![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
totaltelecomНедавние рассуждения Алексея Выскуба о том, что шеринг е-паспортов это "такое" и вообще не считается, а вот Дия.Пидпыс это ого-го! имеют целый ряд примечательных изъянов.
Во-первых, е-паспорта и Дия.Пидпыс решают принципиально разные задачи.
Паспорт это инструмент удостоверения личности, соответственно, е-паспорта это про средства удалённой идентификации граждан. Дия.Пидпыс предназначена для заверения правоотношений, это разновидность ЭЦП и как таковая относится к электронным доверительным услугам. Это две совершенно отдельные, хотя и тесно связанные между собой сферы.
Сколь угодно надёжная защита ЭЦП никак, ну никак не защитит от злоупотреблений е-документами. А такого рода злоупотреблений много и разных.
Во-вторых, что значит "Мы спроектировали Дію таким образом, что, получив доступ к этим данным, злоумышленник не может воспользоваться ими, чтобы нанести какой-то вред гражданину. Поэтому у меня и встречный вопрос: какие модели угроз усматривает злоумышленник, что, обладая информацией о критических уязвимостях, сможет зарабатывать на этом деньги?" Что это за дичь?!!!
Возможность выдавать себя за другое лицо дорогого стоит. Если куратор кибербезопасности МЦТ не представляет, как преступники используют поддельные паспорта, может пообщаться с адвокатами, криминалистами, следователями.
В-третьих, рассуждения о защищённости Дия.Пидпыс основаны на целом ряде характерных ошибок и допущений, которые МЦТ не может или не хочет обосновать.
Например, faceID, на которой основана защита ЭЦП в Дии, на сегодняшний день никем не проверена на прочность. Соответствующая функциональность попросту изъята из того макета Дии, который предлагается в рамках багбаунти. При этом я лично знаю уже две команды, которые декларируют свою способность взломать faceID Дии.
Идея использовать BankID как средство среднего уровня доверия для защиты Дии, которую МЦТ позиционирует в качестве средства высокого уровня вынуждает говорить о профессиональной несостоятельности людей, которые такое придумали.
Во-первых, е-паспорта и Дия.Пидпыс решают принципиально разные задачи.
Паспорт это инструмент удостоверения личности, соответственно, е-паспорта это про средства удалённой идентификации граждан. Дия.Пидпыс предназначена для заверения правоотношений, это разновидность ЭЦП и как таковая относится к электронным доверительным услугам. Это две совершенно отдельные, хотя и тесно связанные между собой сферы.
Сколь угодно надёжная защита ЭЦП никак, ну никак не защитит от злоупотреблений е-документами. А такого рода злоупотреблений много и разных.
Во-вторых, что значит "Мы спроектировали Дію таким образом, что, получив доступ к этим данным, злоумышленник не может воспользоваться ими, чтобы нанести какой-то вред гражданину. Поэтому у меня и встречный вопрос: какие модели угроз усматривает злоумышленник, что, обладая информацией о критических уязвимостях, сможет зарабатывать на этом деньги?" Что это за дичь?!!!
Возможность выдавать себя за другое лицо дорогого стоит. Если куратор кибербезопасности МЦТ не представляет, как преступники используют поддельные паспорта, может пообщаться с адвокатами, криминалистами, следователями.
В-третьих, рассуждения о защищённости Дия.Пидпыс основаны на целом ряде характерных ошибок и допущений, которые МЦТ не может или не хочет обосновать.
Например, faceID, на которой основана защита ЭЦП в Дии, на сегодняшний день никем не проверена на прочность. Соответствующая функциональность попросту изъята из того макета Дии, который предлагается в рамках багбаунти. При этом я лично знаю уже две команды, которые декларируют свою способность взломать faceID Дии.
Идея использовать BankID как средство среднего уровня доверия для защиты Дии, которую МЦТ позиционирует в качестве средства высокого уровня вынуждает говорить о профессиональной несостоятельности людей, которые такое придумали.
