С получением прав доступа через ЕСИА проблем нет, но как их зафиксировать в подписанном документе?
Фактически нужно построить еще один сервис доверенной третьей стороны, который обеспечивает получение прав доступа. Вариант не плохой, но потребует большого объема доработок в законе и его соответственно сложнее будет реализовать.
Перефразирую так, у вас нет уверености что HSM за 1 млн. руб. сможет вас защитить лучше чем USB токен за 2 тыс. руб.
Я с вами на 93% согласен :) Однако оставшиеся 7% говорят о том, что оценивать защищенность СКЗИ просто по бытовой логике нельзя. Способов кражи криптоключей тьма, я об этом писал в модели угроз СКЗИ.
Более дорогие устройства защищают от большего числа атак. Но отношение цены к безопасности вызывает очень большие вопросы.
Это сработает для тех, кто озаботился своей безопасностью
Да, это так. В статье предлагается дать возможность людям на самооборону. При этом, если человек ничего не хочет, то для него все останется как было.
Нужна кардинально другая система, с устранением проверки личности на стороне УЦ,
Не надо излишне демонизировать УЦ. Проблема идентификации также остро стоят и в банках, и в МФЦ, и на почте, и еще много где. Как с ними быть?
Технологически 63-ФЗ базируется на доверенной третьей стороне (УЦ), выдающей сертификаты. Есть и другое решение, без третьей стороны — это сеть доверия, реализованная в GnuPG. Но для государственной ЭП она мало подходит.
Государство выдает 10-30-летние личные корневые сертификаты
Обычные граждане вырядили смогут обеспечить конфиденциальность ключей в течение 30 лет.
Если рассматривать государство в противовес бизнеса...
Государство рассматривается как провайдер инфраструктурных сервисов. Чем качественнее и дешевле сервисы тем лучше. Противовеса нет, задача наоборот улучшить условия ведения бизнеса.
Выдавайте КЭП на длительный срок (10-15 лет — в самый раз). Нет проблем.
Срок действия ключа в 1 год (3 месяца на переоформление) выбран не зря. С точки зрения практической безопасности это оптимальный срок жизни криптографических ключей при условии их эксплуатации с помощью программных СКЗИ на персональных компьютерах. Для увеличения срока необходимо гораздо более дорогое СКЗИ (HSM).
NTP. Но ни кто не заставит им пользоваться.
Для юридически значимого ЭДО используют TSP, а не NTP. Принципиально разные службы и для разных целей используемые.
служба гарантированной доставки сообщений
СЭД. Их тьма. Но проблема с ними та же, что и с КЭП — можно сделать дубль ЛК.
Подобные службы в России называются «специализированными операторами связи». Раньше они в обязательном порядке использовались при передачи отчетности в электронном виде в налоговую. Потом, в связи с небольшим количеством инцидентов оспаривания дат передачи документов, они перестали быть обязательными.
Но проблема с ними та же, что и с КЭП
Идея в том, что они с КЭП взаимоусиливают безопасность, а не противостоят друг другу. Обе технологии закрывают разные угрозы. Это как огнетушитель и камера охранного наблюдения.
мой сын — «электронный нотариус»
Проблема «мой сын — электронный нотариус» равносильный проблеме «мой сын — бумажный нотариус». Тем не менее нотариальной деятельности сотни лет.
А если мне нужна КЭП, но я хочу быть уверен, что ни кто не сделает еще одну?
Это решается активной безопасностью, при которой человек получает от «Госуслуг» уведомления о выпусках ЭП. Если выпустили «левую» подпись, то по заявлению, лица на которое она выпущена подпись отзывается.
От всех угроз не защитится, а делать очень сложную систему не самая хорошая идея. Нужен баланс.
Текущий мир ЭЦП итак очень недружелюбен к обычным пользователям.
Тест очень простой, а может ли ваша мама использовать ЭЦП для решения своих повседневных вопросов без посторонней помощи.
При выборе вариантов правки закона приоритет делался на сохранение простоты использования ЭП для ее владельца. По сути единственным препятствием для них станет необходимость личного визита в УЦ. Да, это «тяжело». Но тут ничего не сделаешь, текущий уровень безопасности системы слишком низок. В остальном их жизнь, с появлением стандартизированных СКЗИ, должна стать значительно проще.
Возможно хватит и одного СНИЛС. Для точного ответа на вопрос нужно проводить дополнительное исследование.
P.S.
Проблема может быть в том, что не у всех он есть. Получить могут люди зарегистрированные в ПФР. Соответственно у каждого субъекта будут периоды времени когда у него нет СНИЛС. Впрочем это справедливо и для ИНН.
Как тогда его идентифицировать? Запрещать электронные сделки до получения СНИЛС?
В текущий ситуации с защитой от мошенничества с ЭП как для физ. лиц так и для юр. лиц чуть лучше чем никак. По защите от регистраций левых ЮЛ на физ. лицо можно посмотреть в этом посте.
Ну по этому и предлагается идентифицировать людей по связке ИНН + СНИЛС.
Связка значений нужна для того, чтобы избежать проблем (дублирование, отсутствие и т.д.) с одним из номеров.
Какой конкретно использовать стандарт — это тема отдельной дискуссии. Главное положить конец существующему «СКЗИ-рабству», т.е. когда электронное взаимодействие привязано к решениям одного вендора.
Блокчейн как технологическая основа сервиса третьей доверенной стороны довольно интересен. Например, сервис длительного обеспечения юридической значимости документов это прям для него. Но тут нужна проработка, кто будет хранителем реестра, как защитится от уязвимостей свойственных данной технологии (например, проблема контроля 51% вычислительной мощности и др.) и еще много чего.
В отношении банков, то они уже и так выполняют много чего (валютный контроль, сбор биометрии), что не свойственно «классическим» кредитным организациям и причем за «спасибо» от государства. Вводить для них новую обязаловку, думаю не здорово, а на добровольной основе они могут выполнять функции УЦ и так.
Текущая коммерческая ИБ — это позиционная война.
Потери — реализация одной из стороной своих целей, например, кража данных. Союзники «светлой стороны»- CERT, правоохранительные органы. Союзники «темной» — darknet, хакерские группировки, криминал.
Крайне интересная мысль про доказательства, но думается что все же есть нюансы.
Информационная безопасность, суть информационное противоборство людей: хакера с жертвой, хакера с хакером, хакера с безопасником и т.д. По сути ИБ это война, и изучаться она должна с точки зрения военных конфликтов.
Приводимые математические показатели number to treat / number to harm для военного дела подходят плохо, как так существенную роль в победе (излечении с точки зрения медицины) могут съиграть неколичественные факторы: моральный дух войск, тактика и т.д. Аналогично и в ИБ. Грамотный человек, соблюдая жесткие требования информационной гигиены может долго обходится без антивируса. Другому же, менее «подкованному», без антивируса никуда.
Подобные количественные критерии подошли бы для повторяемых действий. В ИБ с «измеряемой» повторяемостью проблема.
В последнее время на Хабре стало появятся очень много годноты, в результате чего количество закладок уверено перевалило за несколько сотен.
При таких объемах существующая система навигации при работе с закладками — выборка по меткам, прямой перебор становится неудобной. Она не позволяет быстро находить требуемую информацию. Когда нужно найти что-то, из того что ранее читал, проще перейти в Яндекс, и на нем сделать поиск соотвествующей инфы по Хабру (поисковый запрос вида: «что-то» site:habr.com).
Поэтому хочу внести ряд предложений по улучшению работы с «Закладками»:
1) Реализовать возможность установки ограничения «только по закладкам», при осуществлении полнотекстового поиска.
2) Реализовать возможность добавлять к закладкам собственные теги и делать поиск по ним отбор.
3) Реализовать возможность управления порядком вывода закладок (сортировка по автору, времени и т.д.)
4) Реализовать вывод закладок в виде «бесконечной» ленты скролинга, желательно с возможность активации режима показа только заголовков
Я тут написал конечного много всего, поэтому если получится реализовать хоть что-нибудь будет очень хорошо.
Сертификат HSM на класс КВ+ говорит о том, что данная железка умеет защищать от ПЭМИН
Фактически нужно построить еще один сервис доверенной третьей стороны, который обеспечивает получение прав доступа. Вариант не плохой, но потребует большого объема доработок в законе и его соответственно сложнее будет реализовать.
Я с вами на 93% согласен :) Однако оставшиеся 7% говорят о том, что оценивать защищенность СКЗИ просто по бытовой логике нельзя. Способов кражи криптоключей тьма, я об этом писал в модели угроз СКЗИ.
Более дорогие устройства защищают от большего числа атак. Но отношение цены к безопасности вызывает очень большие вопросы.
Да, это так. В статье предлагается дать возможность людям на самооборону. При этом, если человек ничего не хочет, то для него все останется как было.
Не надо излишне демонизировать УЦ. Проблема идентификации также остро стоят и в банках, и в МФЦ, и на почте, и еще много где. Как с ними быть?
Технологически 63-ФЗ базируется на доверенной третьей стороне (УЦ), выдающей сертификаты. Есть и другое решение, без третьей стороны — это сеть доверия, реализованная в GnuPG. Но для государственной ЭП она мало подходит.
Обычные граждане вырядили смогут обеспечить конфиденциальность ключей в течение 30 лет.
Государство рассматривается как провайдер инфраструктурных сервисов. Чем качественнее и дешевле сервисы тем лучше. Противовеса нет, задача наоборот улучшить условия ведения бизнеса.
Срок действия ключа в 1 год (3 месяца на переоформление) выбран не зря. С точки зрения практической безопасности это оптимальный срок жизни криптографических ключей при условии их эксплуатации с помощью программных СКЗИ на персональных компьютерах. Для увеличения срока необходимо гораздо более дорогое СКЗИ (HSM).
Для юридически значимого ЭДО используют TSP, а не NTP. Принципиально разные службы и для разных целей используемые.
Подобные службы в России называются «специализированными операторами связи». Раньше они в обязательном порядке использовались при передачи отчетности в электронном виде в налоговую. Потом, в связи с небольшим количеством инцидентов оспаривания дат передачи документов, они перестали быть обязательными.
Идея в том, что они с КЭП взаимоусиливают безопасность, а не противостоят друг другу. Обе технологии закрывают разные угрозы. Это как огнетушитель и камера охранного наблюдения.
Проблема «мой сын — электронный нотариус» равносильный проблеме «мой сын — бумажный нотариус». Тем не менее нотариальной деятельности сотни лет.
Это решается активной безопасностью, при которой человек получает от «Госуслуг» уведомления о выпусках ЭП. Если выпустили «левую» подпись, то по заявлению, лица на которое она выпущена подпись отзывается.
От всех угроз не защитится, а делать очень сложную систему не самая хорошая идея. Нужен баланс.
При выборе вариантов правки закона приоритет делался на сохранение простоты использования ЭП для ее владельца. По сути единственным препятствием для них станет необходимость личного визита в УЦ. Да, это «тяжело». Но тут ничего не сделаешь, текущий уровень безопасности системы слишком низок. В остальном их жизнь, с появлением стандартизированных СКЗИ, должна стать значительно проще.
P.S.
Проблема может быть в том, что не у всех он есть. Получить могут люди зарегистрированные в ПФР. Соответственно у каждого субъекта будут периоды времени когда у него нет СНИЛС. Впрочем это справедливо и для ИНН.
Как тогда его идентифицировать? Запрещать электронные сделки до получения СНИЛС?
В текущий ситуации с защитой от мошенничества с ЭП как для физ. лиц так и для юр. лиц чуть лучше чем никак. По защите от регистраций левых ЮЛ на физ. лицо можно посмотреть в этом посте.
Связка значений нужна для того, чтобы избежать проблем (дублирование, отсутствие и т.д.) с одним из номеров.
Скажем так, в текущей законодательной базе быть правильным УЦ невыгодно.
Эта здравая идея с точки зрения IT, но жуткая ересь с точки зрения многих мировых религий.
В отношении банков, то они уже и так выполняют много чего (валютный контроль, сбор биометрии), что не свойственно «классическим» кредитным организациям и причем за «спасибо» от государства. Вводить для них новую обязаловку, думаю не здорово, а на добровольной основе они могут выполнять функции УЦ и так.
Потери — реализация одной из стороной своих целей, например, кража данных. Союзники «светлой стороны»- CERT, правоохранительные органы. Союзники «темной» — darknet, хакерские группировки, криминал.
Информационная безопасность, суть информационное противоборство людей: хакера с жертвой, хакера с хакером, хакера с безопасником и т.д. По сути ИБ это война, и изучаться она должна с точки зрения военных конфликтов.
Приводимые математические показатели number to treat / number to harm для военного дела подходят плохо, как так существенную роль в победе (излечении с точки зрения медицины) могут съиграть неколичественные факторы: моральный дух войск, тактика и т.д. Аналогично и в ИБ. Грамотный человек, соблюдая жесткие требования информационной гигиены может долго обходится без антивируса. Другому же, менее «подкованному», без антивируса никуда.
Подобные количественные критерии подошли бы для повторяемых действий. В ИБ с «измеряемой» повторяемостью проблема.
При таких объемах существующая система навигации при работе с закладками — выборка по меткам, прямой перебор становится неудобной. Она не позволяет быстро находить требуемую информацию. Когда нужно найти что-то, из того что ранее читал, проще перейти в Яндекс, и на нем сделать поиск соотвествующей инфы по Хабру (поисковый запрос вида: «что-то» site:habr.com).
Поэтому хочу внести ряд предложений по улучшению работы с «Закладками»:
1) Реализовать возможность установки ограничения «только по закладкам», при осуществлении полнотекстового поиска.
2) Реализовать возможность добавлять к закладкам собственные теги и делать поиск по ним отбор.
3) Реализовать возможность управления порядком вывода закладок (сортировка по автору, времени и т.д.)
4) Реализовать вывод закладок в виде «бесконечной» ленты скролинга, желательно с возможность активации режима показа только заголовков
Я тут написал конечного много всего, поэтому если получится реализовать хоть что-нибудь будет очень хорошо.