В сценариях 2 и 3 УЦ сопоставляет обезличенный открытый ключ (набор байт) с данными конкретного лица (реквизиты владельца ключа) на основании заявления владельца ключа или его представителя (или того кто себя за него выдает). Называть это «получение ЭЦП» некорректно.
Если на имя человека уже взяли займ, то преступление уже совершено, а вот если от имени человека злоумышленники подали заявку на займ, но она не была удовлетворена, то события преступления нет и привлечь негодяев к ответственности не выйдет.
Технология это инструмент, если надежный токен лежит под клавиатурой, а пароль к нему записан на стикере прилепленном к монитору, то безопасность такой схемы будет на порядок ниже варианта, когда закрытый ключ записан в виде файла на обычной флешке, которая лежит в сейфе и используется исключительно владельцем лично на единственном АРМ не подключенным к сети и размещенном в помещении с ограниченным доступом.
Доверенность на «право получить ЭЦП» звучит как минимум странно, т.к. выдается сертификат, который тайной не является, а вот если некие гении генерируют за пользователя запрос и передают ему вместе с сертификатом закрытый ключ (что еще хуже — его копию, и таких встречал), то это уже компрометация. Если номинальный владелец ЭП идет на нее осознано, то срок действия такой ЭП логично ограничить сроком действия доверенности.
Для подтверждения через госуслуги нужно сначала будет подтвердить личность как это делается для доступа к налоговой (иначе никакого смысла нет). А там можно опять прийти с поддельными документами. Круг замкнулся
Раньше же отправляли по адресу регистрации заказным письмом код подтверждения — уже отменили?
Вот подделанный паспорт в котором реквизиты от оригинала, а фото заменено. Принес его человек который на фото. Сняли его на на фото, хоть на видео, хоть в 3D отсканировали — совпадает картинка с той что в паспорте, только вот реквизиты паспорта хоть и корректные сами по себе, но принадлежат другому лицу. Не сможет оператор в таком случае заподозрить неладное.
Это все же принципиально разные ситуации:
В первом случае виноват не сотрудник УЦ/нотариус, а только подделавший паспорт.
Во втором — уже преступное сообщество с участием нотариуса.
Варианты устранения этой уязвимости есть, но все они закономерно идут в противовес удобству. Навскидку самое простое — подтверждение заявления через госуслуги.
Не укладывается, в УК не «подлог», а «служебный подлог» и «подделка документов» тоже достаточно конкретизирована. Описанные действия можно рассматривать как «мошенничество», но для этого должен быть материальный ущерб (если не ошибаюсь на 4000р. и более). А вот статьи «покушение на мошенничество» по аналогии с «покушение на убийство» в УК, к сожалению, нет…
Не везде это в небольших УЦ не сильно переживающих за собственную репутацию и позиционирующих себя как максимально лояльных по отношению к клиенту. Уйма людей не понимающих технологию ЭП, но впитавших как губка принципы бюрократии, несут для регистрации не сам запрос на сертификат, а все что с их точки зрения может оказаться нужным, включая ветеринарную справку на кота который накануне имел неосторожность уснуть на ноутбуке на котором производилась таинство генерации ключа.
УЦ УФК. У них для самых упоротых как в инструкциях, так и на дверях кабинета много раз, контрастно и максимально доходчиво указано о том, что закрытый ключ это конфиденциальная информация и если привести не регистрацию запрос за сертификат и на носителе обнаружится закрытый ключ, то в регистрации будет отказано.
Газинформсервис тоже адекватными были, но уже несколько лет с ними не взаимодействовал.
И по скану (даже цветному с очень хорошим разрешением) проводить экспертизу чтобы определить является ли документ подделкой? Смешно…
С доверенностями единственный вариант: либо она должна быть нотариальной (с обязанностью для УЦ проверять ее действительность на момент предъявления в реестре Федеральной нотариальной палаты), либо эту доверитель подписывает ее лично в присутствии сотрудника УЦ и дальнейшие действия от его имени может осуществлять его доверенное лицо, но только в этом УЦ и до момента отзыва или окончания срока действия этой доверенности.
Удалось как-то соприкоснуться с их внутренней кухней — прям как в анекдоте:
До армии спал спокойно, т.к. знал что меня охраняют. В армии спал плохо, т.к. сам охранял. После армии вообще не сплю, т.к. знаю как охраняют.
Это же не взносы на капремонт которые привязаны именно к объекту недвижимости, а долг провайдеру от никак не относящегося к квартире физ.лица, указавшего без Вашего ведома Ваш адрес в качестве адреса получения услуги.
Принимать подобные меры без предварительного разбирательства или хотя бы до получения ответа от УЦ считать допустимыми можно разве что в ситуации, когда имеет место быть не единичный случай, а массовые жалобы на подобные проблемы в конкретном УЦ.
Раньше же отправляли по адресу регистрации заказным письмом код подтверждения — уже отменили?
В первом случае виноват не сотрудник УЦ/нотариус, а только подделавший паспорт.
Во втором — уже преступное сообщество с участием нотариуса.
Варианты устранения этой уязвимости есть, но все они закономерно идут в противовес удобству. Навскидку самое простое — подтверждение заявления через госуслуги.
Газинформсервис тоже адекватными были, но уже несколько лет с ними не взаимодействовал.
С доверенностями единственный вариант: либо она должна быть нотариальной (с обязанностью для УЦ проверять ее действительность на момент предъявления в реестре Федеральной нотариальной палаты), либо эту доверитель подписывает ее лично в присутствии сотрудника УЦ и дальнейшие действия от его имени может осуществлять его доверенное лицо, но только в этом УЦ и до момента отзыва или окончания срока действия этой доверенности.
До армии спал спокойно, т.к. знал что меня охраняют. В армии спал плохо, т.к. сам охранял. После армии вообще не сплю, т.к. знаю как охраняют.