Медведев узаконил электронную подпись

http://ibash.org.ru/quote.php?id=13945

e386: aaа, блин, только что показали, как президент поставил «электронную подпись» под распоряжением. СТИЛУСОМ НА ЭКРАНЕ!!! Они вообще понимают, что такое «электронная подпись»???? Пойду, отсканирую подпись директора, и начну приказы на премии себе выписывать!!! А что, президент же так делает...

Для использования ЭЦП надо будет проприетарщину в вайне запускать (как у втб24) и передавать данные по измененному до несовместимости SSL?

Кто в теме - как это вообще будет выглядеть? Любой гражданин или организация может получить квалифицированную эцп? Где? Как? Что делать в случае её утери? Что можно с ней делать, что подписывать?

а еще платить денюжку государевым монополистам ака спецслужбам

Потрясающее поле для мошенничества.

> Кто в теме - как это вообще будет выглядеть?

в системе webmoney уже давно юридически значимые документы подтверждаются ЭЦП

Любой гражданин или организация может получить квалифицированную эцп?

Можно получить там же, в webmoney, импортировать её в криптотокен, затем подписать ЭЦП какой нибудь документ и валидировать подпись на портале гос услуг. Можно в одном из УЦ

Что делать в случае её утери?

Процедура восстановление доступа в webmoney, в этом случае старая подпись становится не действительной с новым ключём начиная с даты отзыва в УЦ не знаю как происходит

Что можно с ней делать, что подписывать?

любые электронные документы, файлы, соглашаться с условиями, контракты..

> Потрясающее поле для мошенничества.

Только если украсть эту подпись, которая как правило на физическом носителе (раньше были дискеты, сейчас USB криптотокены) и узнать 4-8 значный пин код к токену.

в системе webmoney уже давно юридически значимые документы подтверждаются ЭЦП

в системе webmoney

в системе вебмани процветает беспредел, что делает ее для свободных людей не желающих анального зонда наиболее привлекательной)

А подпись OpenPGP признаётся теперь или нет?

> Только если украсть эту подпись, которая как правило на физическом носителе (раньше были дискеты, сейчас USB криптотокены) и узнать 4-8 значный пин код к токену.

Да брось. Ставишь троянец. Считываешь при случае пин. Когда лошара в очередной раз вставит себе хардварный ключик, подписываешь этим ключиком и пином дарственную насчет его квартиры...

> в системе вебмани процветает беспредел, что делает ее для свободных людей не желающих анального зонда наиболее привлекательной)

Нормально пользуюсь системой, не вижу никакого беспредела, вы конечно можете пользоваться тем чем вам удобнее.

Работаю с ВТБ24. У них телебанк (интернет-банкинг) работает через любой браузер. Вход в систему и подтверждение распоряжений можно производить по одноразовым паролям и/или по персональному сертификату ЭЦП. Подпись ЭЦП полностью эквивалентна к обычной подписи, поэтому можно стрелять себе в ногу, т.е. отправлять миллиарды в банановую республику, оформлять некоторые кредиты, делать вклады — никто слова поперек не скажет. Если же работать без ЭЦП, то объемы операций ограничены по объемам, плюс есть некоторые другие ощутимые ограничения.

Сертификат - обычный SSL-сертификат. Там в кодировке 1251 указаны ФИО владельца. Ключ для сертификата отдельно

Получение сертификата ЭЦП в втб24 относительно простое: надо скачать отечественную проприетарную приблуду (inter-pro client), запустить в вайне, и в ней сгенерить секретный ключ согласно мануалу. Из ключа сделать Certificate Request (.csr). CSR закоммиттить в телебанк, в ответ получить подписанный сертификат. После получения сертификата надо его распечатать. С распечаткой сертификата прийти в банк и расписаться. Ну и в тулзу inter-pro этот сертификат загнать, в браузере указать прокси 127.0.0.1:порт и вперед.

При необходимости подписывания операций эта тулза перехватывает запрос браузера, выдает подтверждающее окошко, затем спрашивает пароль от секретного ключа, и потом отправляет типа-подписанный запрос на сервер телебанка.

Короче, данная подпись ограничена одним предприятием. Если потерял, то звонишь поддержку банка и говоришь, что потерял — они отзывают сертификат.

> Да брось. Ставишь троянец. Считываешь при случае пин. Когда лошара в очередной раз вставит себе хардварный ключик, подписываешь этим ключиком и пином дарственную насчет его квартиры...

Подобного типа атака из области фантастики. Токенов сотни, каждый со своим интерфейсом в большинстве своём интерфейс закрыт. Для атаки надо знать что у человека токен (может быть иной носитель), надо впарить человеку трояна, надо выждать когда человек 2 раза воткнёт токен, надо заготовить документ с реквизитами, надо знать реквизиты.. в общем у вас слишком большое воображение.

всё это можно сделать при желании. А желание найдется ;)

Когда я читаю такие заголовки так и просится:

Медведев, самодержец всеросийский и прочее и прочее и прочее, повелевает своим указом за своей подписью, отныне считать электронную подпись.....

> Токенов сотни, каждый со своим интерфейсом в большинстве своём интерфейс закрыт.

Сертифицированных - единицы.

надо впарить человеку трояна

С виндой это не очень большая проблема. Впаривают не то что за квартиру, а за отключающую порнобаннер смс-ку.

надо выждать когда человек 2 раза воткнёт токен

Троян сам выждет, plug&play во все поля.

надо знать реквизиты..

Придется немного погрепать по жесткому диску в поисках документов.

надо заготовить документ с реквизитами

Заполнить шаблон. C этим жулик, конечно же, не справится :D

в общем у вас слишком большое воображение

Это ваши менее красноглазые родственники будут объяснять в судебном иске по поводу дарственной, которую тихо и незаметно подписали 4 года назад.

> Это ваши менее красноглазые родственники будут объяснять в судебном иске по поводу дарственной, которую тихо и незаметно подписали 4 года назад.

Угу. Но только в том случае, если владеле ЭЦП пойдёт в министерство недвижимости с сертификатом (или что там у нас) и подпишет бумагу: «прошу считать действительной использование электронной подписи номер 0B:94:BD:... для подписывания документов на дарение квартир».

> Но только в том случае, если владелец ЭЦП пойдёт в министерство и подпишет бумагу: «прошу считать действительной использование электронной подписи номер 0B:94:BD:... для подписывания документов на дарение квартир»

Хочется верить, что дела обстоят именно так.

> Хочется верить, что дела обстоят именно так.

Этот закон вроде как не меняет порядок использования подписи.

Сейчас порядок такой: есть частные конторы (с лицензиями ФСТЭК на разработку ПО для работы с конфиденциальной инфой, криптографией и т.д.) Это поставщики софта с ЭЦП. Их десятки/сотни в стране. Их софт также проходит сертификацию ФСТЭК на соответствие требованиям ГОСТов по защите информации. Там требуются всякие изолированные окружения, сертифицированные алгоритмы криптографического преобразование и много чего ещё.

Также в стране есть банки, министерства, налоговые, которые хотят получать документы от физ/юр лиц (клиентов) в электронном виде с пометкой «валидно, инфа 100%». Это предприятия.

И есть сами физ/юр.лица, которые не хотят стоять в очередях и работать через интернет. Это клиенты.

Предприятие заключает контракт с поставщиком. Поставщик разворачивает на территории Предприятия платформу для обработки ЭЦП. Предприятие вешает объяву для своих клиентов: «качаем вот эту тулзу, вот тут берем сертификаты, вот тут курим мануал». Клиенты делают эти действия, и все счастливы.

Это втб так работает и несколько других контор. См. мой коммент выше.

> А подпись OpenPGP признаётся теперь или нет?

ЕМНИП, у PGP не предусмотренно в протоколах такого понятия как CA, а в законе это прописано. В pgp сети доверия. Поэтому полноценной ЭЦП на территории РФ оно признано не будет — не пройдёт сертификацию.

> Подобного типа атака из области фантастики. Токенов сотни, каждый со своим интерфейсом в большинстве своём интерфейс закрыт. Для атаки надо знать что у человека токен (может быть иной носитель), надо впарить человеку трояна, надо выждать когда человек 2 раза воткнёт токен, надо заготовить документ с реквизитами, надо знать реквизиты.. в общем у вас слишком большое воображение.

Это у тебя оно, наоборот, отсутствует. Атака будет проводится не на конкретного человека, а по площадям. Берем самый популярный банк, и разкручиваем, какие там по дефолту немытыми массами используются токены, какой банк-клиент, как в нем автоматически сформировать платежку и так далее. Дальше начинаем распространять трояна, и собирать жертв.

>прошу считать действительной использование электронной подписи номер 0B:94:BD:... для подписывания документов на дарение квартир

То есть это я на каждый чих должен буду тащиться чёрт знает куда, и писать _бумажку_, в которой я «разрешаю» признание моей ЭЦП аналогом собственноручной подписи?! Ой ё...

> Для использования ЭЦП надо будет проприетарщину в вайне запускать (как у втб24)

Нет, зачем? Какая разница проверяющему, в какой софтине оно подписано? Главное, чтоб число/числа на выходе было корректны.

> То есть это я на каждый чих должен буду тащиться чёрт знает куда, и писать _бумажку_, в которой я «разрешаю» признание моей ЭЦП аналогом собственноручной подписи?! Ой ё...

Для «каждого чиха» никто не отменял обычную подпись. ЭЦП нужна для часто осуществляемых автоматизированных операций.

Для «каждого чиха» никто не отменял обычную подпись

То есть мы остались в 20 веке, а все заявления президента - популизм? Не, я так и думал, конечно, но не думал что до такой степени.

Я-то думал, что я сейчас могу куда-то прийти, показать паспорт, получить флешку с ключом, и наступит щастье. Надо тебе официальное электронное письмо президенту написать - пжжалста. Надо тебе в налоговую запрос сделать - пжжалста. Надо тебе в ЖЭК, в конце концов, запрос сделать - пжжалста. Вот тогда я скажу - да, в России есть электронная подпись.

> Я-то думал, что я сейчас могу куда-то прийти, показать паспорт, получить флешку с ключом, и наступит щастье.

Вообще-то не флешку, а электронный USB-ключ.

Надо тебе в ЖЭК, в конце концов, запрос сделать - пжжалста. Вот тогда я скажу - да, в России есть электронная подпись.

Ха! Для этого нужно в том же ЖЭКе документооборот сделать электронным. А электронную подпись прикрутить - это уже пустяк.

Ну да. А без электронного документооборота - нах оно мне сдалось-то?

> Берем самый популярный банк, и разкручиваем, какие там по дефолту немытыми массами используются токены, какой банк-клиент, как в нем автоматически сформировать платежку и так далее. Дальше начинаем распространять трояна, и собирать жертв.

Подобная атака нигде не проводилась и врядли будет проводится в виду сложности, огромной затратности и паливности. если бы подобное могли бы сделать вы, вы бы сейчас сидели на багамах, а не на LOR-е

Ключ для сертификата отдельно

Какой именно ключ и почему отдельно?

>> Потрясающее поле для мошенничества.

Только если украсть эту подпись, которая как правило на физическом носителе (раньше были дискеты, сейчас USB криптотокены) и узнать 4-8 значный пин код к токену.

У вас просто никогда не крали деньги с webmoney.

> У вас просто никогда не крали деньги с webmoney.

Верно, не крали, у меня e-num авторизация в системе.

На каждого хомяка по GPG ключу?

>Верно, не крали, у меня e-num авторизация в системе.

Видимо это безопасно, раз вы это утверждаете. Но вам не кажется, что избыточные меры безопасности призваны закрыть (а в некоторых случаях и скрыть) ошибки в проектировании самой системы?

в системе вебмани процветает беспредел, что делает ее для свободных людей не желающих анального зонда наиболее привлекательной)

Нормально пользуюсь системой, не вижу никакого беспредела

Беспредел там заключается в том, что в этой системе невозможно удалить аккаунт или стереть свои паспортные данные. Webmoney вцепляется в персональные данные мертвой хваткой. И вообще с их чудовищными процентами ими пользоваться бессмысленно - сейчас полно других нормальных платежных систем.

> Видимо это безопасно, раз вы это утверждаете. Но вам не кажется, что избыточные меры безопасности призваны закрыть (а в некоторых случаях и скрыть) ошибки в проектировании самой системы?

Нет, мне почему то не кажется что добавление более защищённого замка на дверь квартиры скрывает ошибки в проэкте квартиры )

> Беспредел там заключается в том, что в этой системе невозможно удалить аккаунт или стереть свои паспортные данные. Webmoney вцепляется в персональные данные мертвой хваткой.

А то что так же нельзя удалить запись о вашем рождении в роддоме или там в паспортном столе вас не смущает? Касательно webmoney тут затрагиваются финансовые операции, они должны храниться столько сколько система посчитает нужным их хранить. С чем вы и соглашаетесь когда кликаете OK на договоре обслуживания.

И вообще с их чудовищными процентами ими пользоваться бессмысленно - сейчас полно других нормальных платежных систем.

Идите в другие нормальные, меня устраивает те которыми пользуюсь я.