Как стать автором
Обновить

Комментарии 68

Что-то текст подозрительно читабельный, а не на эльфийском. А рукописный текст от доктора Зло Зоты явно поддельный: я могу его прочитать!

Так как раз об этом и речь - что новая сетка теперь умеет писать не крякозябры

Да понял, понял )
Считайте мой коммент на первую половину сообщения, где речь идет про текст от нейросетей (про эльфийский)

Паранойя, которая идет вместе с каждой новой технологией в ИТ. Да, так и будет – будут делать подделки документов. И даже хуже. Точно так же как делают подделки на копирах. И на принтерах. Был бы преступник, средство найдется.

Я бы вообще сказал, что на сегодня никаких бумажных документов без отсылок к их авторизованной цифровой копии быть не должно. И подпись человека там тоже должна быть цифровой - каким-нить носимым микропринтером печатается qr-код на гос.хранилище всех подписанных документов (с копией текста и датами событий всех подписей).

Слишком уж просто сегодня подделать так, что только с привлечением экспертов можно это определить - да и то, есть шансы, что и они не заметят подделку. При этом сегодня любой обычный человек просто заведомо не имеет никаких методов удостовериться, что документ, который он держит в руках - не подделка.

Электронные документы ещё проще подделать. Для этого достаточно внести в базу запись. Практически уверен, что сейчас эта услуга предоставляется во всех газпромах, различных энерго, водоканалах и т.д. Главное знать того, кто имеет доступ к базе. А уж в поликлиниках если посмотреть, то вы удивитесь сколько у вас было посещений.

'внести в базу запись' - это эквивалент 'напечатать, подписать, проштамповать задним числом и положить в архив'. Особо от электронных не отличается.

И в нормальных системах просто вставить запись нельзя. Потому что на ней заверенная метка времени должна быть и будет сразу видно, что о на новая.

А вот подделать договор купли-продажи, на которой должна ЭП сторон стоять (правильная, а не облачная) - просто заливкой в базу не получится, у злодея проблемы будут с добыванием приватных ключиков. Плюс еще заверенная метка времени не позволит - будет сразу видно, что новодел.

Обратная сторона, правда, что если ухитриться добыть - то потом подделка от оригинала не отличается.

Сгенерированный чек от «The Decoder Bar» демонстрирует, как легко можно подделать доказательство оплаты

А теперь попросим сгенерировать наш, российский чек с QR кодом. Так, чтобы все контрольные суммы и подписи в этом QR на чеке сошлись и он в соответствующем сервисе нашелся.

Так что туда и идем всем миром.

Так о том и речь в словах про

Потенциальный объем подделок, созданных AI, может перегрузить существующие системы проверки.

То есть если сейчас запросы к организации, выдавшей документ, делаются в (полу)ручном режиме, выборочно, то в перспективе у любого документа появится некий ключ, с которым можно будет сходить на специальный проверочный сервис и получить ок/не ок.

А дальше возникает вопрос: а нафига вообще тогда нужен документ как отдельная сущность? Ну то есть будет не диплом, а ссылка на сайт университета, на соответствующую запись в базе выпускников и т.д.

Насчет перегрузки:

Корректность российского чека оффлайново проверяется. В смысле суммы/дата/время. Там какой-то вариант ЭП стоит, как я понимаю. Так что просто подделка сразу откидывается. А после этого можно и сходить в сервис. Наши ОФД как-то с нагрузкой по записыванию всех этих чеков справляются.

а нафига вообще тогда нужен документ как отдельная сущность?

Для оффлайновости проверки. Есть на файлике государственная ЭП - ну ладно, верим.
Вот с бумажными документами придется повозиться, если хочется оставить. Придумать правила оцифровки, что всякие помехи от повреждения и разных вариантов сканирования учитывают/игнорируют и потом впечатывать эту ЭП прямо на бумагу.

Так не, если уже есть цифровой сервис где-то за плечами - то проблема нагрузки решается деньгами)

Тут беспокойство от того, что придётся либо буквально по любой бумажке (без кода) писать в организацию, её выписавшую, чтобы они подтвердили, что да, всё верно, выписывали такое. Либо действительно городить коды на каждом документе, либо с сервисом, либо с ЭП, либо и с тем, и с другим.

Я-то с вашим исходным комментарием не спорю, просто развиваю тему.

Тут беспокойство от того, что придётся либо буквально по любой бумажке (без кода) писать в организацию, её выписавшую, чтобы они подтвердили, что да, всё верно, выписывали такое.

Что все равно означает хотя бы нумерацию, иначе как она скажет? (У меня, кстати, вопросы по приведенной картинке чека по этому поводу... Ни серийного номера организации, ни номера документа. Ладно хоть дата/время есть. Это что, еще где-то в таком непуганом виде живут?)

Так что городить коды все равно придется.

Это что, еще где-то в таком непуганом виде живут?)

злые языки говорят, что там на мелкие расходы внимание мало обращают, пока лимит не превышают.

проблема нагрузки решается деньгами

Так и проблема (не)валидности документа тоже решается деньгами (ЕВПОЧЯ)!

Тут проблема сохранности такой базы на длительный период времени. Если для чеков не особые риски - ФНС никуда не денется, и чек через 20 лет вряд ли кого заинтересует, - то по дипломам уже вопрос, он и через 50 лет иногда нужен, а где будет тот вуз и будет ли поддерживаться тот сервис в том же виде? По документам отдельных организаций (коих основная масса) тем более.

Тогда уж ЭЦП, но для их массового внедрения надо их использование кардинально упростить.

для их массового внедрения надо их использование кардинально упростить.

Что, в общем, выглядит не очень сложно, если, наконец, признать, что без смарта и специального ПО в нем в современном государстве жизни нет. Ну и выдать что-нибудь тупое-стандартное тем, кому ну вот совсем денег не хватает на собственный. Ругани от сопротивляющихся цифровому контролю, правда, будет много.

Есть ещё второй момент: легаси тянуть придётся ой как долго. Иные документы всю жизнь буквально нужны: тут недавно родственники доказывали право на место на кладбище с помощью свидетельства о рождении покойного.

Плюс те же документы об образовании могут и в другой стране понадобиться. Так что понадобится международная ЭП, хотя бы на уровне апостиля.

А потом вы упрётесь в слепых (ой), людей с протезами (дважды ой, сенсорные экраны и вот это всё) и много других дивных нюансов.
Может проще решить эту проблему как-то без серьёзных технических средств и коммуникаций на руках?

PS. Чеки напечатанные тупо не живут столько (вспоминая некоторые которые выцветали меньше чем за год).

А потом вы упрётесь в слепых (ой), людей с протезами (дважды ой, сенсорные экраны и вот это всё) и много других дивных нюансов.

С современных вариантах у этих людей проблем еще больше. Слепой, скажем, предъявляемого документа вообще не видит. А смарт хоть прочитать что-то вслух может.

Может проще решить эту проблему как-то без серьёзных технических средств и коммуникаций на руках?

Нельзя. Человек просто не обладает способностями определить, подделка перед ним или нет.

PS. Чеки напечатанные тупо не живут столько (вспоминая некоторые которые выцветали меньше чем за год).

У меня - живут. Потому что перестают быть напечатанными, т.к. QR просто сканируется.

Вообще - для валидации (или подписи) ЭЦП не нужен смарт вообще. Всё что нужно есть в сим-карте (и даже софт может быть там).
Но тогда нужно её выдавать, вот примерно как паспорт.
Собственно - в некоторых странах ID уже есть с функцией ЭЦП.

Вообще - для валидации (или подписи) ЭЦП не нужен смарт вообще. Всё что нужно есть в сим-карте (и даже софт может быть там).

Смарт нужен для сенсоров и прочей обвязки. Прежде чем ЭП проверить, она как-то до чипа добраться должна, как и какой-то образ документа, к которому она относится.

Вуз передает данные о дипломах в ФРДО, там же подтверждают подлинность. Этот реестр федеральный, он не зависит от живучести отдельной образовательной организации. Есть еще архивы в вузах, там хранятся сведения о бумажных дипломах.

Вузы, обычно, прекращают свою деятельность путем поглощения более большим вузом - туда же переезжает архив поглощенного вуза.

С ЭЦП тоже всё непросто, кроме давно известной проблемы с выдачей подставным лицам ЭЦП на долгом сроке будут и вопросы хранения всех подписей с регулярной заменой, проверки отзыва, совместимости оборудования и драйверов, и, наконец, доверия и вообще существования УЦ.

Скрытый текст
Зелёный и криптография
Зелёный и криптография

Проблема иллюстрированная комиксом - больше чем на половину сами себе создали. Никто не мешает считать сертификат валидным вечно, пока его в список отозванных не поместили.

Это создаст другие проблемы, но "Мы внезапно выяснили, что наш корень уже как 10 лет отозвали" - это немного другая головная боль.

По умолчанию срок таки задан в самом сертификате, считать валидным вечно очень похоже на отключить защиту совсем. Но я, скорее, про другое - случаи компрометации ЭЦП на долгом сроке будут неизбежны. Для решения этого вопроса существует стандартный механизм отзыва ЭЦП. Чтобы определить, достоверен ли документ, нам нужно не только убедиться, что он подписан валидным на дату выдачи документа сертификатом, выпущенным доверенным на тот же момент УЦ, но и что сертификат не был на эту дату отозван. Документы, подписанные до даты отзыва, остаются валидными. Т.е. нам, как минимум, необходимо сохранять сертификаты УЦ, CRL на момент завершения срока действия сертификата, и желательно не просто в архиве, а доступными в онлайне. Это непростая задача на сроке в десятки лет. Плюс, наверняка, будут и менее очевидные проблемы, и это всё верно лишь до появления квантовой криптографии.

умолчанию срок таки задан в самом сертификате,

Я знаю, потому и говорю, что проблему придумали в тот момент, когда решили 'мы не можем каждый раз при использовании проверять, не отозвали ли еще, поэтому давайте слишком старые просто недействительными считать'.

Для решения этого вопроса существует стандартный механизм отзыва ЭЦП.

Вот. И если он постоянно и последовательно используется - нет же особенно необходимости в устаревании? Компрометация произошла - сертификат отозвали, подписи, созданные после срока отзыва (и только после него) стали недействительными.

Есть проблема с тем, 'мы подпись признали валидной, но потом узнали, что на тот момент сертификат отозван был.' Но для медленных бюрократических дел она и так есть. "Мы документ выполнили, а потом выяснили, что человека, его подписавшего, оказывается, на тот момент уже лишили полномочий такое подписывать".

А что мешает подписывать задним числом невалидными (утекшими), которые были валидны на момент подписи? Ничего. Вот в этом и проблема со всеми этими сертификатами. Они или протухают вместе с документами или отлично позволяют подделывать документы задним числом.

А что мешает подписывать задним числом невалидными (утекшими), которые были валидны на момент подписи?

Требование метки доверенного времени на этой подписи, которая показывает, когда ее на самом деле поставили.

Конечно, ключики сервера, что эти метки формирует, теоретически могут тоже утечь, но, по хорошему, эти ключики у настолько важной инфраструктурной единицы должны жить в напрочь запломбированном HSM, из которого они просто не достаются.

Эээээ... нееее... Вы тут тёплое с мягким не путайте.
Если у вас утёк сертификат, то совершенно никто и ничто не запрещает подписать им совершенно что угодно с любой отметкой времени: валидное, невалидное или даже отпечаток задницы любимой собаки. Более того, если сертификат не утёк, то тоже никто не запрещает, кроме абстрактных правил и политик.
А вы говорите лишь о процедурных вопросах - о том, как оно должно бы быть, если все всё делают правильно. Если всё так, как вы говорите, то и сертификат скомпрометирован никак быть не может.
Я к тому, что компрометация сертифката компрометирует все подписанные им документы вне зависимости от даты подписания.

А вы говорите лишь о процедурных вопросах

Ну так проверка/принятие подписи(документа) - и есть процедурный вопрос. Какие действия мы производим, прежде чем решим, что документ действителен.

Если софтина, которая подпись проверяет, смотрит на включение этой метки и страшно ругается, если не находит, после чего мы говорим 'не OK, документ не принимается' - то подписи задним числом не получается.

Я к тому, что компрометация сертифката компрометирует все подписанные им документы вне зависимости от даты подписания.

Это тоже процедурный вопрос. Можно договориться, что подписи, поставленные (с проверкой даты) до заявленной даты компрометации - признаются действительными.

Отдельный вопрос, кстати, истечение срока действия сертификата. Теоретически он не утёк и вовремя подписанным документам можно верить. Казалось бы... Но на практике контроль за просроченными сертификатами намного ниже и вероятность их утечки намного выше. И их компрометацию вы обнаружите только когда на горизонте появится куча подозрительных старых документов/файлов. И как их потом отличить от настоящих?
Основные инциденты с сертифкатами для подписи софта и документов как раз и происходили со старыми сертификами. Все эти утекшие сертифкаты Microsoft/Orcale/Sun, которые 100 лет назад были выданы давно несуществующим компаниям, и которые потом (через десятилетия) всплыли в качестве валидной подписи всякого рода зловредов.

Но потом Зелёный почесал бороду и у всех роботов перевёл дату в прошлое.

А потом будет как с одним турецким политиком.
"Диплом? Какой диплом? Ничего не знаем."

А потом будет как с одним турецким политиком.

Да ладно, тут и с одним американским политиком та же фигня была.

И чтобы бар с таким названием (и меню) на карте нашёлся!

чтобы он в сервисе нашелся должна быть реальная операция с теми же данными, что и в сгенерированной бумажке. а для этого надо сделать реальную операцию. смысл подделки исчезает.

Даже при постоянных показателях обнаружения, возросшее количество поддельных документов повышает вероятность того, что некоторые из них избегут обнаружения.

Ну тут может работать математика. Как с безбилетным проездом. Допустим, билет стоит 100 рублей. Шанс попасться контролёру 10% (в учётом частоты контроля и всех прочих мер защиты). Штраф за безбилетный проезд 1 тысячу рублей. Таким образом пойманный безбилетник оплачивает не только свой билет, но и 9 других безбилетников, которых контролёр не поймал.

В некоторых сферах санкции могут учитывать вероятность обнаружения подделки и всё. Тогда общее количество случаев не важно, важно лишь соотнесение вероятности обнаружения и размер санкции. Ну и чтобы санкция наполняла некий общий котёл компенсаций. И чтобы ущерб поделённый на вероятность поимки был такой, чтобы его было реально взыскать с одного нарушителя.

Разумеется, где-то такое неприменимо. Но в таких ответственных сферах можно больше инвестировать либо в централизованные БД, либо в перепроверки.

Я всегда обращал внимание, что многие документы типа чеков не имеют никаких степеней защиты. Улыбнулся с первого изображения чека, где chatgpt "очень постарался", когда такой чек можно набрать не то что в платном Word, а в "Блокнот" входящем в стандартный комплект поставки Windows (а если недостаточно фантазии что написать в текстовом поле, то текст ChatGPT мог сгенерировать уже давным-давно), распечатать и сфотографировать камерой телефона.

Но главный сдерживающий фактор тут в том, что подделка документов в большинстве стран мира - уголовная статья. И рисковать несколькими годами пусть даже условного заключения ради выгоды в несколько тысяч рублей мало кто будет. А если ставить дело на поток или поднимать ставки (чтобы выгода стала ощутимой), то шансы присесть возрастают в геометрической прогрессии. Проще уж шоплифтингом заниматься, там хотя бы административка до какой-то суммы во всяком случае в России...

Чек ну ни разу не вызывает подозрений

42

30

30

36

_____

Всего: 142

Ну и еще придерусь, там где 42 это цена за 3 позиции. Интересно какая же цена у одной позиции чтобы умножить ее на 3 и получить 42.00

Интересно какая же цена у одной позиции чтобы умножить ее на 3 и получить 42.00

14.00?

Мда, не знаю почему я решил что оно не делится, спасибо.

Первое, что я проверил. «Если сумма цифр числа делится на 3, то и всё число делится на 3».

Во второй версии чека, не с КПДВ, есть еще

что как раз и дает в сумме 142
что как раз и дает в сумме 142

Кроме того, опытные пользователи могут найти способы удалить эти цифровые маркеры.

Да не особо опытные тоже, спросил ChatGPT как избавится от его C2PA

  • Пересохранение файла: Если изображение открывается и пересохраняется в программе, не поддерживающей сохранение C2PA-метаданных, то данные могут быть утрачены.

  • Редактирование метаданных: При использовании программ для редактирования метаданных можно намеренно удалить или изменить блок с информацией C2PA. Например ExifTool.

  • Оптимизация изображения: Некоторые сервисы или программы оптимизации изображений могут автоматически удалять расширенные метаданные для сокращения размера файла или по соображениям конфиденциальности.

Чет как-то грустно. Легко представить себе - документы на недвижимость, всяческие нотариальные, бррр в общем

документы на недвижимость, всяческие нотариальные,

Предъявляются в живом, физическом виде. Можно, кстати, снова начать от руки писать - пока проверку подлинности подчерка, вроде бы, еще не сломали.

Новость же большей частью о том, что кто-то до сих пор был слишком доверчив и верил фотографиям.

Так и с печатью сейчас все очень неплохо, а если бланки настоящие найти и вовсе..

Цифровая подпись решает.

Нотариально заверенный скриншот?)

В том и суть, что сейчас ничего не мешает напечатать на принтере любую справку с любой печатью. Проблема в том, что она никем и ничем не подтвердится - ни архивными записями, ни банальным наличием подписей. Более того, многие вещи просто делаются на доверии, потому что так в конечном итоге выходит дешевле с учётом вероятности и стоимости обманов.

В том и суть, что сейчас ничего не мешает напечатать на принтере любую справку с любой печатью.

Которую, по хорошему, должны отклонить, внимательно взглянув на эту самую печать. Но это делает? И кто умеет это 'внимательно взглянуть'?

кто умеет это 'внимательно взглянуть'?

Кто надо те и умеют.

А без анекдотов? Берем произвольного клерка, ему приносят бумажку с росписями и печатями. Его действия?

Зависит от того, насколько ему не хочется турма, сидеть.

Так более того, многие банки готовы выдать цифровую копию справки о состоянии счёта, скажем, с красивой виртуальной печатью. Чисто ради экономии времени, чтобы ни клиента в офис не тащить, ни курьера не гонять.

А на другой стороне к этим фокусам уже привыкли, могут спокойно принять даже распечатки этих справок на ч/б принтере. Всё упирается действительно в цену вопроса и ответственность конкретного сотрудника. Так что одно и то же действие с одним и тем же документом может быть просто переводом древесины, а может быть решающим для карьеры, а то и суда.

Так более того, многие банки готовы выдать цифровую копию справки о состоянии счёта, скажем, с красивой виртуальной печатью. 

А оно такое где сейчас применяется хоть? В смысле - какова осмысленность? Никто же не мешает через минуту после создания справки все деньги отправить в другой банк или потратить.

Документы и раньше подделывали не менее эффективно, используя Adobe Photoshop

Об этом упоминается. Но масштабы не те

Для подделки документа достаточно ножика и копира)

Сгенерированный чек от «The Decoder Bar» демонстрирует, как легко можно подделать доказательство оплаты

А он пикчу на вход-то расшифрует нормально, чтобы подделка была копией оригинала во всех важных аспектах? Интересно

Старые добрые 'сфоткай справку на фоне холодильника' скоро станут стандартом проверки?

на фоне кисти руки ;)

Нейросети еще плохо рисуют пальцы?

для России несколько мало актуально - есть код, который позволяет быстро проверить реальность операции.

Если для обхода KYC бирж - то это не преступление, а сопротивление 😁

Фотка документа != сам документ.

Это решается специальной бумагой на которой будут печататься документы. Даже мой диплом на спец-материале напечатан с рифленой поверхностью и вод.знаком. Просто теперь никто не будет доверять фотографии документа или чека. Фигово на самом то деле.

Продаваны поддельных дипломов впали в шок и трепет

Зарегистрируйтесь на Хабре, чтобы оставить комментарий