Комментарии
Избранное
Подписка
Сортировка:
Древо
(1)
На зато об этом можно прочитать в оригинале новости, на который дана ссылка:
Лично я не знаю, что такое "Единая биометрическая система", но с Госуслугами, думаю, знакомы все.
И если ваши авторизационные данные ЕСИА попали к мошеннику и он вместо вас туда заходит - кто в этом виноват, кроме вас самих?
(2)
что будет являться подтверждением что ЭЦП выдается именно заявителю
Об этом ничего не сказано в данном опусе - видимо, автор вслед за классиком решил, что "сие в-третьих не важно".
На зато об этом можно прочитать в оригинале новости, на который дана ссылка:
цифровую подпись можно будет получить дистанционно, например, после авторизации в Единой системе идентификации и аутентификации, которая используется на портале госуслуг, или в Единой биометрической системе, в июле прошлого года запущенной ЦБ и «Ростелекомом»
Лично я не знаю, что такое "Единая биометрическая система", но с Госуслугами, думаю, знакомы все.
И если ваши авторизационные данные ЕСИА попали к мошеннику и он вместо вас туда заходит - кто в этом виноват, кроме вас самих?
(2)
И так САЙДЁТЬ!!!
Для вас и вам подобным - несомненно!
(3)
Да главная проблема не в этом. А в том, что при "облачной" генерации ключа ЭЦП ключ по сути является изначально скомпрометированым с точки зрения криптографии. То есть, провайдер имеет полный доступ к приватному ключу наравне с формальным держателем подписи. Если для "обычной ЭП", предназначенной для защиты от "хакеров", это пойдет, то для юридически значимой КЭП - вряд ли. Потому что получается так, что у провайдера будет возможность сформировать подпись от имени владельца. То есть, по сути, формирование такой ЭП приравнивается к подписанию генеральной доверенности на провайдера.
Ну и с учетом того, что в ЕСИА люди заходят по простому логину и паролю, которые с точки зрения безопасности ниже на несколько порядков, получается так, что "хакеру" станет намного легче воспользоваться юридически значимой подписью, чем в случае, когда подпись реализована на стороне клиента на токене.
Вообще, считаю, следовало бы запретить КЭП на копируемых носителях, ибо нефиг. Только токен, причем с аппаратной пин-клавиатурой.
И если ваши авторизационные данные ЕСИА попали к мошеннику и он вместо вас туда заходит - кто в этом виноват, кроме вас самих?
Да главная проблема не в этом. А в том, что при "облачной" генерации ключа ЭЦП ключ по сути является изначально скомпрометированым с точки зрения криптографии. То есть, провайдер имеет полный доступ к приватному ключу наравне с формальным держателем подписи. Если для "обычной ЭП", предназначенной для защиты от "хакеров", это пойдет, то для юридически значимой КЭП - вряд ли. Потому что получается так, что у провайдера будет возможность сформировать подпись от имени владельца. То есть, по сути, формирование такой ЭП приравнивается к подписанию генеральной доверенности на провайдера.
Ну и с учетом того, что в ЕСИА люди заходят по простому логину и паролю, которые с точки зрения безопасности ниже на несколько порядков, получается так, что "хакеру" станет намного легче воспользоваться юридически значимой подписью, чем в случае, когда подпись реализована на стороне клиента на токене.
Вообще, считаю, следовало бы запретить КЭП на копируемых носителях, ибо нефиг. Только токен, причем с аппаратной пин-клавиатурой.
(5) Например у nalog.ru для их облачной эцп отдельный пароль. Так что в какой-то мере дополнительный фактор авторизации. Т.е. получается двухфакторная авторизация через егаис (логин/пароль+смс) и дополнительно пароль на эцп.
Но таки соглашусь, что это сугубо только для персонального использования. Так как я не могу проверить, что приватный ключ действительно зашифрован моим паролем и то, что этот пароль не сохранит кто-то себе. Оба момента очень вероятны.
Но таки соглашусь, что это сугубо только для персонального использования. Так как я не могу проверить, что приватный ключ действительно зашифрован моим паролем и то, что этот пароль не сохранит кто-то себе. Оба момента очень вероятны.
(5)
формальный держать вовсе не имеет доступа к ключу(ЗК)
Это вопрос аккредитации технологии, ключ(ЗК) выдается провайдером и облачный и обычный, гипотетически компрометация ключа возможна в обоих случаях.
Тут плюсую++, пошел наматывать 10 факторов на свою учетку
имеет полный доступ к приватному ключу наравне с формальным держателем подписи
формальный держать вовсе не имеет доступа к ключу(ЗК)
при "облачной" генерации ключа ЭЦП ключ по сути является изначально скомпрометированым
Это вопрос аккредитации технологии, ключ(ЗК) выдается провайдером и облачный и обычный, гипотетически компрометация ключа возможна в обоих случаях.
ЕСИА люди заходят по простому логину и паролю
Тут плюсую++, пошел наматывать 10 факторов на свою учетку
Ну и пусть, что теперь разведется куча мошенников, которые будут у бабушек-дедушек вместо снилса выспрашивать пароль от госуслуг.. Ну кого же волнует, что они потеряют нажитое с таким трудом имущество..
Кто вообще целевая аудитория этого говнопроекта, которой требуется совершать сделки с недвижимостью при помощи не обычной подписи, а именно электронной?
Кто вообще целевая аудитория этого говнопроекта, которой требуется совершать сделки с недвижимостью при помощи не обычной подписи, а именно электронной?
Ффух! Ну как я мог забыть, что у нас любой г...внокодер 1Сник умнее правительства?
Правда, при этом тот же 1Сник, предостерегая от ЭЦП в сделках с недвижимостью, почему-то не способен заметить слово "ипотека" рядом в тексте.
На пальцах это означает: вашу квартиру не продадут по ЭЦП... если только вы не банк.
P.S. Кстати, совсем недавно использование ЭЦП при сделках с недвижимостью между гражданами было запрещено. Почему? Как раз из-за злоупотреблений. И вдруг такая новость! Ай-яй-яй, какая провокация! И она вполне удалась, поздравляю!
Правда, при этом тот же 1Сник, предостерегая от ЭЦП в сделках с недвижимостью, почему-то не способен заметить слово "ипотека" рядом в тексте.
На пальцах это означает: вашу квартиру не продадут по ЭЦП... если только вы не банк.
P.S. Кстати, совсем недавно использование ЭЦП при сделках с недвижимостью между гражданами было запрещено. Почему? Как раз из-за злоупотреблений. И вдруг такая новость! Ай-яй-яй, какая провокация! И она вполне удалась, поздравляю!
(7) вот такие "умники" первыми мошенникам и попадаются, вас же никто обмануть не может?)
Не волнуйся, найдут 1000 и 1 способ воспользоваться этой ЭЦП в мошеннических целях, там не только ипотека.
Мы еще ипотеку по логину-паролю не брали, и не участвовали в сделках, и не открывали ИП, зашибись.
Не волнуйся, найдут 1000 и 1 способ воспользоваться этой ЭЦП в мошеннических целях, там не только ипотека.
Мы еще ипотеку по логину-паролю не брали, и не участвовали в сделках, и не открывали ИП, зашибись.
Новые вопросы с вознаграждением
Автор темы объявил вознаграждение за найденный ответ, его получит тот, кто первый поможет автору.