Поймите же главное: сколько и кому будет выделено средств на всё это — акцизы повысили, тарифа повысили, что там ещё повысили. Вас грабят, а вы «прайс лист CP» обсуждаете!!!
С одной стороны обеспечение безопасности и контроля где это уместно нужно, кто бы спорил.
Но.
Я думаю, я уверен, что сейчас это идет по эгидой «распилов и откатов», и «закручивания гаек» для более надёжного, удобного и безопасного «распила и отката», к сожалению.
До зуда хочется большей адекватности от наших «органов».
Это хорошо, что в следите за «законотворчеством» в этой области и что оно вас обнадёживает.
Но.
После этой пресс-конференции : «Совета Безопасности», «обнадеживающий документ», «ФСБ» — это всё в моем понимании теперь взаимоисключающие понятия. Одними «законами» обнадёживаем, другими гнобим. И да, да, да — это политота на хабре!
Я смотрел полную запись и ничего в поддержку никакому Путину не услышал. Приведите мне пример со сылкой на запись и время, например на youtube их несколько. Без мухлежа, с сохранением контекста.
«осознать простейшую метафору» — не имеет значения метафора это или нет. Это публичное заявление, это не игрушки даунов в песочнице. Если твою мать метафорический назовать «ебанутой шлюхой», какое будет отношение с учетом «Очень жаль человека, который не в состоянии осознать простейшую метафору», а?
Окей, психоз так психоз, таким «психом» я быть согласен.
Для примера. Смысл игры — 24 — досмотреть до конца и что-то аргументированно возразить, или только и можно что «осознавать метафоры» да жалеть «психов»?
«редкий злоумышленник пойдёт на такие меры» — Вопрос компромисса. Одного раза достаточно, при этом это не обязательно должны быть вы. Дважды лбом пулю не ловят.
Да, так можно. Но ведь от третьих лиц и пытаются избавится, точнее ограничить и контролировать их возможности, если без них никак. Аутентификация, шифрование, криптография как наука и т.д. — это как раз способы устранить или контролировать «третьи лица».
Значит у каждого сервиса (ну если не онлайн, то ресторана скажем) должно быть сертифицированное, защищённое «государством» устройство съема и передачи данных — сплошной геморой и убытки. Т.е. всё остаётся по прежнему, но всё «неудобство» берёт на себя сервис и повышает цены. А если онлайн, то где, у кого будет это устройство, и кто за него заплатит?
Разработка надёжных, однозначных, дешевых, удобных, доступных биометрических систем не менее сложно, чем разработка системы сотовой связи. Идеи появились в 50-70-ых в союзе, а были приемлемо реализованы только к середине 90-ых как говорится мировым сообществом.
В крайнем случае можно доверить некоему репозиторию хранение копии ваших данных (аналогично банку). Но мне этот вариант просто не нравится — слишком большое у него будет влияние, либо слишком много сил и средств на его контроль нужно будет тратить.
Невозможно перескакивать через этапы. Чтобы повсеместно ввести «биометрию» (как это показывают в фантастических фильмах и книгах), нужно в начале ввести «криптографию», а потом на её основе «биометрию».
«руку отрежут или глаз вынут… перенос...» — Это уже оффлайн, здесь только классика работает, или я чего-то не понял.
«генерируемый на базе отпечатка пальца или ДНК» (и далее)- ну. Это возможно, но облегчает взлом. Стойкость ключей обеспечивается в том числе и некоторой случайностью, но это можно опустить. Однозначный съём биометрических данных это проблема. Одни данные при желании не очень сложно подделать, а другие непостоянны. А если вы и вам и так доверяют, то можно и на слово положится: «бармен — запиши на мой счет».
«Не взял, потерял, сломалось, украли и ты остался без доступа к своим аккаунтам» — Это уже классика: дубликаты, бэкапы, «трусы/ботинки одеть не забываем», устройство можно прицепить к телу, и т.д. И главное это уровень доверия. В одном месте можно обойтись добрым словом, в другом скажем отпечатком пальца, а в ином без е-токена слишком рискованно (мошенники не дремлют :) ).
«Yandex и соцсети» — это всё же немного не тот уровень, и вы сами их связываете. Вот есть у меня логин и пароль от онлайн-банка, и плюс к ним приходят эсемески, неудобно.
«Сложно в современном мире жить без денег, а прекрасно без них жить ещё сложнее. А жить с деньгами значит доверять их эмитенту.» — Ну что же вы так?! Ну, кто верит, например, сша: напечатают, не напечатают, куда сунут напечатанное. По сути когда они эмитируют (в особенности сейчас при спаде экономики), они обесценивают деньги и всё их производные. Т.е. воруют у вас или заставляют принудительно платить налоги в бюджет сша. Капиталы можно держать и не в денежной форме. И как это у вас эта тема денег связалась с тем, что я писал о доверии, о том виде доверия?
«всю свою электронную информацию» — Вот, а я думаю что не всю, а только минимум необходимый для дела. Но это уже «на вкус и цвет».
«наружу из криптоустройства никогда не выходит» (и далее) — Я думаю что в этом основная проблема. Слишком сложные схемы получаются. Слишком многим неизвестным (вам) организациям (обобщенно, в мировом масштабе) придётся доверять абсолютно всё. Вы же не хотите сами владеть криптоустройством и т.п. Многих это не устраивает. В таком случае нужно как это сейчас модно стало «широкое общественное движение», в смысле новой технологической волны, как было с персоналками и интернетом.
И не исключаем: игровой момент, паранойю, мошенников, всякие «службы» и «мафии» — это такая весёлая игра ;-)
Вы похоже отвечаете не на мой комментарий, а на какой-то другой.
«возможность доступа к каким-то онлайн-сервисам волновать меня будет меньше всего» — А нафига вам тогда вообще нужна аутенфикация, если вы будете присутствовать лично? Проверка по фотографии в паспорте тоже «биометрия». Можно развить её до более совершенного вида, но это уже абсолютно другое и к теме отношения не имеет никакого.
«вероятность случайного совпадения минимальна» — При использовании ключей вероятность совпадения вообще ничтожная.
(Скажем для примера: онлайн-голосование на выборах, быстрые и удобные банковские переводы — тоже интересные темы)
«они от меня практически неотчуждаемые» — При удалённом использовании, без личного присутствия они именно что абсолютно отчуждаемые. От вашего имени будут «грабить и насиловать».
«Деперсонификация интересует далеко не всех» — Но при использовании удалённых сервисов (абсолютно любых) присутствует по факту. И то что эти данные принадлежат именно вам, должна будет подтверждать третья сторона (производитель устройства, владелец устройства, те кто обслуживает эти устройства, провайдеры!, какой-нибудь центральный репозиторий и т.д.), иначе где гарантия что они не сфабрикованы, не испорчены (например плохим девайсом), не эмитируются, и т.п. Где гарантия что кто-то не вклинился в процесс и не управляет им без вашего ведома, и без ведома конечного сервиса разумеется. Ответ — наука криптография. Современный ответ криптографии — системы с открытым ключом.
«Если так рассуждать, то любые параметры ничто не помешает скопировать. В частности закрытый ключ хранится, как правило, на диске, пароли перехватываются кейлогерами и т. п.» — Эту проблему и пытается решить криптография, вообще-то, на всём пути своего существования. Единственное простое решение, ставшее доступным по глобальным меркам совсем недавно, личное устройство шифрования (всякие е-токины и т.п.). А если в место ФИО в открытом виде будет передаваться длина члена, ничего по большому счёту не изменится, за исключением уникальности.
«Доверяем ...» — Вы абсолютизируете доверие совершенно не по теме.
Можно никому не доверять и прекрасно жить без проблем — одно с другим напрямую не связано. «Все девайсы» проходят проверку в том или ином виде. И не только на предмет качества, но и на предмет того что делают только заявленное в спецификации — ничего более и ничего менее того. Тоже относится к ОС и софту, но часто в меньшей степени. Доверяем производителям и эксплуататорам каналов связи в том же ключе — соответствие заявленным спецификациям — гарантированная до некоторой степени передача данных (в важных случаях зашифрованных и им недоступных).
«доверяем самим сервисам» — А это уже ваша личная (но всё же в важных случаях, конечно, и общественная) проблема до какой степени вы доверяете конкретному сервису, какой уровень доверия требует конкретный сервис. Ведь почтовик не требует от вас вашу медицинскую историю.
Я сторонник минимальной связанности: без моего ведома связать данные от разных сервисов невозможно или максимально затруднено, без моего ведома воспользоваться сервисом от моего имени невозможно или максимально затруднено.
"… свезенными насильно..." — это ложь — наглая и глупая. Для справки: мне на работу по Москве на машине ездить не удобно (хотя возможность есть) и меня «свозят» на метро и автобусе — надо полагать, если я не приезжаю на машине или не прихожу пешком — я быдлоанчоус? Ну и ладненько.
В дополнение. Если на разных сервисах использовать один и тот же «ключ» (в виде биометрических данных в частности; логин и пароль в частности), это позволит связать их друг с другом и с вами без вашего ведома. Если же использовать разные ключи на разных сервисах и для разных случаев, то связать их без вашего ведома не удастся.
Если рассматривать общий случай (в частности бывает вообще всё).
Биометрические данные в смысле подтверждения реальной личности нужны в очень редких случаях, я думаю.
Отдельный логин-пароль или ключ надо понимать как надёжный способ удалённо и деперсонифицированно подтвердить статус взаимоотношений. Шифрование, секретность уже частности.
«Девайс» эти биометрические параметры как-то снимает, хранит, передаёт. А значит ничто не мешает их скопировать. А для их удалённого подтверждения необходимо где-то хранить их копию, ведь биометрические параметры должны оставаться постоянными, иначе какой в них смысл. Поэтому биометрия не может выступать как основа криптографии, и всё равно будет нужен случайный, уникальный, криптографически стойкий ключ. Даже если это мастер-ключь — где-то, на каком-то девайсе (только вашем) он быть должен. Иначе вы полностью доверяетесь тому кто сможет контролировать этот «любй девайс». И весь смысл — без вашего ведома ничего сделать нельзя — улетучивается.
"… лет через дцать все будут помнить свои закрытые ключи бит так в 1024" — не, вы издеваетесь, где и как (кто, когда и где вообще) такое предлагает? И пруфлинк, пожалуйста.
«Техническая реализация мне не особо интересна» — это очень печально. Иначе вам было бы очевидно — ничто не мешает реализовать это прямо сейчас, но «всем пофиг».
Я (правда) был не в теме и не интересовался. Но чем дальше, тем больше я понимаю, почему некоторые так ненавидят СССР. А просто СССР (и все достижения!) фактом своего существования показало, что ваше утверждение (у кого есть ресурсы — финансовые; львиную долю прибыли; третьи получают намного меньше; и т.п.) всего лишь мелкая частность, а не всеобщее естественное правило (закономерность). Так сказать, поломали всю игру. Казино — обиделось.
«если не правятся вовремя», «плохой закон нужно заменять хорошим законом» — это демагогия, когда «плахой закон» не меняется в принудительном порядке уже больше столетия (это я не про бывший СССР, мы тут законы быстро меняем ;) ).
«дадут по голове в переулке и никто не будет вас защищать» — так уже батенька, вы отстали от времени.
«Беззаконие вам не понравится» — мы же про ТОТ-САМЫЙ-ЗАКОН, который писанный, формальный и «священный». В таком случае это очень даже не единственная форма закона. И её безальтернативность совсем не факт.
Ой, я в законах плохо разбираюсь. Поясните мне пожалуйста: "… по закону, плохому..." — зачем нужны плохие законы? Зачем принимать плохие законы? Зачем исполнять плохие законы — они же плохие и вредны для общества, для народа? И как поступать с народами, культурами и цивилизациями которые хер клали на «плохие законы» и тем обеспечили себе существование?
Но.
Я думаю, я уверен, что сейчас это идет по эгидой «распилов и откатов», и «закручивания гаек» для более надёжного, удобного и безопасного «распила и отката», к сожалению.
До зуда хочется большей адекватности от наших «органов».
Но.
После этой пресс-конференции : «Совета Безопасности», «обнадеживающий документ», «ФСБ» — это всё в моем понимании теперь взаимоисключающие понятия. Одними «законами» обнадёживаем, другими гнобим. И да, да, да — это политота на хабре!
«осознать простейшую метафору» — не имеет значения метафора это или нет. Это публичное заявление, это не игрушки даунов в песочнице. Если твою мать метафорический назовать «ебанутой шлюхой», какое будет отношение с учетом «Очень жаль человека, который не в состоянии осознать простейшую метафору», а?
Окей, психоз так психоз, таким «психом» я быть согласен.
Для примера. Смысл игры — 24 — досмотреть до конца и что-то аргументированно возразить, или только и можно что «осознавать метафоры» да жалеть «психов»?
Да, так можно. Но ведь от третьих лиц и пытаются избавится, точнее ограничить и контролировать их возможности, если без них никак. Аутентификация, шифрование, криптография как наука и т.д. — это как раз способы устранить или контролировать «третьи лица».
Значит у каждого сервиса (ну если не онлайн, то ресторана скажем) должно быть сертифицированное, защищённое «государством» устройство съема и передачи данных — сплошной геморой и убытки. Т.е. всё остаётся по прежнему, но всё «неудобство» берёт на себя сервис и повышает цены. А если онлайн, то где, у кого будет это устройство, и кто за него заплатит?
Разработка надёжных, однозначных, дешевых, удобных, доступных биометрических систем не менее сложно, чем разработка системы сотовой связи. Идеи появились в 50-70-ых в союзе, а были приемлемо реализованы только к середине 90-ых как говорится мировым сообществом.
В крайнем случае можно доверить некоему репозиторию хранение копии ваших данных (аналогично банку). Но мне этот вариант просто не нравится — слишком большое у него будет влияние, либо слишком много сил и средств на его контроль нужно будет тратить.
Невозможно перескакивать через этапы. Чтобы повсеместно ввести «биометрию» (как это показывают в фантастических фильмах и книгах), нужно в начале ввести «криптографию», а потом на её основе «биометрию».
А пока нет доступной «биометрию» будет вот это: Кольцо с RFID для проезда в лондонской подземке .
«генерируемый на базе отпечатка пальца или ДНК» (и далее)- ну. Это возможно, но облегчает взлом. Стойкость ключей обеспечивается в том числе и некоторой случайностью, но это можно опустить. Однозначный съём биометрических данных это проблема. Одни данные при желании не очень сложно подделать, а другие непостоянны. А если вы и вам и так доверяют, то можно и на слово положится: «бармен — запиши на мой счет».
«Не взял, потерял, сломалось, украли и ты остался без доступа к своим аккаунтам» — Это уже классика: дубликаты, бэкапы, «трусы/ботинки одеть не забываем», устройство можно прицепить к телу, и т.д. И главное это уровень доверия. В одном месте можно обойтись добрым словом, в другом скажем отпечатком пальца, а в ином без е-токена слишком рискованно (мошенники не дремлют :) ).
«Yandex и соцсети» — это всё же немного не тот уровень, и вы сами их связываете. Вот есть у меня логин и пароль от онлайн-банка, и плюс к ним приходят эсемески, неудобно.
«Сложно в современном мире жить без денег, а прекрасно без них жить ещё сложнее. А жить с деньгами значит доверять их эмитенту.» — Ну что же вы так?! Ну, кто верит, например, сша: напечатают, не напечатают, куда сунут напечатанное. По сути когда они эмитируют (в особенности сейчас при спаде экономики), они обесценивают деньги и всё их производные. Т.е. воруют у вас или заставляют принудительно платить налоги в бюджет сша. Капиталы можно держать и не в денежной форме. И как это у вас эта тема денег связалась с тем, что я писал о доверии, о том виде доверия?
«всю свою электронную информацию» — Вот, а я думаю что не всю, а только минимум необходимый для дела. Но это уже «на вкус и цвет».
«наружу из криптоустройства никогда не выходит» (и далее) — Я думаю что в этом основная проблема. Слишком сложные схемы получаются. Слишком многим неизвестным (вам) организациям (обобщенно, в мировом масштабе) придётся доверять абсолютно всё. Вы же не хотите сами владеть криптоустройством и т.п. Многих это не устраивает. В таком случае нужно как это сейчас модно стало «широкое общественное движение», в смысле новой технологической волны, как было с персоналками и интернетом.
И не исключаем: игровой момент, паранойю, мошенников, всякие «службы» и «мафии» — это такая весёлая игра ;-)
«возможность доступа к каким-то онлайн-сервисам волновать меня будет меньше всего» — А нафига вам тогда вообще нужна аутенфикация, если вы будете присутствовать лично? Проверка по фотографии в паспорте тоже «биометрия». Можно развить её до более совершенного вида, но это уже абсолютно другое и к теме отношения не имеет никакого.
«вероятность случайного совпадения минимальна» — При использовании ключей вероятность совпадения вообще ничтожная.
(Скажем для примера: онлайн-голосование на выборах, быстрые и удобные банковские переводы — тоже интересные темы)
«они от меня практически неотчуждаемые» — При удалённом использовании, без личного присутствия они именно что абсолютно отчуждаемые. От вашего имени будут «грабить и насиловать».
«Деперсонификация интересует далеко не всех» — Но при использовании удалённых сервисов (абсолютно любых) присутствует по факту. И то что эти данные принадлежат именно вам, должна будет подтверждать третья сторона (производитель устройства, владелец устройства, те кто обслуживает эти устройства, провайдеры!, какой-нибудь центральный репозиторий и т.д.), иначе где гарантия что они не сфабрикованы, не испорчены (например плохим девайсом), не эмитируются, и т.п. Где гарантия что кто-то не вклинился в процесс и не управляет им без вашего ведома, и без ведома конечного сервиса разумеется. Ответ — наука криптография. Современный ответ криптографии — системы с открытым ключом.
«Если так рассуждать, то любые параметры ничто не помешает скопировать. В частности закрытый ключ хранится, как правило, на диске, пароли перехватываются кейлогерами и т. п.» — Эту проблему и пытается решить криптография, вообще-то, на всём пути своего существования. Единственное простое решение, ставшее доступным по глобальным меркам совсем недавно, личное устройство шифрования (всякие е-токины и т.п.). А если в место ФИО в открытом виде будет передаваться длина члена, ничего по большому счёту не изменится, за исключением уникальности.
«Доверяем ...» — Вы абсолютизируете доверие совершенно не по теме.
Можно никому не доверять и прекрасно жить без проблем — одно с другим напрямую не связано. «Все девайсы» проходят проверку в том или ином виде. И не только на предмет качества, но и на предмет того что делают только заявленное в спецификации — ничего более и ничего менее того. Тоже относится к ОС и софту, но часто в меньшей степени. Доверяем производителям и эксплуататорам каналов связи в том же ключе — соответствие заявленным спецификациям — гарантированная до некоторой степени передача данных (в важных случаях зашифрованных и им недоступных).
«доверяем самим сервисам» — А это уже ваша личная (но всё же в важных случаях, конечно, и общественная) проблема до какой степени вы доверяете конкретному сервису, какой уровень доверия требует конкретный сервис. Ведь почтовик не требует от вас вашу медицинскую историю.
Я сторонник минимальной связанности: без моего ведома связать данные от разных сервисов невозможно или максимально затруднено, без моего ведома воспользоваться сервисом от моего имени невозможно или максимально затруднено.
Если рассматривать общий случай (в частности бывает вообще всё).
Биометрические данные в смысле подтверждения реальной личности нужны в очень редких случаях, я думаю.
Отдельный логин-пароль или ключ надо понимать как надёжный способ удалённо и деперсонифицированно подтвердить статус взаимоотношений. Шифрование, секретность уже частности.
«Девайс» эти биометрические параметры как-то снимает, хранит, передаёт. А значит ничто не мешает их скопировать. А для их удалённого подтверждения необходимо где-то хранить их копию, ведь биометрические параметры должны оставаться постоянными, иначе какой в них смысл. Поэтому биометрия не может выступать как основа криптографии, и всё равно будет нужен случайный, уникальный, криптографически стойкий ключ. Даже если это мастер-ключь — где-то, на каком-то девайсе (только вашем) он быть должен. Иначе вы полностью доверяетесь тому кто сможет контролировать этот «любй девайс». И весь смысл — без вашего ведома ничего сделать нельзя — улетучивается.
«Техническая реализация мне не особо интересна» — это очень печально. Иначе вам было бы очевидно — ничто не мешает реализовать это прямо сейчас, но «всем пофиг».
Кому принадлежит и кто управляет Центральным Банком РФ (старая статья детектор — читать между строк; присутствуют ссылки).
«дадут по голове в переулке и никто не будет вас защищать» — так уже батенька, вы отстали от времени.
«Беззаконие вам не понравится» — мы же про ТОТ-САМЫЙ-ЗАКОН, который писанный, формальный и «священный». В таком случае это очень даже не единственная форма закона. И её безальтернативность совсем не факт.
Педисты на Педиках, Дырявая Абстракция Закона или Тварь Я Дрожащая или Право Имею?