Comments 69
>>Что есть подпись. От капли крови до ЭЦП
Интересно как по капли крови можно было идентифицировать подписавшее лицо? Как никак личная подпись. Хоть крестики можно ставить поразному.
Интересно как по капли крови можно было идентифицировать подписавшее лицо? Как никак личная подпись. Хоть крестики можно ставить поразному.
Рискну предположить, что контекст о способе припечатать эту каплю своим пальцем, что оставляет fingerprint-узор.
хеш днк
Угу.
Пошел в поликлинику.
Медсестра на анализах тут же переоформила на себя все мое имущество? :)
Пошел в поликлинику.
Медсестра на анализах тут же переоформила на себя все мое имущество? :)
Видимо, Вы не поняли отсылку к договорам с Дьяволом, где требуется капля крови. Юморят ребята.
Подпись — это собственноручно написанная фамилия, возможно, с именем или инициалами, а не любой набор кракозябр. Поэтому почти везде требуют «расшифровку», которая, собственно, подписью и является.
Регулярно сталкивался с подписями-не-фамилиями. Подпись это набор закарючек, как пожелаешь.
Да ну? Жалко, мне этого не сказали. В детстве заморачивался на тему — а что такое подпись, зачем взрослым такая непонятная кракозябра? Надо и мне тоже придумать. Что бы такого сделать? Ну ладно, сейчас вот нарисую закорючку, и будет это моя подпись.
Вот с тех пор, с 7 лет, такая подпись и есть — закорючка.
Из тех людей, что я знаю, только у одного единственного подпись — это читаемая «собственноручно написанная фамилия, возможно, с именем или инициалами», у многих — абсолютно нерасшифровываемая муть, особенно у тех, кто с деньгами дело имеет.
Вот с тех пор, с 7 лет, такая подпись и есть — закорючка.
Из тех людей, что я знаю, только у одного единственного подпись — это читаемая «собственноручно написанная фамилия, возможно, с именем или инициалами», у многих — абсолютно нерасшифровываемая муть, особенно у тех, кто с деньгами дело имеет.
У меня подпись «Boomburum» :)
Бедные японцы, у которых вместо подписи личная печать.
А если серьезно, то лучше фамилию не использовать — тяжелее подделать, надо еще угадать, что там человек пишет.
А если серьезно, то лучше фамилию не использовать — тяжелее подделать, надо еще угадать, что там человек пишет.
Изначальная идея очень простая — своей рукой под договором поставить своё же имя и этим подтвердить своё участие.
Подделать смайлик значительно проще, чем 7 индивидуально корявых букв. В любом случае, вас заставят прописать «расшифровку», по которой и будут подделывать всё, что захотят.
Подделать смайлик значительно проще, чем 7 индивидуально корявых букв. В любом случае, вас заставят прописать «расшифровку», по которой и будут подделывать всё, что захотят.
А что значит «по которой и будут подделывать» — у меня в паспорте и КОПах банков сложная закорючка, в которой только при изрядной доле фантазии можно узнать мои инициалы на латинице.
Это значит то, что вы должны на документах оставить вменяемый образец почерка, а не комикс в трёх актах, поэтому почти на всех договорах требуют «расшифровку» подписи.
И ещё по закорючке нельзя определить, чья это подпись. Условный крестик может быть у сотни людей.
И ещё по закорючке нельзя определить, чья это подпись. Условный крестик может быть у сотни людей.
Кому должен? Комикс в трех актах точно так же может быть индивидуальным.
И с какой стати это должно быть необходимым? Вот договор, вот графа «Иванов:____» и прописью «Иванов» — и откуда вы знаете, эта подпись Иванову принадлежит, или это Петров написал «Иванов»? Все равно придется сличать. А уж закорючку или ФИО — без разницы.
И ещё по закорючке нельзя определить, чья это подпись
И с какой стати это должно быть необходимым? Вот договор, вот графа «Иванов:____» и прописью «Иванов» — и откуда вы знаете, эта подпись Иванову принадлежит, или это Петров написал «Иванов»? Все равно придется сличать. А уж закорючку или ФИО — без разницы.
ЭЦП — крутая технология, которая должна быть внедрена повсеместно, если мы говорим о цифровом человечестве. Но после недавних событий с подменой номеров для атаки на telegram, последнее место которому я доверю работу с моей подписью будет ОПСОС.
Терморектальный криптоанализ смотрит на ЭЦП с ухмылкой.
ЭЦП — крутая технология, которая должна быть внедрена повсеместно, если мы говорим о цифровом человечестве.О квантовый компьютерах не слышали?..
Вот забавно будет, когда они появяться, в все человечество уже перешло на ЭЦП…
UFO just landed and posted this here
Вы серьезно хотите сказать, что квантовые компьютеры убьют ЭЦП? Может вы не понимаете принципа действия подписи?
А может быть вы не понимаете? Какие из применяемых алгоритмов для ЭЦП устойчивы против квантовых вычислений?
Ну, применяемые алгоритмы нельзя будет использовать, но это ведь не значит, что ЭЦП как концепция умрёт. Есть алгоритмы, которые устойчивы против квантовых компьютеров: https://ru.wikipedia.org/wiki/Постквантовая_криптография
Просто перевыпустят ключи на новых алгоритмах.
Просто перевыпустят ключи на новых алгоритмах.
Криптоагоритмы изменятся раньше, чем у злоумышленников появятся квантовые компьютеры в достаточном количестве, ну то есть хотя бы один.
Есть знакомый почерковед, который не устаёт повторять, что «графология — лженаука», и присутствие этого термина в текстах про почерковедов — для них реально оскорбительно.
ЭЦП — очень удобная вещь. У нас ЭЦП зашивается в карту-элекронный паспорт, при помощи которой можно через интернет отправить документы в органы власти, открыть-закрыть фирму, заключать сделки, иметь отношения с банками, голосовать на выборах, в конце концов.
Печать — чушь времен палеолита, зачем она вообще нужна в наше время? За 3 копейки любую стандартную печать сделают в ближайшем подвале.
Печать — чушь времен палеолита, зачем она вообще нужна в наше время? За 3 копейки любую стандартную печать сделают в ближайшем подвале.
Печать — чушь времен палеолита, зачем она вообще нужна в наше время?Затем, что если вы просто напишете любую бумажку, она не будет иметь силу;
а если вы подделаете печать и шлепните ею по бумажке и вас схватят с поличным — вас могут посадить.
«Затем, что если вы просто напишете любую бумажку, она не будет иметь силу;»
Расписка в свободной форме имеет юридическую силу на территории РФ.
«а если вы подделаете печать и шлепните ею по бумажке и вас схватят с поличным — вас могут посадить.»
Под ту же 327 статью УК, можно попасть, если подделать какой-либо документ без печати, с одними подписями.
Вообще «печать» и весь набор связанных с ним законов и «комплексов мер, направленных...», как любят у нас писать в различных инструкциях — просто один из механизмов удостоверения подлинности бумажных документов.
Очень привычный на территории постсоветского пространства, в восточных странах, итп.
Если внезапно отказаться от печатей и перейти на механизм подтверждения документов только подписями, переписав все законы под этот механизм — ничего глобально не изменится. (Будет много головных болей в момент перехода, как всегда, но по сути мало что поменяется)
Расписка в свободной форме имеет юридическую силу на территории РФ.
«а если вы подделаете печать и шлепните ею по бумажке и вас схватят с поличным — вас могут посадить.»
Под ту же 327 статью УК, можно попасть, если подделать какой-либо документ без печати, с одними подписями.
Вообще «печать» и весь набор связанных с ним законов и «комплексов мер, направленных...», как любят у нас писать в различных инструкциях — просто один из механизмов удостоверения подлинности бумажных документов.
Очень привычный на территории постсоветского пространства, в восточных странах, итп.
Если внезапно отказаться от печатей и перейти на механизм подтверждения документов только подписями, переписав все законы под этот механизм — ничего глобально не изменится. (Будет много головных болей в момент перехода, как всегда, но по сути мало что поменяется)
Затем, что если вы просто напишете любую бумажку, она не будет иметь силу;
В каких-то странах, вероятно, так. Но я не о законе, а о степени защищенности: вас посадят и при подделке подписи. Но подделать подпись намного сложнее, чем сделать печать. Смысл в печати, как защите, если она изготавливается за 5 минут? Раньше был хоть смысл в написании способом оттиска названия организации и/или отдела, теперь-то элементарно впечатывается при составлении документа.
Сценарий атаки на эту вашу подпись чрезвычайно прост:
Когда вы в очередной раз захотите воспользоваться своей ЭЦП на вашем компьютере уже будет стоять троян, который подсунет в карту «на подпись» хэш не бюллетеня для голосования, а дарственную на вашу квартиру в пользу жулика. После чего троян сымитирует зависание компьютера, что даст вам возможность наконец-то проголосовать и спокойно пойти пить пиво в бар.
Вернётесь домой — а дом уже занят!
Когда вы в очередной раз захотите воспользоваться своей ЭЦП на вашем компьютере уже будет стоять троян, который подсунет в карту «на подпись» хэш не бюллетеня для голосования, а дарственную на вашу квартиру в пользу жулика. После чего троян сымитирует зависание компьютера, что даст вам возможность наконец-то проголосовать и спокойно пойти пить пиво в бар.
Вернётесь домой — а дом уже занят!
Как-то раз в банке закрывал депозитный счет, открытый лет за 6-7 до этого. Кассиру не понравилась моя подпись на документах, дескать она отличается от подписи семилетней давности. Ну дык, разумеется отличается! Я с тех мог палец сломать и вообще стать другим человеком и писать более размашисто. Три раза пробовал — не совпадает. Тогда кассир развернула монитор со сканом подписи ко мне, я увидел, как именно ту загогулину заворачивать и на этом мучения завершились. Может, кассир тогда совершила должностное преступление, не знаю.
От статьи остается ощущение недосказанности.
Скажите, какие вопросы планируется решать сертификатами на сим картах? Какие бонусы у людей от подобной схемы по отношению к текущему положению дел? Если, например, взаимоотношения банк-клиент, то для физ лиц это не интересно — смс аутентификация обкатана и не зависит от платформы, версии софта, наличия / отсутствия сертификатов фсб/фстэк и т.д.
При этом, как упомянуто выше, ЭП на базе паспорта и/или соц карты, уэк на мой взгляд смысл имеет, но только в случае наличия криптографического ядра на борту, который позволит выпустить сертификат хотя бы на 3 года (в идеале на срок действия самой пластиковой карты, но это малореализуемо без новых криптоалгоритмов).
На мой взгляд все большую долю будет занимать т.н. облачная электронная подпись, которая не зависит от клиентских устройств и требует только браузера. При этом, правда, сохраняется необходимость доработки серверного софта для каждой электронной информационной системы и главная сложность — вопросы безопасности, идентификации и аутентификации.
Вообще, несмотря на активное развитие в России идеи электронных подписей, сейчас так и не придумали для чего ее использовать обычным физ лицам.
Скажите, какие вопросы планируется решать сертификатами на сим картах? Какие бонусы у людей от подобной схемы по отношению к текущему положению дел? Если, например, взаимоотношения банк-клиент, то для физ лиц это не интересно — смс аутентификация обкатана и не зависит от платформы, версии софта, наличия / отсутствия сертификатов фсб/фстэк и т.д.
При этом, как упомянуто выше, ЭП на базе паспорта и/или соц карты, уэк на мой взгляд смысл имеет, но только в случае наличия криптографического ядра на борту, который позволит выпустить сертификат хотя бы на 3 года (в идеале на срок действия самой пластиковой карты, но это малореализуемо без новых криптоалгоритмов).
На мой взгляд все большую долю будет занимать т.н. облачная электронная подпись, которая не зависит от клиентских устройств и требует только браузера. При этом, правда, сохраняется необходимость доработки серверного софта для каждой электронной информационной системы и главная сложность — вопросы безопасности, идентификации и аутентификации.
Вообще, несмотря на активное развитие в России идеи электронных подписей, сейчас так и не придумали для чего ее использовать обычным физ лицам.
Чтобы подписываться под петициями разными.
Петиции не требуют немедленной обработки. Они в принципе интересны небольшому количеству людей, а сценарий, при котором необходимо срочно подписать петицию на мобильном устройстве вообще не стоит упоминания, на мой взгляд.
Котироваться идея мобильной и/или облачной ЭП для физ лиц начнет только с большим количеством сервисов, позволяющих ее эксплуатировать и делающих жизнь человека комфортнее. Сейчас таких сервисов мало и необходимости в их срочной обработки нет.
Котироваться идея мобильной и/или облачной ЭП для физ лиц начнет только с большим количеством сервисов, позволяющих ее эксплуатировать и делающих жизнь человека комфортнее. Сейчас таких сервисов мало и необходимости в их срочной обработки нет.
Сертификат на сим-картах это реально круто, тк смартфоны есть процентов у 70% населения, через пару тройку лет на каждом будет сканер отпечатка пальца (да я знаю что его легко обойти, но печать и подпись подделать еще легче). Это в идеале позволит развернуть сервисы е-goverment широчайшим образом.
Наличие смартфонов не играет тут большой роли. Проблема с сертификацией средств ЭП (здесь как СКЗИ, так и приложения, куда они встраиваются) для популярных платформ, без которых юридическая значимость электронной подписи под большим вопросом.
А второй вопрос — зачем. На текущий момент для физ лиц почти нет сферы применения электронных подписей. Имеющиеся сервисы, которые ее эксплуатируют, нужны раз в год по обещанию и вместо заморочек с ее приобретением проще сделать альтернативным способом.
Мобильная электронная подпись, имхо, понадобится только тогда, когда будет внедрена повсеместно в коммерческих системах (как пример — в какой то новости упоминалось удаленное заключение договора с каршеринговой компанией).
Но при подобном расширении сферы использования встает во весь рост вопросы безопасности — одно дело смарт карта или аналог (СКМ, УЭК, электронный паспорт, usb токены и пр.), другое дело вирусы и левые приложения с полным комплектом разрешения на ios / android. При подобном положении вещей (то есть, если внедрять ЭП на мобильные устройства) проще внедрить облачную ЭП, как в рамках сопровождения, так и эксплуатации.
А второй вопрос — зачем. На текущий момент для физ лиц почти нет сферы применения электронных подписей. Имеющиеся сервисы, которые ее эксплуатируют, нужны раз в год по обещанию и вместо заморочек с ее приобретением проще сделать альтернативным способом.
Мобильная электронная подпись, имхо, понадобится только тогда, когда будет внедрена повсеместно в коммерческих системах (как пример — в какой то новости упоминалось удаленное заключение договора с каршеринговой компанией).
Но при подобном расширении сферы использования встает во весь рост вопросы безопасности — одно дело смарт карта или аналог (СКМ, УЭК, электронный паспорт, usb токены и пр.), другое дело вирусы и левые приложения с полным комплектом разрешения на ios / android. При подобном положении вещей (то есть, если внедрять ЭП на мобильные устройства) проще внедрить облачную ЭП, как в рамках сопровождения, так и эксплуатации.
Что там делает набор отмычек?
Это визитка Митника. Собственно он позиционирует ремесло хакера не как компьютерный взлом, а образ мышления, в том числе пакости оффлайн.
UFO just landed and posted this here
Когда речь идет про ЭЦП, сразу вспоминает известная линейка продуктов CryptoPro. Последний опыт общения с этой системой стоил мне массы нервных клеток. Заплатили несколько тысяч рублей, получили диск и ключ. Нашли не очень свежий ноут с CD, установили. Требует плагин в IE. Поставили. Не работает. Связались с ТП — сказали удалить старую версию и выслали какую-то другую в rar-архиве, который тут же был удален встроенным в windows антивирусом. Знаете что нам посоветовали? Отключить антивирус!
Далее выяснилось что в панели управления просто не открывается «установка и удаление программ». Только что открывалась а теперь нет. Гугл подсказал что это нормальный эффект от CryptoPro. Связались с ТП — нам посоветовали кой-чего подправить в реестре. Ну ОК, подправили, переустановили, не работает.
Связали с ТП — говорят отключите все настройки безопасности в IE.
Супер, заработало, классный продукт.
Далее выяснилось что в панели управления просто не открывается «установка и удаление программ». Только что открывалась а теперь нет. Гугл подсказал что это нормальный эффект от CryptoPro. Связались с ТП — нам посоветовали кой-чего подправить в реестре. Ну ОК, подправили, переустановили, не работает.
Связали с ТП — говорят отключите все настройки безопасности в IE.
Супер, заработало, классный продукт.
Если квалифицированную ЭЦП будет выдавать ОПСОС, это будет кошмар.
Когда единственный раз пользовался российской ЭЦП, какого-то доверия к технологии не сформировалось от слова совсем. Ибо:
- Для получения "подписи" нужно отдавать ключевой носитель кому-то ещё. Нет никакой гарантии, что закрытый ключ формируется на носителе и не покидает его.
- Ради интереса посниффал протокол передачи между носителем и браузерным плагином. Обнаружил там пин-код в открытом виде. Кроме того, передаётся такое огромное количество сообщений, что это совершенно расходится с представлениями о том, как должны работать смарт-карты (в том же ISO/IEC 7816 всё на порядок проще).
В тех же S/MIME и PGP всё как-то логично и прозрачно, и доверия к этим технологиям больше.
Что, реально в открытом виде? А за что разработчики крипто про тогда деньги берут? Причем несколько раз подряд! Чем этих товарищей с рутокенами стандартные виндовые механизмы работы с смарткартами не устраивают?
ЗЫ. «Кому то еще» это так называемые удостоверяющие центры, и им по идее нужно доверять)
ЗЫ. «Кому то еще» это так называемые удостоверяющие центры, и им по идее нужно доверять)
Чем этих товарищей с рутокенами стандартные виндовые механизмы работы с смарткартами не устраивают?
Надо же что-то делать, а то получается, что уже всё сделано и брать деньги не за что.
ЗЫ. «Кому то еще» это так называемые удостоверяющие центры, и им по идее нужно доверять)
Нет, безопасность так не работает. У ЭЦП есть свойства (в частности, невозможность генерации подписи в отсутствии ключевого носителя), которые должны соблюдаться. Даже если я доверяю УЦ, это не защищает меня от взлома серверов УЦ, на которых, возможно, хранится мой закрытый ключ. Во мире PKI принято генерировать ключ у себя, а в УЦ отправлять запрос на выдачу сертификата для этого ключа.
Честно говоря, статьей несколько разочарован. Думал будет рассмотрена внутренняя логика использования ЭЦП, а ничего этого нет. :(
Разве с выходом нового ФЗ ЭПЦ сейчас не называется ЭП?
Я даже сталкивался с поддельными подписями в документах самого МегаФона. Сотрудница ПАО «МегаФон» из Самары подделывала подписи генерального директора ПАО «МегаФон».
Какая компания, такие и нравы в ней…
Какая компания, такие и нравы в ней…
Главная проблема электронного документооборота, а значит и ЭЦП в России является ужасающая нецентрализованность. То есть существует куча несовместимых и несвязанных друг с другом документооборотов (СБИС, Контур, РОСЭЛТОРГ и прочие, тьма их). То естьь грубо говоря для того чтобы избавиться от бумаги и перейти на ЭТО я, как фирма, должен подключить их все. Что естественно дорого неудобно и неразумно.
Проблема решается изменениями в ФЗ и скромной стойкой в углу какого-нибудь ДЦ на которой будут крутиться сервера центрального авторизационного центра и почтовые сервера соответственно. Но к сожалению мало того что депутаты заняты другими… ну скажем так более «важными» законами, так я еще глубоко неуверен что этой публики вообще можно как то объяснить понятие ЭЦП, ассиметричной криптографии и удостоверяющего центра.
ЗЫ. Если общероссийская система ЭДО таки будет запущена то Почте России придет каюк)
Проблема решается изменениями в ФЗ и скромной стойкой в углу какого-нибудь ДЦ на которой будут крутиться сервера центрального авторизационного центра и почтовые сервера соответственно. Но к сожалению мало того что депутаты заняты другими… ну скажем так более «важными» законами, так я еще глубоко неуверен что этой публики вообще можно как то объяснить понятие ЭЦП, ассиметричной криптографии и удостоверяющего центра.
ЗЫ. Если общероссийская система ЭДО таки будет запущена то Почте России придет каюк)
С 1 января 2013 года гражданам выдаётся универсальная электронная картаНу, да, мне она как раз с того приблизительно срока и выдаётся. Сначала что-то говорили про технические трудности, сейчас прямо заявляют: финансирование приостановлено. Извините, УЭК закрывается.
И таки закрылось. Усё.
японскому профессору с группой аспирантов удалось подделать все считыватели отпечатков пальцевОбмануть
Sign up to leave a comment.
Что есть подпись. От капли крови до ЭЦП