А можно, например, осознанно награждать самого себя. То есть просто говорить себе «да, я молодец, что сделал это». На мой взгляд обычный человек делает в день кучу полезнейших дел для себя и своих близких. Однако если его спросить, что он за сегодня сделал хорошего обычно он затруднится ответить.
Иначе говоря тот «результат» может быть сгенерирован самим человеком, вполне осознанно. При достаточно малой тренировке.
Да, он является «центром регистрации». Вот выписка из «условий получения электронной подписи» на его сайте:
1.10. Центр регистрации – подразделение ИСПОЛНИТЕЛЯ или организация (ИП), уполномоченная ИСПОЛНИТЕЛЕМ на основании договора представлять интересы ИСПОЛНИТЕЛЯ во взаимоотношениях с ЗАКАЗЧИКОМ.
1.11. Центром регистрации по настоящему Договору является
ИП Хаустов Иван Александрович
Адрес: 344068, Ростовская обл, г Ростов-на-Дону, ул Ларина, д.45
Телефон: +7 905 47 95 063
Грубить вам будут ваши клиенты, когда УЦ Контур отзовёт все выданные вами сертификаты. Также погрубит представитель УЦ Контур за обман. Может быть погрубит какой-нибудь представитель власти за отсутствие разрешений и лицензий.
И ладно только погрубят — как минимум ваши клиенты потеряют от этого деньги. А это уже, как я и сказал, возможные повестки в суд.
А насчет СКБ Контур: у них есть партнёры, которые приводят к ним клиентов. Так вот эти партнёры обязаны просто удостоверить личность получателя сертификата. Скорее всего вы ввели их в заблуждение, утверждая, что вы это делаете.
Если это читает кто-нибудь из Контура то я бы рекомендовал обратить внимание на такого «партнёра».
Даю тогда идею для ещё более интересного бизнеса — выдача кредита по скану паспорта и скану ИНН.
А если серьёзно: бизнес на УЦ в России имеет историю в пару десятков лет. Вы думаете почему сервисов, подобных вашему просто нет? Наверное вы оказались самый умный и расчётливый? Или всё-таки более умные дядьки и тётки до вас нашли там «подводные камни»?
Уже сказал выше, что в моём ответе ЭЦП понимается в контексте закона (PKCS#7 / CMS). Подпись в самом сертификате является примитивной формой электронной подписи.
Посмотрел профиль автора. Оказывается он является основателем сервиса, который выдаёт сертификаты только по сканам документов. Если он ещё может отвечать, то мне бы было очень интересно, чтобы он рассказал всем о своей «модели угроз и нарушителя». Также мне лично было бы интересно, как на выпуск сертификатов по таким документам согласился УЦ «Контур Экстерн» (который и обслуживает изначальный сервис).
Вот в вашем предложении «закрытый ключ генерирует пользователь и никому его не показывает не передает» как-раз описан регламент, но только со стороны пользователя. Предположим пользователь его игнорирует (всем показывает и передаёт). Будет ли обеспечена безопасность ключа? Нет. Так и в случае с генерацией ключа в УЦ.
А насчет «ушли с чего начали»: я изначально говорил про отличие понятий ЭЦП и сертификат. Наверное вы думаете, что первично нужно делать ЭЦП (в виде запроса на выпуск сертификата). Однако тут есть тонкий момент — в статье ЭЦП упоминается в как часть закона. А в законе ЭЦП — это комплекс данных, фактически сформированный по стандартам PKCS#7 (CMS). А вот для такой подписи уже необходим сертификат. Так что ЭЦП в запросе на сертификат сильно отличается от ЭЦП, обсуждаемой в данной статье.
Регламент это описание комплекса процедур. И эти процедуры должны быть выполнены для обеспечения безопасности ключа пользователя. А вот если эти процедуры есть только формально, на бумажке, то тогда это только для контролирующих органов. Но, как мы знаем, везде есть свои проблемы, без этого никак.
Обеспечить безопасность при таком методе генерации сертификатов также возможно. Делается это посредством специального оборудования и административных регламентов. Всё-таки 21-ый век же :)
Мне кажется что вы слабо понимаете что тут «яйца», а что «курица». А насчет работы УЦ — как бывший директор организации в составе которой был свой УЦ скажу, что возможен случай генерации закрытого ключа на оборудовании самого УЦ.
Со своей стороны замечу что ЭЦП — это подпись, сделанная с помощью сертификата. То есть в УЦ выдают сертификат, а потом пользователь делает ЭЦП самостоятельно. Понимаю, что простые пользователи как-то свели всё в одно понятие «ЭЦП». Но надо всё-таки эти понятия жестко разделять.
Если антивирус будет отсылать куда-то в волшебное облако все действия всех программ на моём компьютере то лично моя паранойя возопит и такой антивирус будет причислен к шпионским программам, в грубой форме вычищен с компьютера и заменён на другой, более дружелюбный к моей приватности.
Поймите, что вы выпускаете антивирус прежде всего для специалистов по безопасности — именно такие специалисты в дальнейшем рекомендуют тот или иной антивирус «простым» пользователям. А вот у таких специалистов по безопасности есть одна профессиональная болезнь — паранойя, тщательно тренируемая и натасканная подавать сигнал в правильном месте. Лично я отказываюсь рекомендовать пользователям антивирус с заранее заложенной возможностью трекинга всех действий всех программ.
Да, GlobalSign уже тоже сделал на базе моих библиотек что-то похожее и с интерфейсом :) Правда пока вне общего доступа — что-то для внутренних нужд клиентов.
Иначе говоря тот «результат» может быть сгенерирован самим человеком, вполне осознанно. При достаточно малой тренировке.
И ладно только погрубят — как минимум ваши клиенты потеряют от этого деньги. А это уже, как я и сказал, возможные повестки в суд.
Если это читает кто-нибудь из Контура то я бы рекомендовал обратить внимание на такого «партнёра».
А если серьёзно: бизнес на УЦ в России имеет историю в пару десятков лет. Вы думаете почему сервисов, подобных вашему просто нет? Наверное вы оказались самый умный и расчётливый? Или всё-таки более умные дядьки и тётки до вас нашли там «подводные камни»?
А насчет «ушли с чего начали»: я изначально говорил про отличие понятий ЭЦП и сертификат. Наверное вы думаете, что первично нужно делать ЭЦП (в виде запроса на выпуск сертификата). Однако тут есть тонкий момент — в статье ЭЦП упоминается в как часть закона. А в законе ЭЦП — это комплекс данных, фактически сформированный по стандартам PKCS#7 (CMS). А вот для такой подписи уже необходим сертификат. Так что ЭЦП в запросе на сертификат сильно отличается от ЭЦП, обсуждаемой в данной статье.
Поймите, что вы выпускаете антивирус прежде всего для специалистов по безопасности — именно такие специалисты в дальнейшем рекомендуют тот или иной антивирус «простым» пользователям. А вот у таких специалистов по безопасности есть одна профессиональная болезнь — паранойя, тщательно тренируемая и натасканная подавать сигнал в правильном месте. Лично я отказываюсь рекомендовать пользователям антивирус с заранее заложенной возможностью трекинга всех действий всех программ.
Спасибо, всегда рад порадоваться за отечественные компании!