Тут тогда нужно усложнять логику.
1. Можно идти в сторону унификации формата документов: например, использовать markdown или другой похожий несложный формат. В таком случае во время подписи, он будет загружать текст документа на смартфон, там уже можно сверять хэши. В случае с бинарными данными даже не знаю как будет лучше.
2. Также можно работать на сертификацией самих онлайн-сервисов, т.е. не принимать документы от кого попало.
Интернет все-таки тут обязательное требование, без него все остальные сервисы не имеют смысла. Исключение это только какие-нибудь корпоративные системы документооборота.
Насчет хранения ключей, конечно до аппаратных токенов будет далеко, но получше будет чем сейчас, когда на флэшке всё. Да и пароль самого ключа никто не отменял.
Четкое отделение собственно подписания от всего остального порождает другое, на мой взгляд лаконичное, решение, которое уже привязывается к смартфонам.
Подробнее описал ниже.
Есть еще такой вариант решения.
1. Создаются отдельные приложения для смартфонов, единственной функцией которых будет подписывание. Ключи пользователя будут хранится только на его смартфоне.
2. Далее все заинтересованные сайты-сервисы именно на этапе подписывания генерируют какой-нибудь qr-код с хэшем документа.
3. Пользователь сканирует этот код через свое приложение и подписывает.
4. Далее приложение на смартфоне передает сервису-источнику публичный ключ с подписью для проверки.
Для конечного пользователя здесь похожий принцип, по которому пользователь открывает ватсап на своем десктопе.
На мой взгляд, это будет и удобно, и с точки зрения безопасности все нормально должно быть.
Также и дорабатывать много чего не надо, так как уже похожие приложения тот же egov выпускает кажется.
Насчет поведения тоже согласен: смысл криптографической защиты обесценивается за счет безответственного отношения к своим и чужим ключам.
Но думаю это до первого прецедента. Например, пока кто-то таким образом «законно» не переоформит на себя чужую собственность. Напрямую это вроде как пока сделать нельзя, но можно к примеру женить кого-то на себе, а потом при разводе вымогать деньги :)
Насколько я понимаю, здесь узкое место в самом процессе подписывания, так как средства джаваскрипта браузера не позволяют ему работать с ключами (rsa, gost). И в любом случае нужен аналог NCALayer.
А вот возможности многофакторной авторизации на доверенном сайте действительно были бы весьма кстати.
По этой ссылке судя по описанию «This is an experimental technology», инвестировать в развитие браузеров слишком «долгосрочно» получается. Сейчас же в тренде «быстрые победы» :)
Не ожидал ) Спасибо вам за сравнение !!!
Да, используем, с ним все отлично. Но интересно было бы сравнить с Саmunda Zeebee )
А что насчет Flowable ?
1. Можно идти в сторону унификации формата документов: например, использовать markdown или другой похожий несложный формат. В таком случае во время подписи, он будет загружать текст документа на смартфон, там уже можно сверять хэши. В случае с бинарными данными даже не знаю как будет лучше.
2. Также можно работать на сертификацией самих онлайн-сервисов, т.е. не принимать документы от кого попало.
Насчет хранения ключей, конечно до аппаратных токенов будет далеко, но получше будет чем сейчас, когда на флэшке всё. Да и пароль самого ключа никто не отменял.
Подробнее описал ниже.
1. Создаются отдельные приложения для смартфонов, единственной функцией которых будет подписывание. Ключи пользователя будут хранится только на его смартфоне.
2. Далее все заинтересованные сайты-сервисы именно на этапе подписывания генерируют какой-нибудь qr-код с хэшем документа.
3. Пользователь сканирует этот код через свое приложение и подписывает.
4. Далее приложение на смартфоне передает сервису-источнику публичный ключ с подписью для проверки.
Для конечного пользователя здесь похожий принцип, по которому пользователь открывает ватсап на своем десктопе.
На мой взгляд, это будет и удобно, и с точки зрения безопасности все нормально должно быть.
Также и дорабатывать много чего не надо, так как уже похожие приложения тот же egov выпускает кажется.
Но думаю это до первого прецедента. Например, пока кто-то таким образом «законно» не переоформит на себя чужую собственность. Напрямую это вроде как пока сделать нельзя, но можно к примеру женить кого-то на себе, а потом при разводе вымогать деньги :)
А вот возможности многофакторной авторизации на доверенном сайте действительно были бы весьма кстати.
А как же 3-й вариант: разработать кастомный Государственный Браузер со встроенной заменой NCALayer?