Комментарии 11
К примеру, для соответствия «уровня 2», предъявляемого для формирования квалифицированной электронной подписи, является поддержка строгих вариантов аутентификации пользователей. По требованиям данного уровня аутентификация пользователя происходит напрямую на сервере подписи
Как это реализуется на практике?
Вот есть некий субъект, с которым у физлица возникают какие-либо отношения, которые надо закрепить формально. Субъект о физлице, очевидно, владеет информацией. Но УЦ про физлицо ничего не знает. Или знает? Но тогда физлицо должно свои отношения с УЦ оформить заранее.
Вся эта профанация криптографии направлена на то, чтобы под любым благовидным предлогом отнять закрытый ключ подписи у владельца этого ключа и положить в доступное для нужных служб хранилище.
Спасибо за статью
Садитесь. Два. Зачем в таком случае вообще КЭП? Это профанация. Вы:
1) заменяете КЭП простой двухфакторной авторизацией.
2) порождаете излишнее отношение доверия между пользователем и УЦ.
УЦ — это удостоверяющий центр. Его роль — удостоверять. Пользователи доверяют УЦ в том и только в том, что вы честно выполнили процедуру удостоверения личности владельца открытого ключа и выдали ему сертификат, подписав его своей электронной подписью. Всё. End of story. Почему вам дополнительно кто-то должен доверять в том, что вы будете хранить его закрытый ключ? Может быть, вам ещё оставить пачку пустых листиков бумаги с подписью внизу и ключ от квартиры, где деньги лежат?
Чтобы всё работало кроссплатформенно, достаточно разработать беспроводные токены и соответсвующее ПО к ним. И вот здесь нужна стандартизация.
Простой тест: готов ли ваш УЦ хранить свой корневой ключ в чужом облаке?
1) заменяете КЭП простой двухфакторной авторизацией.
2) порождаете излишнее отношение доверия между пользователем и УЦ.
УЦ — это удостоверяющий центр. Его роль — удостоверять. Пользователи доверяют УЦ в том и только в том, что вы честно выполнили процедуру удостоверения личности владельца открытого ключа и выдали ему сертификат, подписав его своей электронной подписью. Всё. End of story. Почему вам дополнительно кто-то должен доверять в том, что вы будете хранить его закрытый ключ? Может быть, вам ещё оставить пачку пустых листиков бумаги с подписью внизу и ключ от квартиры, где деньги лежат?
Чтобы всё работало кроссплатформенно, достаточно разработать беспроводные токены и соответсвующее ПО к ним. И вот здесь нужна стандартизация.
Простой тест: готов ли ваш УЦ хранить свой корневой ключ в чужом облаке?
Простой тест: готов ли ваш УЦ хранить свой корневой ключ в чужом облаке?
Если УЦ не готов хранить свой приватный ключ в облаке, означает ли это все граждане не готовы хранить свои приватные ключи в облаке?
Из той же оперы:
У сделки, совершенной по доверенности есть, определенные риски, вследствие особенностей доверенности. Означает ли это теперь все сделки должны совершаться только без доверенности?
Или:
Определенные покупки можно совершать через интернет посредством ввода длинного номера, строки, двух двухзначных чисел и одного трехзначного. Означает ли это, что таким образом можно совершать любые покупки (включая, например, IBM купил Redhat)?
И т.д.
> Если УЦ не готов хранить свой приватный ключ в облаке, означает ли это все граждане не готовы хранить свои приватные ключи в облаке?
Посыл не в том, что граждане готовы или не готовы. Посыл в том, что под этим предлогом УЦ на самом деле снижают свои издержки — и это единственное что их заботит. Плевать они хотели на безопасность и удобство пользователя.
Кроме того, я бы охотно проигнорил их такой порыв узаконить облачную подпись, если бы это не привело к тому, что выпуск ключей на хардварных токенов просто прекратится. Но как только 95% полоумных (в области криптографии) гендиров с радостью перейдут на облачное хранилище, УЦ захлопнет двери для оставшихся 5%.
Это можно было бы избежать, если УЦ законодательно обязать обслуживать пользователей хардварных токенов. Но УЦ в лице большой тройки (не ОПСОСов) активно лоббируют, чтобы такого обязательства в законе не было. Это лишний раз подтверждает то, что будет с оставшимися 5%.
Посыл не в том, что граждане готовы или не готовы. Посыл в том, что под этим предлогом УЦ на самом деле снижают свои издержки — и это единственное что их заботит. Плевать они хотели на безопасность и удобство пользователя.
Кроме того, я бы охотно проигнорил их такой порыв узаконить облачную подпись, если бы это не привело к тому, что выпуск ключей на хардварных токенов просто прекратится. Но как только 95% полоумных (в области криптографии) гендиров с радостью перейдут на облачное хранилище, УЦ захлопнет двери для оставшихся 5%.
Это можно было бы избежать, если УЦ законодательно обязать обслуживать пользователей хардварных токенов. Но УЦ в лице большой тройки (не ОПСОСов) активно лоббируют, чтобы такого обязательства в законе не было. Это лишний раз подтверждает то, что будет с оставшимися 5%.
Посыл в том, что под этим предлогом УЦ на самом деле снижают свои издержки — и это единственное что их заботит.
Строго говоря хранения чужого приватного ключа, наоборот, добавляет головняка для УЦ.
Плюс нужно реализовывать новые методы подтверждения волеизъявления, чтобы подписать от имени владельца приватного ключа.
Нет. Вы исходите из того, что есть некий УЦ в вакууме, который выпускает сертификаты и только сертификаты.
На самом деле есть крупные игроки на этом рынке, такие как Тензор и Калуга-Астрал. У них сертификаты — это лишь побочный бизнес. Основной их бизнес — это ЭДО и электронная отчетность. Чтобы вся эта фигнатень работала с подписью на стороне клиента, требуется писать много софта, который на стороне клиента пашет, иметь службу поддержки, средства удаленной диагности и прочее, и прочее. А ещё добавьте сюда разные браузеры, разные платформы и ОС. Один отказ браузеров от NPAPI для плагинов чего стоил. Создание и поддержание всей этой инфраструктуры обходится в копеечку.
Уже всё почитано. Облачное хранение позволит снизить косты в 2,5-3 раза. Я не могу, к сожалению, сослаться вам на источник, так как такого разрешения он мне не давал. Но это не моя выдумка, а довольно крупного игрока на этом рынке.
На другой стороне — хранить ключи у себя и подписывать так, как хочется, не зависить ни от чьих API и прочее.
А кроме того, как только ты подсадишь клиента на кукан в облаке, то он не уйдет со своим сертификатом к конкуренту.
В общем, вы очень местечково мыслите. И то, что я вам излагаю, это не мои фантазии.
Вы возразите мне, что ничего не мешает существовать маленькому самобытному УЦ и вести свой бизнес исключительно в области сертификатов. Так вот мешает. Мешают поправки в законодательство, согласно которым ответственность УЦ должна обсепечиваться миллиардными уставными капиталами. И где такие деньги возьмут мелкие игроки? Нигде. Останется только крупняк типа тех, что я перечислил.
На самом деле есть крупные игроки на этом рынке, такие как Тензор и Калуга-Астрал. У них сертификаты — это лишь побочный бизнес. Основной их бизнес — это ЭДО и электронная отчетность. Чтобы вся эта фигнатень работала с подписью на стороне клиента, требуется писать много софта, который на стороне клиента пашет, иметь службу поддержки, средства удаленной диагности и прочее, и прочее. А ещё добавьте сюда разные браузеры, разные платформы и ОС. Один отказ браузеров от NPAPI для плагинов чего стоил. Создание и поддержание всей этой инфраструктуры обходится в копеечку.
Уже всё почитано. Облачное хранение позволит снизить косты в 2,5-3 раза. Я не могу, к сожалению, сослаться вам на источник, так как такого разрешения он мне не давал. Но это не моя выдумка, а довольно крупного игрока на этом рынке.
На другой стороне — хранить ключи у себя и подписывать так, как хочется, не зависить ни от чьих API и прочее.
А кроме того, как только ты подсадишь клиента на кукан в облаке, то он не уйдет со своим сертификатом к конкуренту.
В общем, вы очень местечково мыслите. И то, что я вам излагаю, это не мои фантазии.
Вы возразите мне, что ничего не мешает существовать маленькому самобытному УЦ и вести свой бизнес исключительно в области сертификатов. Так вот мешает. Мешают поправки в законодательство, согласно которым ответственность УЦ должна обсепечиваться миллиардными уставными капиталами. И где такие деньги возьмут мелкие игроки? Нигде. Останется только крупняк типа тех, что я перечислил.
Поддерживать PKI в современном мире очень сложно. Это правда.
И озвученные сложности по его поддержке со стороны УЦ — они же обоюдоостры.
Точно также сложно пользоваться средствами PKI в условиях современного мира и обычным простым пользователям. Например, моя мама не при каких обстоятельствах не сможет самостоятельно воспользоваться любым каноническим средством PKI. Даже если очень сильно захочет, даже если будут детальные инструкции. Т.е. если оставить все как есть, то мир PKI пройдет мимо жизни простых граждан.
И озвученные сложности по его поддержке со стороны УЦ — они же обоюдоостры.
Точно также сложно пользоваться средствами PKI в условиях современного мира и обычным простым пользователям. Например, моя мама не при каких обстоятельствах не сможет самостоятельно воспользоваться любым каноническим средством PKI. Даже если очень сильно захочет, даже если будут детальные инструкции. Т.е. если оставить все как есть, то мир PKI пройдет мимо жизни простых граждан.
> Точно также сложно пользоваться средствами PKI в условиях современного мира и обычным простым пользователям.
Ещё раз. Когда в каждом УЦ будет альтернатива: запрос на сертификат или [облачная] подпись под ключ, я охотно вернусь к вашим думам о судьбах России и доле простого народа.
По состоянию на декабрь 2019 года, когда об облачной подписи не было ни слова в 63-ФЗ, действующий приказ ФСБ о том, что закрытый ключ не должен светиться нигде ни при каких обстоятельствах, никто не отменял, облачная подпись была в деле (пример, ДомКлик от Сбербанка), подпись на носителе под ключ — в каждом первом УЦ, а сертификат по схеме через запрос нужно искать днём с огнём.
> Например, моя мама не при каких обстоятельствах не сможет самостоятельно воспользоваться любым каноническим средством PKI.
Своей маме, когда ей понадобилась ЭП для своей организации, я устроил часовую лекцию и без всякой математики объяснил как работает ЭП, кто такие Алиса и Боб, как устроены ключи и всё вот это дело. Потом показал единожды как пользоваться запросами на сертификат и всё поехало. Если вы худшего мнения о своей маме, то я могу вам только посочувствовать.
Так что идите вы лесом со своими заботами о вашей маме. Благими намерениями вымощена дорога в ад.
УЦ стоило бы пролоббировать обязательный экзамен по краткому курсу основ использования криптографии для чайников, перед тем как получать сертификат. В противном случае такая музыка, как ваша мама, будет вечной, только заменяй батарейки.
Ещё раз. Когда в каждом УЦ будет альтернатива: запрос на сертификат или [облачная] подпись под ключ, я охотно вернусь к вашим думам о судьбах России и доле простого народа.
По состоянию на декабрь 2019 года, когда об облачной подписи не было ни слова в 63-ФЗ, действующий приказ ФСБ о том, что закрытый ключ не должен светиться нигде ни при каких обстоятельствах, никто не отменял, облачная подпись была в деле (пример, ДомКлик от Сбербанка), подпись на носителе под ключ — в каждом первом УЦ, а сертификат по схеме через запрос нужно искать днём с огнём.
> Например, моя мама не при каких обстоятельствах не сможет самостоятельно воспользоваться любым каноническим средством PKI.
Своей маме, когда ей понадобилась ЭП для своей организации, я устроил часовую лекцию и без всякой математики объяснил как работает ЭП, кто такие Алиса и Боб, как устроены ключи и всё вот это дело. Потом показал единожды как пользоваться запросами на сертификат и всё поехало. Если вы худшего мнения о своей маме, то я могу вам только посочувствовать.
Так что идите вы лесом со своими заботами о вашей маме. Благими намерениями вымощена дорога в ад.
УЦ стоило бы пролоббировать обязательный экзамен по краткому курсу основ использования криптографии для чайников, перед тем как получать сертификат. В противном случае такая музыка, как ваша мама, будет вечной, только заменяй батарейки.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Облачная электронная подпись в России и мире