Довожу до сведения всем и каждому: я не доверяю удостоверяющим центрам.
Воскресенье, 28-Январь-2024. Курск.

В телефонном разговоре работница акционерного общества "Почта России" (далее: Общество) ошеломила меня утверждением о наличии ассоциируемой с номером моего телефона простой электронной подписи. Скупая на пояснения работница, судя по всему, засвидетельствовала, что удостоверяющий центр (далее: УЦ) Общества изготовил сертификат открытого ключа (далее: Сертификат), которым подтвердил подлинность, якобы, принадлежащего мне криптографического ключа и, таким образом, наделил владельца ключа возможностью продуцировать электронные подписи от моего имени. Доступна для загрузки и воспроизведения аудио запись названного телефонного разговора.

Утверждённый приказом No. 124/1-n от 21.04.2021 г. генерального директора Общества регламент (далее: Регламент) УЦ определяет наличие договора в качестве условия для оказания услуг (статья 8.1.1.). Однако, я не заключал договор с УЦ Общества, не нуждаюсь в его услугах. И даже умозрительное допущение о наличии договора между мной и УЦ АО "Почта России" можно смело относить к категории несостоятельных гипотез ввиду изложенного в главе под названием «Без денег по вине российской почты», а также публично заявленного мной 3 года назад недоверия корневому центру сертификации в лице Министерства связи и цифрового развития.

Что это означает? Легитимность каждого УЦ в иерархической инфраструктуре открытых ключей (PKI) канонически зиждиться на доверии, которое наследуется нижестоящим УЦ от вышестоящего. Поскольку я не доверяю корневому центру сертификации, то каждый нижестоящий в иерархии УЦ неотвратимо наследует моё недоверие, что практически означает поражение недоверием всех УЦ в инфраструктуре.

Следовательно, НЕВОЗМОЖНЫ ДОГОВОРЁННОСТИ МЕЖДУ МНОЙ И НЕ ДОВЕРЕННЫМ УЦ; ПРИПИСЫВАЕМЫЕ МНЕ С ПОДАЧИ ЛЮБОГО УЦ КРИПТОГРАФИЧЕСКИЕ КЛЮЧИ И ПРОДУЦИРУЕМЫЕ С ИХ ПОМОЩЬЮ ЭЛЕКТРОННЫЕ ПОДПИСИ ЯВЛЯЮТСЯ БЕЗУСЛОВНО ФИКТИВНЫМИ, ИХ ИЗГОТОВИТЕЛЯ/ОБЛАДАТЕЛЯ/АВТОРА СЧИТАТЬ ЗЛОУМЫШЛЕННИКОМ.

ДЛЯ ПРОДУЦИРОВАНИЯ ЦИФРОВОЙ ПОДПИСИ, СООТВЕТСТВУЮЩЕЙ СПЕЦИФИКАЦИИ RFC 4880, Я ИСПОЛЬЗУЮ ТОЛЬКО КРИПТОГРАФИЧЕСКИЙ КЛЮЧ С ОТПЕЧАТКОМ 6321 504A 60B9 FABB 91E2 0CA8 BACA D4F5 D183 2840 ДО ТЕХ ПОР, ПОКА НЕ ОБЪЯВИЛ ИНОЕ В КАНАРЕЙКЕ.

По всей видимости, УЦ Общества не справился со своей основной функцией: проверка личности будущего пользователя Сертификата перед заключением договора. Этому благоприятствует Регламент УЦ Общества, который допускает оказание услуг без личного присутствия заявителя на основании предоставленных дистанционно паспортных данных или сведений из ЕСИА или сведений из ЕБС. По информации Wikipedia, практика оказания услуг без личного присутствия заявителя уже оборачивались манипуляциями электронными подписями.

Манипуляции с электронными подписями в России.

Известны незаконные действия с электронными подписями через центры сертификации РФ. Коллегия Счетной палаты под председательством Татьяны Голиковой выявила участие некоторых УЦ в неправомерном применении электронной подписи застрахованного лица в интересах негосударственных пенсионных фондов, а также оформления документов без участия гражданина. Проверка Счетной палаты в очередной раз выявила массовые нарушения даже при наличии усиленных мер защиты электронной подписи, - прокомментировал ситуацию президент НАПФ Сергей Беляков, его советник утверждает, что массовая фальсификация электронных подписей в повторных заявлениях производилась путём повторного использования удостоверяющим центром электронной подписи клиента. Похожий способ использовался при мошенничестве с недвижимостью, однако, в 2019 году Государственная Дума приняла закон о защите граждан от хищений квартир по электронной подписи, который фактически исключил использование электронной подписи при сделках с недвижимостью.

Другой способ манипуляции с электронными подписями заключается в том, что клиенту предлагают дистанционный выпуск квалифицированного сертификата без личного контакта заявителя и сотрудника регистрационного отдела удостоверяющего центра, в этом случае оформление электронной подписи производится удаленно, на основании документов заявителя, представленных через интернет центру сертификации. В результате подобных действий, вызванных, по мнению специалистов правовой системы "Гарант", тем что "IT-функции в деятельности УЦ преобладают над его юридической сущностью", электронная подпись может быть использована недобросовестными третьими лицами. Однако, в 2017 году предложение Минкомсвязи передать функции выдачи усиленной квалифицированной электронной подписи (УКЭП) от частных компаний государству не нашло понимания других министерств и ведомств.

Источник: wikipedia.org

#2023, #2024, #cypherpunk, #россия, #важно, #недоверие, #почта, #конфиденциальность

[Оставить комментарий] [Инструкция] ID=3bc8f24d96e58f9d56c6b280d398e150dcd4d5

Всего комментариев 0.