Как стать автором
Обновить

Комментарии 153

Получается социально-электронная подпись :)
Вот эти товарищи занимаются ЭЦП, но в государственных масштабах.
За эту ссылку спасибо, но, судя по всему (я бегло посмотрел сайт), это не совсем то. В перспективе вполне возможно, что это станет одним из «народных» решений, но пока очевидно, что это корпоративный рынок. Я же говорю о широкой массе физических лиц.
Как я понял, задача состоит в том, что бы узнать у пользователя что-то, что однозначно сможет доказать, что этот пользователь тот, за кого себя выдает?
Это должно быть что-то типа персонального сертификата. Но, как мне кажется, они есть у мизерного процента пользователей.
В сети сейчас нет ничего такого, что было бы лучше ссылок на профили соц.сетей. Хотя, это далеко не гарантия того, что вы общаетесь не с виртуалом.
Совершенно верно, Илья. Как поставить между Aist и Ильей знак равенства? Может быть вы не Илья? Вопрос именно в этом.
Ссылку на профиль я могу поставить, к примеру, своего друга и это никак не проверится.
А вот с сертификатами это хорошо
А сколько людей в настоящее время имеют такой сертификат?
Ссылку на профиль я могу проверить через связи: «Друг» Иван (я знаю его лично), правда ли, что твой «друг» Петр именно Петр, а не Сидор? На таком уровне профиль вполне удовлетворяет требованию идентификации личности.
Вы меня не совсем поняли, я имею в виду то, что я, могу знать персональную информцию своих дрзей, номер телефона, почту, имя кошки или собаки и т.п. и могу представиться им. И это служно будет проверить.

В вашем случае некоторую идентификацию может нести к примеру указывание номера паспорта.

А вообще в современном обществе можно было бы уже выдавать некие электнонные удостоверения уже при получении пасспорта уполномоченными отрганами.
Правильно я все понял… Но за третий абзац отдельный плюс. Я слышал, что в этом направлении, что-то делается и наверняка к следующим выборам будет сделано (мы же, т.е. они же хотят внедрить безбумажную процедуру голосования как в электронноразвитых странах!). Т.е. это еще одна возможная перспектива. А мне-то письмо сейчас нужно подписывать…
Хм, я также могу узнать номер паспорта Васи, Пети, Сидора и указать их.

Если не брать во внимание такой момент, то персональный аттестат (или начальный, но к нему обычно меньше доверия) не сильно отличается от паспорта ибо подтверждает личность человека с большой вероятностью. Естественно, что формальный и аттестат псевдонима не дают такой точности.
верно
Эта проблема технически решаема.
Например, можно попросить поставить на сутки где-нибудь в профиле строчку ZTzVhKhr9n0MLxjZKdzHUr3uXTwER8Xy
ну зайду и напишу у него на стене. в чем проблема :D
Другое дело это то что профили на вконтакте не доступны извне
Какбэ «гостевая книга» != профиль.
как-бэ всё на одной странице
И, простите, что с того?
то что если система не обладает умными парсерами, а просто ищет текст, это позволит пройти проверку
Я же выше писал, что надо строчку искать в профиле, а выделить со всей страницы профиль — это уже совсем другая задача =)
Не вижу ничего умного в парсере, который всего-то ищет строчку в элементе с определённым id.
НЛО прилетело и опубликовало эту надпись здесь
Как это поможет идентифицировать личность? В моем случае это ничем не отличается от отправки электронного письма на указанный при регистрации адрес с просьбой подтвердить факт подписания. Это не решает задачу.
Идентифицировать — никак, это решает только проблему проверки управления тем или иным профилем в соц.сети.

Определение поддельных аккаунтов в соцсети — отдельная задача. Для этого, мне кажется, придется строить граф друзей и уже анализировать его связность, принадлежность аккаунта к «максимальной» компоненте связности (я не уверен, что эта гипотеза верна, но выглядит она разумной) и т.п.

Естественно, вдобавок это будет плохо работать для людей, далёких от онлайновой возни в соц.сетях.
Я не спец, но мысль мне кажется очень здравой. Где-нибудь это реализовано?
Что именно? Определение поддельных аккаунтов исходя из такой гипотезы? Не знаю, реализаций не видел (но и не искал). К тому же разнообразных публикаций на тему анализа соц.сетей (в т.ч. и онлайновых) находится не мало.
Да: «определение подлинности эккаунта» по «граф друзей». Можно одну-две ссылки для «чайников», где об этом почитать?
Да даже не знаю, сия гипотеза у меня возникла исходя из наблюдения за активностью ботов в ЖЖ, маскирующихся под людей :-)

Гипотеза состоит в том, что у большинства поддельных аккаунтов не существует взаимных друзей помимо других поддельных аккаунтов, хотя, повторюсь, количественно я не проверял это предположение.
Именно эта мысль посещает и меня. И поскольку (а) на электронную подпись, не являющуюся ЭЦП (в терминах соответствующего закона) уже есть реальный спрос; (2) это программное, т.е. технологичное, решение, думаю, что наиболее перспективный вариант.
(как жаль, что у меня закончились плюсики.)
Мне не ясно, где можно использовать электронную «подпись», не являющуюся ЭЦП помимо подобных онлайн-петиций и прочих «голосовалок».

Можете привести пример?
p2p-кредитование, например (аля Проспер, Жопа). У нас уже существуют сообщества взаимного кредита на веб-, яндекс-, рбк- и прочих мани. Обычно это узкие тусовки с очень высоким порогом вхождения (круче на порядок, чем здесь, например, на Хабре). Получается довольно высокая гарантия возврата, но система практически не расширяема. Это первое, что пришло в голову. Ну, например, еще поставка товара удаленному покупателю из интернет-магазина без предоплаты или наложенного платежа. Можно пытаться продолжать, но суть, мне кажется, уже ясна. Спрос уже есть, и он будет только расти.
Ох, что-то у меня плохо вяжутся вместе подобные методы аутентификации и разнообразные финансовые транзакции.

Создать одного-двух подставных виртуалов для единичного fraud'а вполне реально, но сложнее штамповать их массово (для накруток).
Да, но в случае с p2p-кредитованием цена одного виртуала = однозначная потеря личных денег.
А что, если как-нибудь использовать теорию знакомств через 6 (7, сколько угодно еще) человек?
Если я могу ручаться за друзей и друзей друзей, то не использовать ли мне этот принцип и дальше? Создаешь специальный аккаунт, заносишь туда тех, кого *лично* знаешь. Критерием достоверности могут быть несколько независимых социальных цепочек, ведущих к нужной личности. Ну и плюс некий статус достоверности, привязанный к человеку — он зависит, во-первых, от времени пребывания человека в этой системе, а во-вторых, от замеченных или не замеченных ложных «друзей».
Собственно, это может быть слегка модифицированный плагин для фейсбука, к примеру. Один из тех, что строят графы знакомств. Но он использует не просто список контактов, а только те их них, которые владелец профиля подтвердил как личных знакомых.
Лично на мой вкус, это самая песпективная затея. У нее самое большое число последующих применений.
Это где-то реализовано? Это можно реализовать?
Это всё конечно хорошо, но знак представленный на Вашем сайте — не подходит.
Прошу прощения, я не про знак говорю. Это конкретный пример, не более.
Я думаю однозначна идентифицировать подпись смог бы скан паспорта, но боюсь на это не многие пойдут
Маленькая история. Моя теща два года назад потеряла паспорт. Месяц назад ее вызвали в отдел по борьбе с экономическими преступлениями УВД, поскольку на ее паспорт были зарегистрированы две помойки и взят невозвращенный кредит в банке. К счастью, у нее сохранилось заявление в милицию о том, что паспорт был утерен. Не годится…
Если на то пошло то можно написать зеленкой на лбу свой id вконтакте и сфоткаться так с раскрытым папортом=))
Я думаю, что этот комментарий — однозначный приз зрительских симпатий.
(У меня закончились плюсики, NikitaG их явно заслужил!!!)
Sup habrahabr!
29-04-2009
Фотошопом мы берем и элементарно вписываем туда данные Васи соседа )

Мне кажется, что если человек хочет остаться анонимом, то он им и останется (как предельный случай подделка паспорта).
ну один человек точно будет «живой душой» — а наплодить виртуалов будет сложнее — зеленка она плохо отмывается.=))
Как вариант: Одноклассники или ВКонтакте предлагают своим пользователям прислать скан паспорта. Тысячи китайцев сверяют присланные паспорта с профилями в этих соц.сетях и выставляют пользователю какой-то статус. Что-то типа супе-пупер-правильный пользователь. Дальше привязываем к этому делу OpenID или что-то подобное и получаем подобие системы идентификации с подтверждением имени.
Хотя, во всем мире уже развиваются технологии ID-карт. Вон, соседи аж выборы проводят с их применением. Доживем и мы :)
Интересная мысль. Хорошая мысль. Осталось уговорить Одноклассников. Может начнем сразу с Хабра :?
На хабре сложно будет мотивировать людей присылать свои паспорта нам :)
То ли дело в Одноклассниках. Я слышал, им там смски шлют по 100 рублей чтобы смайлики использовать в сообщениях ;) Вот таких пользователей вполне можно убедить прислать скан паспорта и получить значок мигающий на странице профиля.
На самом деле у Одноклассников есть в этом смысле одна большая проблема. Все известные мне соцсети поддерживают формат фиксированных ссылок ссылок на профили пользователя. Одноклассники не поддерживают (я специально написал им в службу поддержки) и не собираются (я даже получил ответ от них) этого делать. Поэтому в Одноклассниках я был вынужден сделать спецаильную группу RURsign, куда записываются все подписанты. Это чтобы потом не бегать за их профилями по всему сайту. Могу подробнее, но, думаю, это отдельный пост — «Фиксированная ссылка на профиль».
может я какой то странный но у меня нет профиля в вконтакте, на одноклассниках неполный а вот перс вебманей есть :-)
Я, к сожалению, не использую веб-мани. Этот «перс» может являться аналогом профиля? Там есть настоящие (или видимость настоящих) ФИО и фото? Ну, для примера в моем понимании аналогом профиля может являться даже персональная страница в Скайпе (им уж вы тоже наверняка пользуетесь?) и других не столько соцсетях, сколько соцсервисах. Да даже в gmail можно показать всего себя во всей красе. Т.е. это не обязательно должна быть сеть, это может быть сервис, платежная система. Но они должны удовлетворять двум условиям: (1) настоящие ФИО и фото, (2) возможность проследить соц- или веб- активность (вариант: отстроить цепочку связей через «друзей» к моему профилю). И на основании анализа такой активности (связей) пусть не сейчас, но в обозримой перспективе сделать вывод о реальном существовании владельца профиля (эккаунта). Сложно описал, но как-то так…
да, перс означает что определенный человек (представитель WebMoney) проверил ваши паспортные данные, то есть степень того что он является настоящим — примерно 99,9%
сумбурно как-то написали. прочитав заголовок, думал почитать про ЭЦП, а тут знак рубле, центробанк…
Я, тем не менее старался, и предыдущие комментаторы все поняли.
просьба оффтопом: а можно увидеть «уродов»? Любопытно просто узнать вкус наших избранников.
хорошо, не буду :)
А можно не обсуждать здесь прелести различных вариантов знака рубля, пожалуйста? Ну, сделайте отдельный пост про это. (меня, кстати пригласите, я фанат потереть на эту тему.)
нет, нет, я не обсуждаю. Просто захотелось посмотреть, здесь, как Вы заметили, я еще ни один символ не затронул своим вниманием. А создать интересный топик у меня вряд ли получится :)
о, вижу, Шохин нарисовал…
блин… я ж просил.
сорри, сорри. коммент был до моей просьбы. снимаю.
Не грех тут вспомнить про OpenPGP — самую geek'овскую социальная сеть в мире.
Можно подробнее, но кратко? Интересно…
Это децентрализованная система шифрования и «доверия», каждый человек имеет уникальную пару из публичного и секретного ключа, при встрече двух пользователей PGP они могут подписать ключи друг друга, тем самым удостоверяя, что ключ принадлежит определенному человеку. Называется такая встреча сессия заверителей.

Вообщем, игрушка для криптопанков и участников некоторых opensource проектов, но формально оно «социальной сетью» является. :-)
Понял теперь. Есть такая у меня игрушка для очень деловой переписки. Не решает проблему. Точнее это может быть базой для хорошего перспективного решения.
НЛО прилетело и опубликовало эту надпись здесь
Про Web of Trust я почитаю подробнее. Спасибо.
По второму примеру (соотнести подпись с историей) есть готовые решения?
НЛО прилетело и опубликовало эту надпись здесь
Вероятно это наиболее перспективное решение. Не думаю только, что это не такое уж простое программное решениею. По сути по той же логике работают банковские скорринг-системы. Из массы мелкой информации составляется некоторый агрегированный показатель, который затем сопоставляется с кредитной исторей человека. Веса корректируются с тем, чтобы корреляция была максимальной. Стоит система ни много, ни мало от $500 тыс. И главное ее достоинство — длительная проверка практикой.
Но мысль мне ясна. И пока кажется наиболее правильной.
Видимо под «какое-то лобби народных избранников, которые всеми доступными им способами давят на ЦБ и предлагают ему сделать выбор из нескольких „уродов“», Вы имели ввиду лучших шрифтовых дизайнеров и лучшие дизайн-студии страны?

Дизайн-депо (Москва)
Дизайнет (Москва)
Директ-дизайн (Москва)
Имадизайн (Москва)
Леттерхед (Москва)
Паратайп (Москва)
Студия Артемия Лебедева (Москва)

Агей Томеш (Москва)
Асгард (Санкт-Петербург)
Бизон (Новосибирск)
д.н.к. (Санкт-Петербург)
Зунге-дизайн (Москва)
Кучелаб (Новосибирск)
Мелехов и Филюрин (Новосибирск)
Остенгруппе (Москва)
Оупен-дизайн (Москва)
ПГ-дизайн (Нижний Новгород)
Бюро «Проект» (Москва)
Табу (Москва)

Во-первых, я уже трижды попросил здесь не трогать больную тему знака рубля.
Во-вторых, у понятия «народный избранник» существует вполне конкретный смысл — это депутат государственной думы.
В-третьих, если вас как-то это все же задело, то передайте при случае от меня пламенный и искренний привет Пете Банкову, Лене Фейгину, Диме Первышкову и Владимиру Ефимову. Не забудьте вернуть здесь обратный привет мне от них.
Извините, Диме Перышкову, конечно же…
Прошу у Вас прощения, за то, что не последовал Вашей просьбе не затрагивать эту тему, дело в том, что она действительно меня очень волнует, а другого места высказаться насчет «вашего» знака я не нашел.

Про инициативу «народного избранника» я не слышал.

Перечисленные Вами люди мною очень уважаемы, но в данном, конкретном, вопросе их мнения для меня на авторитетны.

Моя логика при выборе знака проста: дизайн — коммуникация — понятливость для обычного человека. Ваш знак хороший, исторический, но полезный, образно говоря, только для археологии. Мы строим коммуникации в современном обществе, для людей проще и понятнее подрисовать горизонтальную черту под обычную букву р, которую они легко считывают на ценниках, нежели рисовать совершенно непонятные закорючки с буквой «ч» или «у».
Я историк. Точнее экономист-историк. Я люблю антиквариат. Я имею право любить антиквариат и говорить об этом. Из всех известных мне вариантов (это более 1000 начертаний) так называемый «лебедевский» знак лучший из тех, что основаны на русской букве «р». Вопрос в другом: (1) не все дизайнеры согласны с этим начертанием даже внутри дизайнерской тусовки (не буду называть, но это, например, один из упомянутых мною людей; (2) почему этот вопрос обсуждают только дизайнеры, эта тема волнует не только их, и у всех может быть отдельное мнение; (3) почему на сайте ЦБ нет ни слова о процессе выбора знака, почему каждый раз, заявляя о том, что он примет решение до конца сначала 2007, потом 2008 года, ЦБ каждый раз не сдерживает слова.
Если говорить о знаке, то на примере очевидной провокации (вот вам друзья то, что вы никогда не примете, но то, что позволяет лично мне гордиться своей историй) своим письмом я прошу ЦБ включить мозг, призвать профессионалов: того же Лебедева (с ним я лично не знаком), Ефимова, президентов академий наук и художеств. Разве сложно создать такую рабочую группу в составе 10-15 авторитетнейших людей и уже поставить в этой затянувшейся истории точку? Вот вся моя, кратко изложенная логика в отношении знака рубля.
Отвечу тезисами:

— Никогда не бывает так, чтобы были согласны все.

— Каждый должен заниматься своим делом.

— Здесь я с Вами согласен.
что за шахиджанянская тактика?
В контексте обсуждения мне намного более интересно, как поставить под вашим письмом антиподпись.
Сделайте свой сайт, например, и возвращайтесь сюда обсуждать вопрос не знака рубля, а электронной подписи. Я посмотрел по тэгам. Тема ЭЦП раскрыта крайне слабо. Словосочетание «Электронная подпись» я завел первым. Возможно, тема профессионально обсуждается в блоге «Информационная безопасность», но я там не пойму ни слова, поэтому претворился «умным».
Успехов в создании сайта!
НЛО прилетело и опубликовало эту надпись здесь
Ну, почему здесь не принято ругаться матом?!

Я тогда (извините, все!) хотя бы крикну:

ЗДЕСЬ ОБСУЖДАЮТ НЕ ЗНАК РУБЛЯ, А ЭЛЕКТРОННУЮ ПОДПИСЬ. И ТОМУ, КТО СЮДА ПРИШЕЛ ЗА ПОСЛЕДНЕЙ, МНЕ КАЖЕТСЯ, ВПОЛНЕ ИНТЕРЕСНО.
Здесь обсуждаю то что хотят. Не хотите обсуждать знак — не обсуждайте сами лично, но другим не надо мешать.
извините, не буду.
очевидно что вы совершенно зря упомянули в своем топике для чего вам такая подпись − нужно было абстрагироваться.

уже вижу, но уже поздно…
Про электронную подпись в Вашем посте 1,5 горе-абзаца, а про знак рубля — 2 полновесных с предысторией.
Так что не стоит удивляться, что многих тянет прокомментировать именно про знак рубля (как и меня, но сдержусь, раз вы так болезненно к этому относитесь).
Согласен.
Тогда вполне можно было про знак рубля в статье и не упоминать. Почему вы этого не сделали?
Тема электронной подписи мне интересна профессионально. Я стараюсь следить за тенденциями в этой области. Знак рубля — хобби. Но у меня нет другого примера для адекватной иллюстрации проблемы.
НЛО прилетело и опубликовало эту надпись здесь
Я думаю мой истинный интерес содержится в моих комментариях.
Автор, а почему вы сайт назвали RURsign? RUR —  это устаревший код рубля, который использовался до деноминации. Код рубля с 1997 года — RUB!
Знаю. Многие ли помнят о том, что у рубля уже другой код?
И вообще-то он не sign, а symbol.
И ьез того много загадок.
на заре внедрения электронного документооборота и ЭЦП случилось мне работать в одной министерии, где большинство начальников отделов словосочетание «электронная подпись» понимали очаровательно буквально — подпись — скан подписи — картинка в вордовском файле: )) так и свершалась «цифровая» революция
НЛО прилетело и опубликовало эту надпись здесь
Биометрия спасёт всех.
У всех на ноутбуках есть такая штука (я не знаю, как точно она называется), которая уже сейчас позволяет идентифицировать пользователя при входе. Но я лично еще не встречал людей, которые этим пользуются. Я знаю несколько офисов, где отпечаток пальца служит пропуском. ВидеоИнтенешнл, например, но вход в сеть там прежний: пара «логин» и «пароль». Может быть, наоборот, это тупиковая ветвь?
Называется она незатейливо — сканер отпечатка пальца.
Но я лично еще не встречал людей, которые этим пользуются.

Я каждый день встречаю кучу людей, которые даже паролями не пользуются на своих ноутбуках, и что дальше?
Может быть, наоборот, это тупиковая ветвь?

Ну как же тупиковая, если это способ однозначной идентификации личности? Подделать отпечаток или рисунок радужной оболочки намного сложнее, чем что-либо другое.
Дело всего лишь в распространении технологий.
Я знаю несколько офисов, где отпечаток пальца служит пропуском

Я и сам работал в таком, правда отпечаток служил фактом прихода на работу :)
Ок, возможно. Как установить, что отпечаток пальца принадлежит Ивану, а не Петру?
Иван вошел в свой ноутбук с помощью отпечатка, представился Петром, его отпечаток подтвердил это. Системно это решение возможно только тогда, когда будет создана некая общая база отпечатков, которая будет подтверждать соответствия ФИО отпечатку пальца. Строго говоря, на этом принципе уже работают ЭЦП-провайдеры. Но единое хранилище отпечатков пальцев? Я не пойду туда регистрироваться. Это мечта всех контролирующих органов.
Я не пойду туда регистрироваться

С чего вы взяли, что Вас спросят? (не удержался, простите) :)

По теме: чтобы человек не предоставил в качестве доказательства, что именно он — Иван, Вам всё равно нужно будет это с чем-то сравнить.

1) Вот он и ответ. Всегда хочется, чтобы спросили.
2) В этом и задача. Что и с чем уже сейчас можно сравнить.
Есть факт — многие люди дорожат своими профилями. Более того, часто к профилю привязан еще некоторый рейтинг (например, на Хабре же). Условно говоря, существует ли механизм, по которому человек может «заложить» свой профиль? Сумбурно выразился…
Скажу даже больше, гарантии, что по отпечатку Ивана войдет Петр нет. Вспоминаю выпуск «Разрушителей леген» когда они задались вопросом, на сколько реально обмануть сканер.

Испытания проводили на нескольких типах сканеров отпечатков пальцев, один даже учитывал температуру. Достаточно быстро обошли все. Просто в одном случае пришлось изготовить латексную накладку (а где и послюнявить её), а в другом хватило и тупой ксерокопии на обычном бытовом сканере.

Может конечно где-то существуют более устойчивые системы, но серийные модели спасут данные разве только в случае кражи, когда получить отпечаток владельца не получиться.

>Я не пойду туда регистрироваться
Я думаю было не мало людей заявляющих так же, когда вводилась поголовка паспортизация. Сейчас паспорт должен быть у каждого гражданина, и ничего, живут с этим люди как то ) Пройдет время и к биометрическому подтверждению личности будут относиться так же спокойно как сейчас относимся к паспортам.
Наличие персонального аттестата и, как уже упоминалось, персональный сертификат в системе WM на сегодня можно признать наиболее примениным в общей практике. Система работает уже не первый год, вполне себе известный бренд (имхо, в рунете «вебманьки» синоним «электронные деньги», как с «отксерить»), развитая инфраструктура, широка сеть представителей по стране.
В WM я могу работать под псевдонимом. Не спасает. Более того, в силу своей специфики сами WM будут максимально долго держаться именно за псевдонимы.
Спасибо. Я никогда не пользовался вебманями. Некоторое время назад работал с деньгами Яндекса. Я помню, что при регистрации меня вежливо попросили указать настоящие имя и фамилию, но я проигнорировал просьбу и подписался псевдонимом. А сейчас вообще пользуюсь совершенно анонинмыми средствами платежа, которые привязаны лишь к номеру телефона — ЛикПэй для интернета и КиВи для прочего. Тут вообще полная анонимность — только номер телефона. (Правда КиВи в последний квартал начал ужесточать правила.)
В любом случае согласен с тем, что вероятнее всего однозначная идентификация «человек = именно его клик» будет взростать в платежных системах. Строго говоря, им это нужно больше всех.
А телефон у Вас анонимный? Кажется, даже сотовые операторы просят фамилию и паспорт указывать при активации контракта?
да, приходишь и покупаешь просто номер.
Эээ… вообще то персональный аттестат можно получить по предъявлению паспорта. Захочет ли при этом человек раскрыть свое настоящее имя и фамилию дело его, имхо. Так ли важно как он себя называет, Иваном по паспорту или Вольдемаром по нику? Главное имеем четкую привязку личности к электронной системе в которой даже арбитраж действует.

Другой вопрос, что если человек скрывает своё настоящее имя и фимилию и вас это смущает… Тогда проще просто отказаться от сотрудничества с таким человеком.
Так в этом и задачка. Не хочет человек, и мне не надо. Но если человек хочет, то и я хочу, чтобы он представился настоящими ФИО.
Видимо я чего то не догоняю… В WM персональный аттестат выдается по предьявлении паспорта. Потому этот аттестат можно проверить на самом сайте WM. Если человек в настройках не скрывает имя и фамилию, то они там будут указаны. И с большой степень вероятности можно будет утверждать, что эта данные верные (т.е. если не брать в расчет варианты подделки паспорта, преступного сговора с лицом выдавшим сертификат, то данные 100% верные).

Поэтому я и говорю, что в общей практике это наиболее приемлемый вариант. В каждой областном центре страны можна найти представителей WM.

Сейчас даже посмотрел внимательно. Я даже уже немного запямятовал(http://passport.webmoney.ru/asp/wmcertify.asp), достаточно даже начального аттестата. Это и дешевле да и персонализаторов значительно большем, чем регистраторов.
Понял, понял. Это тема. Это интересно. Мне нравится. Идентификация пользователя через его кошелек — это всегда почти стопроцентное попадание. Спасибо за аргументы и ссылки.
Просто это не первая подобная тема в которой мне приходилось принимать участие (хотя чаще всего это возникало в контексте чата) и ни чего лучше в общей практике пока еще народ не предложил. Сам пока более достойных альтернатив не вижу.
Да и это не говоря уже о том, что можно на своем сайте производить идентификацию пользователя. У них там есть нечто подобное OpenID. Сам пока не юзал, но из того что читал по всему выходит так, что если у человека есть начальный аттестат и там сказано, что это Вася Пупкин, то при входе на ваш сайт по данному механизму можно быть действиттельно уверенными что это Вася Пупкин, а не John Doe.
Еще раз спасибо. Я глубже изучу эту тему.
НЛО прилетело и опубликовало эту надпись здесь
Ну, я ж уже несколько раз ответил на этот вопрос. Чтобы для прочих, профессиональных, целей знать: передо мной профиль юзернейма или конкретного человека
НЛО прилетело и опубликовало эту надпись здесь
Свою цель я неоднократно уже обозначил. И признал, что выбрал не самую удачную форму. Истинную причину интереса к данной теме я раскрывать не буду, поскольку связан внутренними корпоративными правилами.
Для справки: моя организация в моем лице уже пол (кажется) года назад подписалась под инициативой дизайнеров на одном из сайтов студий-инициаторов. Не моя проблема, что данные о новых участниках концессии у них не обнавляются.
Про лица: я привык указывать в профиле свои настоящие имя и фамилию.
И внимание вопрос: Это я?
НЛО прилетело и опубликовало эту надпись здесь
Это слишком тривиальная и неинтересная задача. Гораздо интереснее понять: передо мной профиль пользователя. В профиле он или не он? Это живой человек или псевдоним, ник, бот...?
НЛО прилетело и опубликовало эту надпись здесь
Как я написал здесь же за 7 минут до появления вашего комментария, к описанной вами инициативе я присоединился примерно полгода назад. Более того, ваш «нормальный знак» должен был использоваться в одном из продуктов нашей компании. К сожалению, проект был закрыт по причинам независящим от знака, а из профессиональных соображений.
НЛО прилетело и опубликовало эту надпись здесь
Здесь я хотел бы оставить без комментариев первые два ваших абзаца. За третий же большое спасибо. Вы абсолютно правильно описали суть мой хотелки.
Вобщем в разработке проект, который хотелось бы связать с социальной сетью вКонтакте. Хотелось бы достоверной привязки моих экаунтов к экаунтам на Вконтакте.
Мысль такая: пишем приложение во Вконтакте, в которое заходит пользователь и ему выдается уникальная ссылка, или код подверждения, который он должен ввести на моем сайте.
По моему все просто.
С новым API это делать можно.
А еще возможен вариант наобарот — код, или ссылка генерируются на сайте, а во вконтакте нужно их ввести.
Локально это интересное предложение. Как мы можем обсудить его детали? Как будем проверять тот факт, что за профилями вКонтакте стоят реальные люди. (Надо, кстати, отдать им должное: по числу спама в персональный ящик они сильно выигрывают у Одноклассников. 1 сообщение вКонтакте на 10 сообщений в Одноклассниках.)
Пока это только задумка
OpenID? ;)
По сути да, если Вконтакте не является провайдером OpenID, почему бы не сделать его таковым с помощью приложения сторонними разработчиками
Эм, юридически в РФ электронная подпись это реквизит электронного документа, ставится он при помощи закрытого ключа шифрования, связанного с личным сертификатом.
Это понятно. Это сложное программно-аппаратное решение, которое хорошо знакомо корпоративному рынку (все системы банк-клиент) и которое потихоньку доходит до широких масс (веб-доступ к тому же банку-клиенту по персональному счету). Однако, мне кажется, что могут быть найдены альтернативные варианты идентификации личности. Не сейчас. В будушем. В этом и вопрос: каково может быть это светлое будущее?
Вообще говоря не особо оно и сложное. Но есть существенные недоработки в системе. Например, официально сертифицированным в качестве ключевого носителя является 3.5" дискета. Хотя существуют нормальные аппаратные решения (eToken, ruToken) в виде простенького USB-устройства. Хотя вроде как ruToken удалось сертифицировать одно из своих устройств. Тем не менее, например, в нашей администрации до сих пор разрешение есть только на дискеты =( Это истинная морока, особенно когда дискета ломается, что бывает очень часто. Ещё большая морока раз в год менять ключи. В любом случае, вещь полезная и удобная с точки зрения пользователя: воткнул ключ, нажал «подписать» и всё. Что касается будущего, то не стоит загадывать ни на биометрию, ни на ЭЦП. Несмотря на появление простых и дешёвых сканеров отпечатков пальцев.
P.S. Купить ruToken может любой желающий и это недорого, а потом использовать, например, для WebMoney.
Не буду с этим спорить. Все правильно.
Дискеты — это заморочки вашей администрации, т.к. закон об ЭЦП не накладывает жестких требований на тип ключевого носителя. Реально это может быть токен, флешка, память мобильного телефона, жесткий диск, бумажная распечатка с дампом ключей — да что угодно. Ваша обязанность — хранить закрытый ключ в тайне.

Что же касается признания юридической силы ЭЦП, ст. 3 Закона гласит, что проверка подписи должна осуществляться «соответствующим сертифицированным средством». В вашем случае это скорее всего КриптоПРО. А они как изготовитель СКЗИ, в свою очередь, могут накладывать требования на формат ключей и тип ключевого носителя.

КриптоПРО не является единственным сертифицированным СКЗИ. Существуют аналоги. Мне больше как частному лицу импонируют Криптоком-овские средства, т.к. эти ребята поддерживают OpenSource проекты (в частности, в OpenSSL 1.0 будет включен их модуль gost).

Все желающие обзавестись собственным сертификатом и ключевой парой для юридически значимого документооборота (в т.ч. для подписывания открытых писем, как хочет автор топика) могут сходить на сайт УФО — там есть список удостоверяющих центров. Выбирайте себе УЦ исходя из ваших возможностей/потребностей, скачивайте и устанавливайте СКЗИ, заказывайте ключ — и будет вам электронное счастье :)
Добавлю все же одну деталь. Даже при наличии закона об ЭЦП Бюро кредитных историй, например, не выдает банкам-подписчикам информацию по конкретным заемщикам без их (заемщиков) письменного (!) согласия. Хотя в соответствии с буквой упомянутого закона ЭЦП=подписи на бумаге. Думаю, впрочем, это издержки расширения системы… Перегибы на местах.
Всё верно про заморочки нашей администрации. Причём, как вы верно подметили, это заморочки даже не наши, а УЦ. Увы, не всё так гладко, как звучит на бумаге и в официальных докладах. Причём чаще всего именно в таких вот заморочках шероховатости проявляются.
P.S. Да, именно КриптоПРО. Честно говоря он мне сразу не понравился.
НЛО прилетело и опубликовало эту надпись здесь
Чуть подробнее можно? В особенности про web-of-trust?
НЛО прилетело и опубликовало эту надпись здесь
Более чем понятно. Спасибо. Нотариусы могут отдохнуть…
Что-то ссылка про отношения до Столлмана не показывается — пишет "Don't call this file directly! Use openSpace web-form instead".

Прочитал про Keysigning party — любопытно и интересно, но не универсально. Насколько я понял, при этом обязательно надо раскрыть своё настоящее ФИО, что не всегда подходит. Многие пользователи не хотят везде подписываться реальной фамилией где попало — на всяких форумах и.т.п. Вебмани, например, в таком случае позволяют скрывать любые личные данные (ну кроме номера, конечно), при этом сохраняя в полной мере доступ ко всем услугам системы.

Было бы неплохо иметь систему идентификации\авторизации, которая была бы так же интересна, но позволяла раскрывать только ту информацию, которую захотел раскрыть сам пользователь.

Сам я из подобных средств (помимо Вебмани) пробовал использовать обычные сертификаты в Аутлуке для подписывания\шифрования почты — в качестве эксперимента, т.к. большинство среднестатических пользователей всё равно пользуются бесплатными почтовыми службами через веб-интерфейс, где от такой подписи или шифровки толку всё равно нет, а часть «продвинутых» устанавливают клиенты типа The Bat или подобные им, которые (на момент моих попыток) не поддерживали работу с сертификатами «из коробки».

Сейчас как раз Ваша ссылка напомнила мне о том, что надо бы попробовать ПГП :)
НЛО прилетело и опубликовало эту надпись здесь
Спасибо за комментарий. Для целей моего письма этого, конечно, достаточно. Но вот интересный парадокс из личного опыта: Бюро кредитных историй не выдает справки по людям, от которых нет живой подписи (ЭЦП, удовлетворяющие всем признакам достоверности, они не принимают). Та же история в случае со многими коллекторами: нет живой подписи — они не бурутся за взыскание. Но в любом случае спасибо.
> Как просто и технологично подтвердить свою личность в интернете?

Никак. Если нет верификации на госуровне.

У нас вопрос решается так: id.ee/?lang=ru

Каждый житель Эстонии может получить такую пластиковую карту с чипом и использовать ее, кроме всего прочего, для идентификации себя в интернете. Так мы пользуемся банками, подаем налоговые декларации, а кое-кто даже голосует на выборах.

Боюсь, для России такая система не очень подойдет. По размеру.
В комментариях выше господа утверждают обратное.
Обратное чему? Моему «никак»? Все методы, упомянутые выше, не работают либо из-за далеко не полного охвата целевой аудитории, либо из-за непростой процедуры верификации.

Может я что-то пропустил?

Упомянутые мной айди-карты есть почти у каждого жителя Эстонии — и ими пользуются каждый день не только в интернете.
Извините, некорректно выразился. Имелась в виду оценка перспектив России.
Один из возможных способов подтвердить «реальность» личности может быть реализован с помощью SMS:
1. Каждый, кто покупает тариф сотовой связи «светит» свои данные у оператора
2. Доступ к телефону, как правило, имеет только владелец

Т.е. вполне реально на сайте выполнить регистрацию с подтверждением по SMS, если интересует техническая сторона вопроса, можно в личку.
Сценарий понятен. Осталось только действительно заставить ОПСОСов продавать номера при предъявлении паспорта, как было в середине 90-х. Помомо основного номера телефона у меня есть нигде не засвеченный номер «фо спешиал пэпасиз» и не от российского оператора. Т.е. этот сценарий ничем не отличается от «подтверждения личности» через дублирующий е-mail («кто-то зарегистрировался… подтвердите, нажав на эту ссылку...»). Но в комплексе сценарий интересный.
Господа, я думаю, что комментариев уже не будет, поэтому позволю себе подвести итоги полезной дискуссии, которая помогла мне систематизировать представления о возможностях точной или почти точной идентификации личности, совершающей те или иные действия в интернете.
1) Расширение сферы применения ЭЦП на физических лиц (через сертификаты, ключи и биометрию).
2) «Вторичное» использование учетных записей и/или сертификатов платежных систем типа WebMoney для целей не связанных собственно с денежными переводами.
3) Построение систем Web-of-Trust на основе анализа веб-активности пользователя и/или его связей с другими пользователями через общих «друзей» (в т.ч. с использованием ключей двусторонней защищенной передачи данных).
У всех вариантов есть свои безусловные плюсы и минусы. Лично мне наиболее перспективным представляется третий способ по меньшей мере потому, что он (a) востребован, (b) возможен, © не реализован.
Благодарю господ с никами CitRus, proxor, vibornoff, dimaniko, Aist, kabachok, Dreammaker, mikhailian, darkk, Nilis, tutmark, ivlad, Finist, alekciy, AnatolyB, zeromodule, antonsub за ценные комментарии.
Особое спасибо NikitaG за яркий, острый и абсолютно в тему комментарий.
А не достаточно ли написать настоящие Ф.И.О. и номер паспорта?
Ведь тут важно застраховаться от мёртвых душ, а номер паспорта уникален.
Речь же еще идет об электронном документообороте. Как я проверю, что данный номер паспорта принадлежит данному конкретному человеку? Плюс как я проверю, что человек по ту сторону монитора представился собственной фамилией и дал собственный паспорт, а не ФИО и паспорт соседа?
При обороте в тысячи подписавшихся процент подделок (вопрос для чего?) минимален, это же нужно знать чужие паспортные данные и задаться целью фальсифицировать подпись.
Если письмо с подписями направляется в гос. учереждение, то должна существовать централизированная база данных паспортных данных, через которую можно пропустить подписи.
Просто я не очень хорошо знаю реалии Российской гос. компьютеризации. У нас в Израиле обычно если собирают подписи под какой то петицией в интернете просят заполнить номер паспорта, имя, фамилию и мейл для обратной связи.
Фальсификация с вашей стороны возможна только если у вас находится база данных паспортов страны. Тогда конечно, сливаем всех в подписи и вот уже миллионы подписаных :)
www.artlebedev.ru/news/2007/rouble/ — зачем изобретать велосипед? Или список компаний, одобривших символ Тёмы, вам ни о чём не говорит?

rursign.com/ — ЭТО ваш сайт?
А зачем нам знать, кто скрывается за идентификатором на самом деле? Нам обычно надо знать, что X и Y — это одна и та же личность. OpenId для этого вполне подходит. А личная электронная подпись… Для этого нужен какой-то доверенный регистратор, который по личному предъявлению паспорта будет выдавать какой-либо ключ. Неважно какой. Можно даже тот самый OpenId. Или PGP ключ. А лучше оба сразу — такая комбинация позволит с вероятностью 99% идентифицировать подпись как принадлежащую определенному лицу. 1% оставляю на человеческий фактор — ключ и пароли тоже можно прое украсть, трояны и неаккуратность еще никто не отменял.

Если коротко, электронный паспорт выглядит так:
— Выдаваемый при предъявлении бумажного паспорта (а лучше вместе с ним) OpenId как адрес, где лежит публичный PGP ключ.
— Для регистрации достаточно использовать этот OpenId.
— Для подписей использовать PGP, а по адресу OpenId должен лежать открытый ключ для верификации.
Это самая простая и надежная схема, ИМХО.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Я, Oblitus собственной персоной подписываюсь за ибо воистену.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.12 (MingW32)

iQEcBAEBAgAGBQJLB8faAAoJEIGkQyyyhDkKzSMH/R9gAYyUCPt/pcHOJvKr8vpi
xo5HhWLJkF1Pyq/4Q538XzRdy5F/95KkKBJnUjjWKGSRk/cbrodD7UNDEaw6NBJh
bO1Q1KWtS8ZaoyqG+9Fu/8M2IN2dCzc/NmM8SljLxf8uIa8g9ZeSjDtSYLNV66KF
aAuBsmOU7EoJH6j2fDULrwxG5I2zbs5VXst5PTc4I6vddBENEPDsjSiBZKcmvPau
WFOzd86LKDWu7Hwwiro5fAquHunHb1YuG8ODrsmNh7YS62+/5YhoiQBFEDKek3i8
PDVx6eCC47cz9GlEogGjj3v2vN/f2dingE3lUiHQliXe2foibv2CztQXGquvF3k=
=78H9
-----END PGP SIGNATURE-----
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории