[О блоге]
[наверх]
[пред]
[2022-03-09 14:15:56+03:00]
[71d4d1391ad542b1c2ae9d8c976ac4f769303abc]
Темы: [crypto][hate]
Наши люди обожают рисковать всем
судя по всему. Узнал я тут про такой сервис как Домклик от Сбербанка, в
котором совершаются сделки по недвижимости. Типа люди его предпочитают
за безопасность. Порылся в их статьях и описаниях что же это такое и как
оно работает. В общем, Сбербанк для участников выпускает квалифицированные
сертификаты (ключевые пары), которые в дальнейшем участвуют в подписании
всех документов сделки. Я даже побывал в этом Сбербанке и спросил лично
где же находится мой приватный ключ то при этом? Мне выдают какой-то
USB-"криптоключ"? "Нет, нет, нет, что вы, только смартфон, никаких
ключей, всё делается через личный кабинет Домклика". На сайте позже
нашёл прям буквально открыто сообщающийся факт о том, что все ключи
хранятся в "облаке" этого сервиса.
С одной стороны есть люди которые кричат "все эти ЭЦП всё равно
подделываются и ничуть они не безопаснее". С другой стороны есть "ЭЦП
это надёжно и безопасно, а раз Домклик использует ЭЦП, то это безопаснее".
То есть, если прежде, при сделке требовались мои подписи: нечто что в
теории как бы могу сделать только я -- нечто аутентифицирующее меня, то
тут предлагают использовать нечто, что находится в руках совершенно
третьего лица, которое может сделать абсолютно действительную,
юридически работающую, подпись от моего имени. Нет никакого способа
доказать что подпись сделана не мной. Если с физической подписью есть
способы доказать что подпись сделана рукой другого человека, то с ЭЦП
всё, действительно, надёжно -- или она валидна (с невероятно
непренибрежимой вероятностью что это не так), или нет. Но ЭЦП в
Домклике/Сбере могут технически/физически сделать масса людей. А лично я
даже не имею на руках свой приватный ключ.
То есть, прежде, хотя бы аутентифицирующая меня информация остаётся при
мне, а с "безопасным" Домкликом она *полностью* отдаётся под управление
третьему лицу. Типа как-будто я сходил к нотариусу и сделал бумажку где
наделяю правами это третье лицо (Домклик/Сбер) на *любые* действия
которые требуют моей подписи. И всё будет держаться только на надежде и
доверии что он не будет злоупотреблять такими абсолютными правами.
Мягко говоря, это полнейшее безумие. После выпуска такой ЭЦП, с этой же
секунды, Домклик/Сбер (его сисадмины, программисты и прочие люди) могут
подписать документ о том что я подарил например свою квартиру кому-то
или согласился продать. Нет ничего что бы препятствовало этим действиям.
Захотел через Домклик купить квартиру -- потерял ещё и свою, ибо
юридически все документы подписанные тобой (якобы, хотя на самом деле
кем угодно, но только не тобой, ибо на руках у тебя никогда не было
приватного ключа) имеются.
Ничего более небезопасного я ещё не встречал. Например банковские карты,
которые могут "утечь", могут быть скомпрометированы -- всё же банками
эти риски покрываются и ущерб будет возмещён. Но тут же речь про святую
святых, так сказать: аутентифицирующее, тебя и только тебя, действие. По
определению если в сертификате ЭЦП прописан я, то по определению только
я должен иметь приватный ключ под управлением и только я могу его
использовать. Если это не так, то ключ по определению является
скомпрометированным, ибо владелец сертификата не имеет над ним полного
контроля. В Домклике владелец сертификата вообще не имеет над ним
никакого контроля.
Это пугает жить среди людей которые подобное безумие считают нормой или
даже чем-то положительным. Интересно, сколько в итоге людей останется
вообще без крова из-за этого? Удручает что близкие люди в это ввязались
и я реально боюсь что они могут потерять и "новую" (покупаемую) квартиру
и свою текущую. А удручает то тот факт, что моё мнение не стоит ничего,
точнее меня откровенно открыто считают выпендрёжником, "мол все так
делают же", и вообще стыдятся меня. Не раз убедился что люди если кого и
слушают, то пустозвонов маркетологов и громкие рекламы, хотя вообще-то
задача всех этих рекламщиков и банков -- зарабатывать деньги *себе*, а
не помогать людям в этом деле (по определению).
[оставить комментарий]