[О блоге] [наверх] [пред] [2022-03-17 14:24:58+03:00] [459b87f9ada317817cdd92c4947d90c84fb2af2d]
Темы: [crypto][hate]

Сделка с использованием ДомКлик

Присутствовал на сделке по покупке квартиры через ДомКлик. В
71d4d1391ad542b1c2ae9d8c976ac4f769303abc упоминал что при этом
используются "облачные подписи". Но сейчас увидел всё воочию и
не ожидал что настолько всё плохо.

На листочке дают выписку о subject-е квалифицированного сертификата,
даже распечатанный публичный ключ и SKID. Это хорошо. Даже прилагается
QR-код, который если отсканировать, то типа оно должно отозвать
сертификат. Сотрудник Сбера правда при этом даже не намекнул что, мягко
говоря, его не стоит всем показывать и надо бы аккуратно обращаться. Всё
же создание нового сертификата это не бесплатная процедура.

Защищается приватный ключ всего лишь шестизначным цифровым кодом.

Но... где достать то этот сертификат? Всё обыскал в приложении ДомКлик и
даже Госуслугах (которые упоминаются где-то там) -- нигде никаких
намёков. В договоре создания сертификата есть упоминание что всё это
используется только внутри и в контексте облачного УЦ -- что наверное
стоит интерпретировать что и сертификат нет надобности знать.

А где мне посмотреть не отозван ли он? Какой конкретно УЦ то при этом
используется, какой у него сертификат (точка доверия). Ни бита
информации об этом нигде. Адрес CRL наверное должен бы быть в
сертификате УЦ, но я понятия не имею какой УЦ используется, ибо не могу
получить выданный сертификат.

Ладно, допустим, когда будут на руках подписанные документы,
представляющие из себя CMS-ки, которые я уже получал при оформлении
страховки одной, то видел что сертификаты там внутри них приложены.
Надобно значит достать уже подписанные документы. Но... их нигде не
видно. Даже самого факта истории что что-то ими было подписанно нигде не
видно. Возможно после того как всё дойдёт до самого конца оно появится?

Рассматривал документы которые должны были быть подписаны. Это пара XML
файлов и PDF-ка. В XML файлах в основном всякие идентификаторы, имена
файлов и MD5-хэши от них. Так как подписанных документов на руках нигде
нет, то не знаю что именно там подписывается. Если PDF-ка подписывается
независимо отдельной CMS-кой, то ok. Но если подписываются XML-ки,
внутри которых только MD5-хэш от PDF-ки, то так и хочется сказать что
это преступная халатность и небезопасность.

Ещё я наблюдал забавную бы, если бы не такую удручающую, картину: 4-5
человек пытаются передать сотруднику банка скан одного документа и
прилагающийся к нему .sig файл (наверное заверенный каким-нибудь
нотариусом в электронном виде?). У сотрудника банка есть входящая почта
и чат ДомКлика. То есть, два канала передачи данных. Файлы находятся в
почтовом ящике одного из участников. У всех в руках смартфоны. Пытались
передать просто с ящика (gmail.com) на почту сотрудника -- не выходит.
Передать на mail.ru ящик и с него сотруднику. Прикрепить файлы к чату
ДомКлика. Сотрудница говорит что у кого-то выходит, а у кого-то нет.
Начали по WhatsApp-у слать друг другу эти файлы чтобы каждый из
участников попробовал вставить это в ДомКлик чат. Короче, ничего не
получилось. Удалось вставить только сканы, без файла подписи. Так на
этом и закончили эту эпопею. Зачем же тогда подпись вообще надо было
делать, если юридически типа и так прокатит и сойдёт?

У одного из участников на смартфоне больше половина действий падало по
timeout-ам, регулярно требуя (раз по пять) нажатия "повторить заново".

И ведь всё это сопровождается с главным посылом: удобство и безопасность.
Мои родители не раз говорили что если в банке открывать счёт без всяких
личных кабинетов и всего такого прочего, то займёт 10мин. Если с
XXXКлиент, XXXОнлайн вещами, которые пускай даже запускаются на планшете
сотрудника банка, то это занимает полтора часа. Не однократно вроде так
было. Удобство, конечно же. Безопасность... где-то в облаках.

Сущий беспредел.

    [оставить комментарий]