Что: 71d4d1391ad542b1c2ae9d8c976ac4f769303abc
Когда: 2022-03-09 14:15:56+03:00
Темы: crypto hate
Наши люди обожают рисковать всем судя по всему. Узнал я тут про такой сервис как Домклик от Сбербанка, в котором совершаются сделки по недвижимости. Типа люди его предпочитают за безопасность. Порылся в их статьях и описаниях что же это такое и как оно работает. В общем, Сбербанк для участников выпускает квалифицированные сертификаты (ключевые пары), которые в дальнейшем участвуют в подписании всех документов сделки. Я даже побывал в этом Сбербанке и спросил лично где же находится мой приватный ключ то при этом? Мне выдают какой-то USB-"криптоключ"? "Нет, нет, нет, что вы, только смартфон, никаких ключей, всё делается через личный кабинет Домклика". На сайте позже нашёл прям буквально открыто сообщающийся факт о том, что все ключи хранятся в "облаке" этого сервиса. С одной стороны есть люди которые кричат "все эти ЭЦП всё равно подделываются и ничуть они не безопаснее". С другой стороны есть "ЭЦП это надёжно и безопасно, а раз Домклик использует ЭЦП, то это безопаснее". То есть, если прежде, при сделке требовались мои подписи: нечто что в теории как бы могу сделать только я -- нечто аутентифицирующее меня, то тут предлагают использовать нечто, что находится в руках совершенно третьего лица, которое может сделать абсолютно действительную, юридически работающую, подпись от моего имени. Нет никакого способа доказать что подпись сделана не мной. Если с физической подписью есть способы доказать что подпись сделана рукой другого человека, то с ЭЦП всё, действительно, надёжно -- или она валидна (с невероятно непренибрежимой вероятностью что это не так), или нет. Но ЭЦП в Домклике/Сбере могут технически/физически сделать масса людей. А лично я даже не имею на руках свой приватный ключ. То есть, прежде, хотя бы аутентифицирующая меня информация остаётся при мне, а с "безопасным" Домкликом она *полностью* отдаётся под управление третьему лицу. Типа как-будто я сходил к нотариусу и сделал бумажку где наделяю правами это третье лицо (Домклик/Сбер) на *любые* действия которые требуют моей подписи. И всё будет держаться только на надежде и доверии что он не будет злоупотреблять такими абсолютными правами. Мягко говоря, это полнейшее безумие. После выпуска такой ЭЦП, с этой же секунды, Домклик/Сбер (его сисадмины, программисты и прочие люди) могут подписать документ о том что я подарил например свою квартиру кому-то или согласился продать. Нет ничего что бы препятствовало этим действиям. Захотел через Домклик купить квартиру -- потерял ещё и свою, ибо юридически все документы подписанные тобой (якобы, хотя на самом деле кем угодно, но только не тобой, ибо на руках у тебя никогда не было приватного ключа) имеются. Ничего более небезопасного я ещё не встречал. Например банковские карты, которые могут "утечь", могут быть скомпрометированы -- всё же банками эти риски покрываются и ущерб будет возмещён. Но тут же речь про святую святых, так сказать: аутентифицирующее, тебя и только тебя, действие. По определению если в сертификате ЭЦП прописан я, то по определению только я должен иметь приватный ключ под управлением и только я могу его использовать. Если это не так, то ключ по определению является скомпрометированным, ибо владелец сертификата не имеет над ним полного контроля. В Домклике владелец сертификата вообще не имеет над ним никакого контроля. Это пугает жить среди людей которые подобное безумие считают нормой или даже чем-то положительным. Интересно, сколько в итоге людей останется вообще без крова из-за этого? Удручает что близкие люди в это ввязались и я реально боюсь что они могут потерять и "новую" (покупаемую) квартиру и свою текущую. А удручает то тот факт, что моё мнение не стоит ничего, точнее меня откровенно открыто считают выпендрёжником, "мол все так делают же", и вообще стыдятся меня. Не раз убедился что люди если кого и слушают, то пустозвонов маркетологов и громкие рекламы, хотя вообще-то задача всех этих рекламщиков и банков -- зарабатывать деньги *себе*, а не помогать людям в этом деле (по определению).
Сгенерирован: SGBlog 0.34.0