![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
don_katalanШон Таунсенд
Посмотрел панельку "Безпечна та доступна цифрова держава. Міф чи реальність?" https://youtu.be/wKSrKodzBSk Во второй части дискуссия пошла гораздо живее. И меня заинтересовал ответ заместителя госспецсвязи по поводу "Байдена Джо".
Если кто-то забыл, то в июне месяце Vitaliy написал петицию президенту о немедленном увольнении мусорского чорта Татарова. Петиция бодро набирала голоса. И вместо того, чтобы ответить что-то в духе "ваше мнение очень важно для нас", какашкин домик на Банковой развил бурную деятельность, чтобы найти какие-нибудь нарушения в ходе голосования. И наконец-то под петицией появился голос "Байдена Джо" 1942 года рождения.
Дело в том, что если раньше на сайте петиций мог регистрироваться кто попало, то к моменту обайденения, залогиниться можно было исключительно через ІСЕІ МЦТ - это та же самая точка входа, которую использует Дия.
Там есть несколько вариантов - или цифровая подпись, или Bank ID. Фальшивый "Байден" зашел с помощью цифровой подписи Приватбанка. К Привату претензий нет, он тут жертва. Все это безобразие, естественно, ставит под угрозу все без исключения интернет-сервисы державы. Если можно заверить ключи "Байдена Джо", то значит таким же способом можно получить сертификаты на любое имя.
И началась олимпиада лжи. "Дорогостоящие хакерские атаки". "Манипуляции с ключами", а теперь ложь оформилась в более связную концепцию, которую озвучил пан Потий.
Якобы софт, который использует ІСЕІ, содержал в себе уязвимость, и сертификаты X.509 проверялись по какой-то "упрощенной схеме", что и позволило неизвестным идентифицироваться под чужим именем на сайте петиций. Но такой "подписью" ничего нельзя подписать, потому что она использовалась для идентификации, а не для подписания документов. Я сейчас переведу техно-бла-бла-бла на понятный язык.
Все очень просто. Цифровая подпись состоит из двух ключей - открытого и закрытого. Так как нигде на цифрах не написано, что они ваши, то эти цифры нужно с вами как-то связать. Для этого нужен сертификат - цифровой документ, в котором написано, что открытый ключ X, принадлежит гражданину Biden Joe РНОКПП 1566450018. Данные подписаны секретным ключом АЦСК Приватбанк, который мамой клянется, что проверил паспорт у простого украинского пенсионера по имени Джо и все данные внесены правильно. Проверка ДССЗЗІ никаких нарушений в работе АЦСК ПБ не нашла.
Как происходит идентификация с помощью цифровой подписи? Алиса загружает сертификат открытого ключа, и Боб должен проверить подпись АЦСК, и убедиться в том, что ключ не был отозван. Но открытый ключ на то и открытый, что его незачем скрывать, поэтому Алиса должна доказать Бобу, что она знает парный секретный ключ. Боб придумывает случайное число и посылает его Алисе. Алиса подписывает случайное число своим секретным ключом и отсылает его назад Бобу. Это и есть доказательство того, что Алиса знает секретный ключ. Боб проверяет подпись с помощью открытого ключа Алисы.
Так что, про невозможность "подписать что-нибудь" ключом "Байдена" - это просто вранье. Вы либо знаете секретный ключ, либо нет.
Пан Потий, уязвимости в государственных системах - это работа как раз для CERT-UA и Державна служба спеціального зв'язку та захисту інформації. Так уж сложилось, что я инстинктивно не доверяю словам чиновников, особенно когда они прикрываются техническими аббревиатурами мало понятными широкому кругу граждан. Уязвимость, говорите? Исправлена, говорите? Покажите ее. Где была уязвимость? Как она была исправлена? Дифф сюда. Это ведь не только ІСЕІ касается. Я в достаточной степени знаком с математикой и программированием, чтобы оценить проделанную работу https://t.me/ruheight/961
Посмотрел панельку "Безпечна та доступна цифрова держава. Міф чи реальність?" https://youtu.be/wKSrKodzBSk Во второй части дискуссия пошла гораздо живее. И меня заинтересовал ответ заместителя госспецсвязи по поводу "Байдена Джо".
Если кто-то забыл, то в июне месяце Vitaliy написал петицию президенту о немедленном увольнении мусорского чорта Татарова. Петиция бодро набирала голоса. И вместо того, чтобы ответить что-то в духе "ваше мнение очень важно для нас", какашкин домик на Банковой развил бурную деятельность, чтобы найти какие-нибудь нарушения в ходе голосования. И наконец-то под петицией появился голос "Байдена Джо" 1942 года рождения.
Дело в том, что если раньше на сайте петиций мог регистрироваться кто попало, то к моменту обайденения, залогиниться можно было исключительно через ІСЕІ МЦТ - это та же самая точка входа, которую использует Дия.
Там есть несколько вариантов - или цифровая подпись, или Bank ID. Фальшивый "Байден" зашел с помощью цифровой подписи Приватбанка. К Привату претензий нет, он тут жертва. Все это безобразие, естественно, ставит под угрозу все без исключения интернет-сервисы державы. Если можно заверить ключи "Байдена Джо", то значит таким же способом можно получить сертификаты на любое имя.
И началась олимпиада лжи. "Дорогостоящие хакерские атаки". "Манипуляции с ключами", а теперь ложь оформилась в более связную концепцию, которую озвучил пан Потий.
Якобы софт, который использует ІСЕІ, содержал в себе уязвимость, и сертификаты X.509 проверялись по какой-то "упрощенной схеме", что и позволило неизвестным идентифицироваться под чужим именем на сайте петиций. Но такой "подписью" ничего нельзя подписать, потому что она использовалась для идентификации, а не для подписания документов. Я сейчас переведу техно-бла-бла-бла на понятный язык.
Все очень просто. Цифровая подпись состоит из двух ключей - открытого и закрытого. Так как нигде на цифрах не написано, что они ваши, то эти цифры нужно с вами как-то связать. Для этого нужен сертификат - цифровой документ, в котором написано, что открытый ключ X, принадлежит гражданину Biden Joe РНОКПП 1566450018. Данные подписаны секретным ключом АЦСК Приватбанк, который мамой клянется, что проверил паспорт у простого украинского пенсионера по имени Джо и все данные внесены правильно. Проверка ДССЗЗІ никаких нарушений в работе АЦСК ПБ не нашла.
Как происходит идентификация с помощью цифровой подписи? Алиса загружает сертификат открытого ключа, и Боб должен проверить подпись АЦСК, и убедиться в том, что ключ не был отозван. Но открытый ключ на то и открытый, что его незачем скрывать, поэтому Алиса должна доказать Бобу, что она знает парный секретный ключ. Боб придумывает случайное число и посылает его Алисе. Алиса подписывает случайное число своим секретным ключом и отсылает его назад Бобу. Это и есть доказательство того, что Алиса знает секретный ключ. Боб проверяет подпись с помощью открытого ключа Алисы.
Так что, про невозможность "подписать что-нибудь" ключом "Байдена" - это просто вранье. Вы либо знаете секретный ключ, либо нет.
Пан Потий, уязвимости в государственных системах - это работа как раз для CERT-UA и Державна служба спеціального зв'язку та захисту інформації. Так уж сложилось, что я инстинктивно не доверяю словам чиновников, особенно когда они прикрываются техническими аббревиатурами мало понятными широкому кругу граждан. Уязвимость, говорите? Исправлена, говорите? Покажите ее. Где была уязвимость? Как она была исправлена? Дифф сюда. Это ведь не только ІСЕІ касается. Я в достаточной степени знаком с математикой и программированием, чтобы оценить проделанную работу https://t.me/ruheight/961