тогда на Медедевской УЭК) и содрал лишний тыр (крахоборы!!!) за выпуск собственной. И еще несколько раз с подобным сталкивался. Т.е. подпись создавалась ровно для подписания одного документа. При этом я в глаза не видел ничего, кроме СМС с кодом. И позиция "Колхоз дело добровольное - хочешь вступай, не хочешь расстреляем" повсеместна. Я бы хотел иметь ОДНУ подпись и ей пользоваться. Так вот именно за это и стоит бороться. Стучать по рукам всем, кто настоятельно требует использования собственной ЭЦП. Вплоть до закрытия с огромным штрафом. И не надо будет столько. А еще лучше увязать ЭЦП и ИНН. Вот тогда вообще вопросов нет. Один налогоплательщик - одна ЭЦП.
2 ответа

То что творится в области ЭП это полное безобразие, законы переписывают в угоду отставникам ФСБшным, чтобы они могли зарабатывать бабло.
УЦ придумали т.н. области использования (ОИДы) - соответственно если нет нужного ОИДа то ты не можешь отправлять отчетность, участвовать в госзакупках и т.д. и это жульничество и противоречит самой идее квалифицированной электронной подписи.
Одно место "в котором будут светиться ЭЦП" кстати уже давно придумано и вовсю внедряется в России - это облачная ЭП на основе КриптоПро DSS, жаль что умник "Анатолий Лебедев" упомянутый в статье ничего не сказал про это а сказал только "Если человек хранит свой секрет непонятно где, то его может узнать любой проходимец". Может он не на 100% профпригоден, как и все безопасники. Столько безопасников, один умней другого, а воровство процветает а все информационные базы становятся доступны через неделю

260608031
То что творится в области ЭП это полное безобразие, законы переписывают в угоду ...
Место где светятся все ЭЦП это не облачные подписи, а единый реестр сертификатов. Кроме того каждый регистратор ведёт свой. Всё это предусмотрено действующим законодательством, но получить оперативную информацию из этих реестров невозможно. Нет механизма уведомления о подписи сертификата ключа.

Ну учитывая как сливаются базы клиентов с того же сбера через тех же нищеватых сотрудников на которых греф жабится - то тут я думаю вообще все расцветет махровым центром мошенничества.

Давайте откровенно : государство в лице нескольких человек поощряет мошенничество на стадии выборов, причём всех ветвей власти. Как в таком случае бороться с мошенничеством "на земле"? Кто знает рецепт?

1. Стоимость подписи = 900 рублей, носитель не является необходимостью. Криптографическое средство покупать необязательно, на три месяца его можно устанавливать бесплатно.
2. Криптографический контейнер защищен паролем, простое копирование "в лоб" его вскрыть не поможет. Мало того, по истечении 10 попыток ввода неправильного пароля КриптоПро еще и "уничтожит" контейнер.
3. Защищенный контейнер вполне можно хранить в облаке, лишь бы пароль был помощнее, а не стандартный 12345678.
4. Если человек сам поделился своей КЭП с кем-то другим, то он сам - дурак. Мог бы сразу в виде денег отдать все имущество.
1 ответ

2. Даже обработка внутри крипточипа не является абсолютной гарантией проверки пин-кода закрытого ключа и удаления при превышении количества неудачных попыток. Проверки программами исполняющимися на центральном процессоре это профанация. Любые криптографические действия внутри основного компьютера небезопасны поэтому использование криптопровайдеров идеологически неверно. Скопированный контейнер можно ломать до тех пор пока пароль не будет найден. С современным оборудованием старые сказки про тысячелетия перебора надо проверять каждый месяц из-за выхода новых чипов.
3. Хранение закрытого ключа в облаке не может быть безопасным т.к. оттуда его могут похитить. Ввод пин-кода в браузере даёт возможность украсть его десятком способов.
4. Текущие системы работающие с ЭЦП часто не предоставляют возможности передачи части полномочий другому лицу. Это провоцирует к передаче подписи.

Существующая схема КЭП в принципе не может ничего гарантировать:
1) Нет запрета на любые варианты генерирования закрытого ключа кроме как внутри криптоносителя с невозможностью экспорта. Сейчас КЭП часто генерируется удостоверяющим центром и копируется на носитель типа "флешка с паролем"
2) Вместо смарт-карт работающих через считыватель с пин-клавиатурой используются usb устройства пароль к которым похищается вирусами
3) Подпись/шифрование осуществляется программно, а не внутри крипто-чипа смарт-карты
4) Фактически невозможно мгновенно узнать о подписях выданных в сотнях УЦ
5) Можно получить больше одной подписи
6) Придуманы ОИДы на разные виды деятельности хотя они ненужны
7) Сложно ожидать от значительной части текущих УЦ надёжной идентификации получателя подписи. Проблемно взыскать убытки за ошибочно выданную подпись.

Почему бы сотрудникам ФСБ не премировать инспекторов ФНС, которые ежемесячно бьются за победу в соцсоревновании "подделай ЭЦП сдай уточненный "нулевой" НДС". На этой схеме государство в лице федерального бюджета уже потеряло не один триллион рублей. В конце концов все это рано или поздно всплывет грандиозным скандалом и напомнит громкие дела позднего СССР....

Любопытно, а что будет, если произойдет очень мощная вспышка на Солнце, или на Россией произойдет высотный ядерный взрыв. Тогда не станет не только компьютеров, но и электричества. Как тогда доказать стаж или право собственности, если они были электронными. Безмозглость однако.

> ЭП — это самая обыкновенная флешка ...

Начнем с того, что сегодня файлы с ЦП устарели и уже существуют сотни разных USB токенов, а это уже специальное USB устройство где есть свой процессор и ключи записаны в защищенную область памяти (в специальный чип) и мало того что их оттуда не получить (в протоколе токена нет операции чтения ключа), так еще и может быть необходимо ввести еще и одноразовый пароль пришедший для разблокировки этого устройства.

Сегодня популярность набирают различные USB FIDO токены с прошитым заранее ключем обращающиеся к самому удостоверяющему центру, а тот требует подтверждения у пользоватлея в мобильном.

Технический полным полно удобных механизмов, но понимаете люди сами использутют сатрый формат ЭЦП и сохраняют файлы куда-то непойми куда и т.д.

Все дискуссии
-1