Информация
- В рейтинге
- Не участвует
- Откуда
- Москва, Москва и Московская обл., Россия
- Зарегистрирован
- Активность
Специализация
Директор по информационным технологиям, Руководитель ИБ (CISO)
Ведущий
Защита информации
Информационная безопасность
Сетевая безопасность
Криптография
Форензика
IDS
Firewall
Администрирование сетей
Виртуализация
Системное администрирование
rusrim.blogspot.com/2019/06/1_1.html
rusrim.blogspot.com/2019/06/2_2.html
Выдача подписи на левых людей была, а УЦ не виноват и издержек не понес. Будь у него хоть 10 т.р., хоть 1 млрд. в текущих реалиях это значение не имеет.
Что касается проверки того, что некоторые УЦ «криво» выдают подписи, то с этим я сталкивался лично. Однажды я получил порядка 10 квалифицированных сертификатов ключей проверки электронной подписи не разу не предъявив оригинал паспорта, ни свой ни владельцев (получение по доверенности).
С языка сняли!!! Хотел об этом отдельную тему написать, но статья и так очень большая получилась. В целом вы абсолютно правы. Все что связано с ЭП это просто первые этапы глобальной трансформации общества связанного с идентификацией и удостоверениями личностями. Текущий расклад это «мерседес» на деревянных колесах от телеги.
Это и есть основная идея предлагаемых мер защиты. Только полностью исключать УЦ из идентификации нельзя, так как это породит свои уязвимости.
Для тех кому, подобная безопасность не требуется есть альтернативы — усиленная неквалифицированная электронная подпись. Там можно как угодно, по каким угодно доверенностям.
Это еще один камень в огород тех, кто хочет передать функции УЦ в гос. структуры. Выездные услуги для коммерческих УЦ вполне обыденная практика.
Тут наверное моя вина. В статье это все это упоминается как одна сущность — электронная подпись. Сделано это для снижения сложности материала. Но как известно добра без худо не бывает. В результате чего появляется подобная «юридическая расплывчатость».
Как и везде VIP ломают всю систему безопасности :)
Им ехать не обязательно. Выездные услуги никто не отменял. Принципиальный момент именно в запрете выдачи по доверенности.
1. Защищенность гос. услуг сильно переоценина… Хотели как-то сделать «Госуслуги» (ЕСИА) резервным каналом для восстановления пролей в Интернет КБ для физ. лиц. Провели несколько натурных экспериментов в части регистрации уч. записей в этом сервисе… пришли к выводу что ну его «в баню». Качество идентификации личности, защищенность от левых авторизаций просто никакая. Грубо — уровень салона сотовой связи. Регистрацию ЭП через ЕСИА пока делать нельзя — слишком дырявая система.
2. Регистрация по нотариальной доверенности в целом допустима. По крайней мере будет значительно безопасней чем сейчас. Но в общем случае практика выдачи удостоверений личности по доверенностям порочна.
3. Требование увеличения уставного капитала УЦ до 1 млрд. к защищенности обладателей подписи не имеет абсолютно ни какого отношения. В текущей схеме и так есть требования к капиталу, однако оно как средство защиты не работает. Кражи квартир с помощью ЭП есть, штрафов к УЦ нет.
Можно. Этот вариант имеет право на жизнь. По сравнению с ограничениями хранящимися в сертификате он более гибкий, но и более дорогой в реализации.
Сертификат HSM на класс КВ+ говорит о том, что данная железка умеет защищать от ПЭМИН
Фактически нужно построить еще один сервис доверенной третьей стороны, который обеспечивает получение прав доступа. Вариант не плохой, но потребует большого объема доработок в законе и его соответственно сложнее будет реализовать.
Я с вами на 93% согласен :) Однако оставшиеся 7% говорят о том, что оценивать защищенность СКЗИ просто по бытовой логике нельзя. Способов кражи криптоключей тьма, я об этом писал в модели угроз СКЗИ.
Более дорогие устройства защищают от большего числа атак. Но отношение цены к безопасности вызывает очень большие вопросы.
Да, это так. В статье предлагается дать возможность людям на самооборону. При этом, если человек ничего не хочет, то для него все останется как было.
Не надо излишне демонизировать УЦ. Проблема идентификации также остро стоят и в банках, и в МФЦ, и на почте, и еще много где. Как с ними быть?
Технологически 63-ФЗ базируется на доверенной третьей стороне (УЦ), выдающей сертификаты. Есть и другое решение, без третьей стороны — это сеть доверия, реализованная в GnuPG. Но для государственной ЭП она мало подходит.
Обычные граждане вырядили смогут обеспечить конфиденциальность ключей в течение 30 лет.
Государство рассматривается как провайдер инфраструктурных сервисов. Чем качественнее и дешевле сервисы тем лучше. Противовеса нет, задача наоборот улучшить условия ведения бизнеса.
Срок действия ключа в 1 год (3 месяца на переоформление) выбран не зря. С точки зрения практической безопасности это оптимальный срок жизни криптографических ключей при условии их эксплуатации с помощью программных СКЗИ на персональных компьютерах. Для увеличения срока необходимо гораздо более дорогое СКЗИ (HSM).
Для юридически значимого ЭДО используют TSP, а не NTP. Принципиально разные службы и для разных целей используемые.
Подобные службы в России называются «специализированными операторами связи». Раньше они в обязательном порядке использовались при передачи отчетности в электронном виде в налоговую. Потом, в связи с небольшим количеством инцидентов оспаривания дат передачи документов, они перестали быть обязательными.
Идея в том, что они с КЭП взаимоусиливают безопасность, а не противостоят друг другу. Обе технологии закрывают разные угрозы. Это как огнетушитель и камера охранного наблюдения.
Проблема «мой сын — электронный нотариус» равносильный проблеме «мой сын — бумажный нотариус». Тем не менее нотариальной деятельности сотни лет.
Это решается активной безопасностью, при которой человек получает от «Госуслуг» уведомления о выпусках ЭП. Если выпустили «левую» подпись, то по заявлению, лица на которое она выпущена подпись отзывается.
От всех угроз не защитится, а делать очень сложную систему не самая хорошая идея. Нужен баланс.