Электронный ключ (цифровая подпись), возможно ли их подделать | Пикабу

Электронный ключ (цифровая подпись), возможно ли их подделать | Пикабу Электронная цифровая подпись
На чтение 20 мин. Просмотров 87 Опубликовано
Содержание
  1. Атака на инкрементальное сохранение (isa)
  2. Атака на обёртку подписи (swa)
  3. Вопросы квалификации деяний, связанных с электронной подписью
  4. Обезопасьте себя от мошенничества с электронной подписью | фнс россии | 56 оренбургская область
  5. Подделка цифровой подписи
  6. Предупреждение незаконного приобретения электронной подписи
  7. Создание подписи
  8. Структура pdf
  9. Универсальная подделка подписи (usf)
  10. Условия и порядок идентификации требуют проработки
  11. Эксперимент: электронный ключ, позволяющий переоформить квартиру, можно получить на любого человека/
  12. Эффективность атак
  13. Выводы и предложения

Атака на инкрементальное сохранение (isa)

Этот класс атак заключается в переопределении структуры и контента в добавочной секции документа. Идея в том, что подпись вычисляется на основе диапазона байтов, указанного в

ByteRange

, а добавочная секция не попадает в этот диапазон, как показано на рис. 5.

Рис. 5. При добавлении контента в добавочную секцию не нарушается цифровая подписьhttps://www.youtube.com/watch?v=7CtT95X0H9E

Есть несколько способов, как обойти проверку на изменение документа и блокировать показ соответствующего предупреждения в программе просмотра PDF-документов.

Атака на обёртку подписи (swa)

Наконец, последний класс атак позволяет обойти проверку подписи без инкрементального сохранения, а путём перемещения подписанной части PDF в конец документа и повторного использования указателя

xref

в подписанном

Trailer

на изменённую таблицу Xref. При этом чтобы избежать обработки перемещённой части, она может быть обёрнута в какой-нибудь посторонний объект, например,

stream

или

dictionaryРис. 6. Сравнение оригинального и изменённого документов PDF

Вопросы квалификации деяний, связанных с электронной подписью

В дополнение к аналогии с незаконным оборотом оружия важно упомянуть, что уголовное право так же пресекает другие преступления, которые непосредственно при их совершении еще не имеют наступивших опасных последствий, но явно нацелены на их наступление. Это ст.

186 УК РФ (“Изготовление, хранение, перевозка или сбыт поддельных денег или ценных бумаг”). Для того, чтобы преступление стало совершенным, достаточно установить факт изготовления, хранения или перевозки поддельных денег, а также цель этих действий – сбыт.

Общественная опасность при изготовлении поддельных денег потенциальна, но она наступает сразу после введения таких подделок в гражданский оборот ввиду подрыва экономической безопасности государства. В похожем смысле можно говорить и о незаконном приобретении электронной подписи.

Цель такого приобретения всегда состоит в потенциальном распоряжении чужими правами и обязанностями. Очевидно, что иных намерений, кроме как незаконно, без воли на то настоящего владельца, обладать возможностью подписывать документы от имени другого лица и распоряжаться чужими правами, быть не может.

Говоря об общественной опасности незаконного приобретения электронной подписи, важно упомянуть, что такое деяние нельзя квалифицировать как подготовку или покушение на совершение преступления. Оба этих действия содержат такие признаки субъективной стороны, как мотив и умысел на совершение конкретного, понятного злоумышленнику преступления.

В то же время умысел на незаконное приобретение электронной подписи может не содержать в себе понимания конкретных целей ее дальнейшего использования, но всегда направлен на получение возможности распоряжаться правами и обязанностями заранее известного или случайного лица.

Для наступления общественно опасных последствий, позволяющих выделить незаконное приобретение электронной подписи как самостоятельное правонарушение, должен обязательно присутствовать умысел. Сотрудник УЦ может действовать как умышленно, так и неосторожно, а также он может быть просто введен в заблуждение незаконным приобретателем, например путем предоставления поддельных документов, удостоверяющих личность. В таком случае умысел очевиден уже на стороне приобретателя электронной подписи.

В то же время отметим, что приобретатель электронной подписи, не являющийся ее законным владельцем, не всегда желает или допускает причинение своими действиями вреда. Например, случайный человек может просто найти носитель с чужой подписью. Также на практике распространена передача носителя электронной подписи руководителем бухгалтеру или другому подчиненному с целью распоряжения таким лицом правами руководителя от его имени.

Такая практика, безусловно, является нарушением требований информационной безопасности, но в контексте обсуждаемой проблемы не является преступлением. Отсюда следует, что наличием признаков общественной опасности при завладении возможностью распоряжаться чужими правами и обязанностями путем приобретения электронной подписи обладают только те деяния, которые совершены с прямым умыслом, без ведома законного владельца.

Обезопасьте себя от мошенничества с электронной подписью | фнс россии | 56 оренбургская область

Дата публикации: 01.06.2020 08:55

Налоговые органы Оренбургской области обращает внимание заявителей на участившиеся случаи неправомерного использования квалифицированной электронной подписи при регистрации бизнеса, в частности, когда без ведома заявителя на него регистрируется юридическое лицо.

Если вы обнаружили, что стали руководителем, либо владельцем компании, или зарегистрированы в качестве индивидуального предпринимателя, но при этом никаких регистрационных действий не совершали, необходимо незамедлительно обратиться в регистрирующий орган по месту нахождения юридического лица, чтобы пресечь данные неправомерные действия.

Для внесения в Единый государственный реестр юридических лиц сведений о недостоверности данных о вас как о руководителе и (или) учредителе (участнике) юридического лица, необходимо представить «Заявление физического лица о недостоверности сведений о нем в Едином государственном реестре юридических лиц» по форме № Р34001 одним из способов, установленных пунктом 6 статьи 9 Федерального закона от 08.08.2001 № 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей».

Подделка цифровой подписи

Исследователи описывают три способа подделки с изменением содержимого подписанных PDF-документов.

  • универсальная подделка подписи (Universal Signature Forgery, USF);
  • атака на инкрементальное сохранение (Incremental Saving Attack, ISA);
  • атака на обёртку подписи (Signature Wrapping Attack, SWA).

Предупреждение незаконного приобретения электронной подписи

Причиной возникновения проблем можно считать относительно доступную возможность реализовать преступные планы через незаконное приобретение и использование электронной подписи. Незаконное приобретение электронной подписи означает, что ключ электронной подписи и его материальный носитель оказался в руках не того лица, для которого эта подпись предназначена, без ведома владельца “цифрового профиля”.

Можно определить способы незаконного приобретения электронной подписи:

  • введение в заблуждение сотрудника УЦ, который при выдаче подписи уверен, что подпись выдается ее настоящему владельцу;
  • вступление в сговор с сотрудниками УЦ, которые изготавливая или выдавая подпись знают, что делают это для ненадлежащего лица;
  • незаконное изъятие, например – кража носителя с подписью у ее владельца.
Читайте также:  Москва ИНН 7717107991 ОКПО 51282566 Ц РИПТО-ПО

Все три способа предполагают заранее имеющееся намерение злоумышленника на незаконное владение носителя с подписью. При этом необязательно, чтобы умысел был направлен на приобретение подписи конкретного лица. Получая электронную подпись любого человека или юридического лица, ее незаконный обладатель получает широкие возможности распоряжения его правами.

Такие злонамеренные действия, направленные на незаконное приобретение чужой подписи, уже сами по себе являются общественно опасными. Отсутствие ответственности за такие действия стимулирует на их совершение, создает риски дестабилизации общественных отношений массовыми слабоконтролируемыми нарушениями прав частной собственности, например. С чем можно сравнить подобные деяния? Имеются ли в арсенале уголовного права инструменты борьбы с подобными явлениями?

В качестве аналогии можно привести ст. 222 Уголовного кодекса, устанавливающую ответственность за незаконные приобретение, передачу, сбыт, хранение, перевозку или ношение огнестрельного оружия. Не углубляясь в подробный анализ данной нормы, выделим важный момент.

Оружие характеризуется потенциальной опасностью, поскольку может служить орудием преступления. Само по себе приобретение, хранение и другие запрещенные действия с оружием не причиняют вреда. Но все эти действия провоцируют риски совершения деяний, имеющих очевидную и значительную общественную опасность.

И если с помощью оружия можно причинить физический вред здоровью и жизни, уничтожить или повредить имущество, то с помощью цифровой подписи можно распорядиться правами физического или юридического лица без его ведома, ему во вред. Мягкость формулировки о возможности незаконно распорядиться правами скрывает в себе такую же очевидную, не менее значимую опасность, как и при незаконном распоряжении оружием.

Конечно, здесь мы не увидим прямого физического вреда жизни и здоровью, но очевидна опасность незаконного распоряжения чужими правами. Тяжесть экономических последствий ограничивается лишь воображением злоумышленника и может достигать существенных масштабов.

Создание подписи


Добавление цифровой подписи в PDF-документ полагается на механизм инкрементального сохранения (см. рис. 1). При добавлении подписи во время инкрементального сохранения в документ добавляется следующий контент:

  • новый Catalog с новый параметром Perms, который определяет разрешения на изменение документа; этот параметр ссылается на объект Signature;
  • объект Signature (5 0 obj) с информацией о криптографических алгоритмах, использованных для хэширования и подписи документа, с параметром Contents, который содержит hex-кодированный блоб PKCS7 — в нём хранятся сертификаты и значение подписи, созданной с помощью приватного ключа, который соответствует открытому ключу в сертификате. Параметр ByteRange определяет, какие байты PDF-файла используются на входе функции хэширования для вычисления подписи (пары a, b и c, d), то есть какая часть файла подписывается;
  • новая таблица Xref со ссылкой на новый объект;
  • новый Trailer.

На рис. 3 приведена упрощённая схема PDF-файла с цифровой подписью.

Рис. 3. Упрощённая схема PDF-файла с цифровой подписью

Согласно текущим спецификациям, рекомендуется подписывать весь файл, за исключением блоба PKCS7.

Проверку подписи осуществляет приложение, в котором открывается PDF-документ. Оно сразу извлекает подпись из PDF и применяет криптографические операции для проверки её корректности, а затем проверят, можно ли доверять сертификату X.509, ключи которого использовались для подписи.

Что характерно, все приложения для чтения PDF не доверяют встроенному в операционную систему хранилищу ключей. Как и браузер Firefox, они распространяют собственное хранилища ключей и обычно позволяют пользователю указать хранилище с доверенными сертификатами. Эта функция позволяет доверять только определённым сертификатам, например, от собственного центра сертификации.

Структура pdf

Рис. 2. Структура документа PDF

Структура документа PDF изображена на рис. 2. При инкрементальном сохранении изменений в PDF-документ добавляются новые объекты в body, а также новая таблица Xref с описанием новых объектов и новый trailer со ссылками на catalog (см. рис. 1).

Каждый объект начинается с номера объекта и номера версии, который увеличивается при каждом обновлении объекта.

Рис. 2. Структура объекта PDF

Универсальная подделка подписи (usf)

Атака USF предусматривает

отключение проверки подписи

в приложении, которое открывает PDF. При этом пользователю выводится нормальное сообщение об успешной валидации подписи. Это делается с помощью манипуляции объектом

Signature

в документе: или внутри этого документа создаётся некорректная запись, или из файла удаляется ссылка на сам объект. Хотя программа просмотра PDF не может проверить корректность подписи, но в некоторых случаях программа всё равно показывает её наличие, что удовлетворяет целям злоумышленника.

Исследователи сформулировали 18 векторов атаки USF, восемь из них показаны на рис. 4.

Рис. 4. Восемь вектором атаки для обхода проверки цифровой подписи

Все эти способы работают в том случае, если программа просмотра PDF неправильно осуществляет проверку цифровой подписи.

Условия и порядок идентификации требуют проработки

В исторической ретроспективе “электронная подпись” – явление относительно новое. Прежде всего, необходимо отметить, что сама технология изготовления ключей электронной подписи в соответствии с отечественными криптоалгоритмами очень надежна, способов математически ее “подделать” не существует.

Таким образом, доверие к сертифицированным средствам электронной подписи, и как следствие, к механизмам аутентификации с их использованием, очень высоко. Другим важным условием законного оборота является доверие к информации, внесенной в сертификат электронной подписи.

Доверие на этом уровне определяется надежностью процедуры идентификации лица, которое получает сертификат. Учитывая, что порядок и условия идентификации в действующем Федеральном законе от 6 апреля 2021 г. № 63-ФЗ “Об электронной подписи” (далее – Закон № 63-ФЗ) недостаточно описаны, именно здесь возникают первичные предпосылки для нарушения закона.

Действующее законодательство содержит целый комплекс мер, регулирующих требования к удостоверяющим центрам (далее – УЦ). Новые законопроекты, по мнению экспертного сообщества, содержат множество новаций, но по-прежнему не уделяют достаточного внимания процедурам идентификации.

Эксперты отмечают, что важно избежать избыточного ограничения возможности применения электронной подписи. “Монополизация” выпуска сертификатов электронной подписи государством несет риск снижения удобства и потенциальных экономических выгод, но при этом не решает проблему в корне ее возникновения – на уровне идентификации владельца сертификата и внесения соответствующей информации в сертификат электронной подписи.

Рассматривая предложения об ужесточении требований к финансовому состоянию УЦ, необходимо отметить, что в настоящее время информация о доказанных случаях причинения прямого ущерба в результате деятельности УЦ, отсутствует. Предположения о системных нарушениях закона не подтверждаются судебной практикой.

Читайте также:  Виды ЭЦП: простая электронная, усиленная неквалифицированная, усиленная квалифицированная

Это косвенно свидетельствует о достаточности предпринятых регулятором организационных и финансовых мер обеспечения ответственности УЦ. В то же время, исходя из анализа нарушений, можно увидеть, что они связаны, главным образом, с недостаточным уровнем идентификации лиц, обратившихся за сертификатом электронной подписи.

  • установления строгого порядка идентификации заявителя либо его представителя со стороны УЦ;
  • исключении использование рукописной доверенности;
  • введения требований об обязательной личной явке лица, обратившегося за выпуском сертификата электронной подписи, либо его представителя, полномочия которого подтверждаются нотариальной доверенностью.

Эксперимент: электронный ключ, позволяющий переоформить квартиру, можно получить на любого человека/

Пандемия определённо внесла коррективы во многие, если не во все, сферы деятельности человека. Не обошёл коронавирус и мошенников. В СМИ часто можно встретить фразу «волна мошенничества». И это действительно так. Я взял массив зарегистрированных доменов в зоне RU за прошлый год и проанализировал их в разрезе инфоповодов, получивших резонанс в обществе. Далее вы найдёте графики, описание популярных и штучных приёмов, которыми пользуются мошенники, а также советы пользователям, как не стать жертвой.

Занимательный факт с Шелдоном Купером: если глянуть на график регистрации доменов, видно, что слово «covid» прижилось в русском языке лучше, чем «corona». Исключение было лишь в марте.

Если углубиться в тему, заметно, как менялись тренды в течение года. Так, в начале 2020-го названия доменов больше эксплуатировали информационную и просветительскую тематику (ключевое слово дополнялось чем-то вроде «informer», «radar», «bulletin» и т.п.).

В мае тема коронавируса заиграла новыми красками – люди стали искать информацию о компенсационных выплатах. На руку злоумышленникам сыграла и официальная «юзерфрендли»-ссылка: posobie16.gosuslugi[.]ru. Это сразу отразилось на количестве регистраций доменов с вариациями на тему gosuslugi, posobie, vyplaty и т.п.

Вот для примера график для «госуслуг»:

Волна «выплат» затем сменилась темой тестов, а после – и вакцинации. Так с 1 июля по 14 августа в доменной зоне RU было зарегистрировано 66 сайтов на тему COVID-19. Среди них 28 – с упоминанием вакцины в названии. Пик регистраций пришелся на 22 июля-4 августа, вторая волна – на 11 августа (это дата официального объявления о регистрации вакцины «Спутник V» российского производства).

Если резюмировать, регистрация фишинговых сайтов по теме коронавируса – это только часть огромной махины мошенничеств. Сложно найти направление, по которому коронавирус не внёс бы свои коррективы. Были и поддельные рассылки от ВОЗ, и продажа пропусков во время локдауна, и фальшивые результаты ПЦР-тестов. И много чего ещё.

Некоторые другие темы, которые интересовали мошенников

Категоризировать фишинговые волны можно по-разному. Для наглядности, решено было за основу взять регулярность атак. Исходя из этого получилось всего 3 категории: разовые, сезонные и вечные.

Разовые акции

Появляются в качестве ответа на запрос общества. Спрос порождает предложение, как бы банально ни звучало. Стоило по телевизору в мае сказать про ковидные выплаты, как реакция не заставила себя ждать (см. график выше). Весенние локдауны тоже служат хорошей иллюстрацией.

По динамике регистраций доменов со словом zoom в названии хорошо видно, когда россияне стали массово осваивать новые форматы учебы и работы. В марте регистраций подозрительных zoom-доменов было 4, в апреле уже 28, а в мае – 49.

Официальный сайт 2020og[.]ru как бы сам напрашивался на вариации с использованием «0», «-» в разных интересных местах.

Занимательный факт: представители власти иногда, сами того не желая, помогают мошенникам. Для привлечения граждан к онлайн-голосованию мэрия Москвы запустила проект портала «Активный гражданин», который предполагал розыгрыш 2 млн сертификатов на оплату товаров, услуг, парковки и скидки в ресторанах. Розыгрыш сертификатов «Активный гражданин» был организован по следующей официальной (!) схеме. Для информирования организаторы использовали смс-рассылку. Потенциальному участнику розыгрыша приходило сообщение с предложением перейти на сайт (домен ag-vmeste[.]ru), где нужно было бы ввести код из смс. А чтобы отказаться от участия, нужно было написать сообщение на короткий номер.

Стоит добавить, что внимание мошенников привлекают не только массовые маркетинговые акции, но и запуск бонусных программ отдельных брендов. Так, немного покопавшись в доменах, можно обнаружить, что мошенники пытались организовывать сценарии мошенничества с бонусными программами «Лукойла» (в январе был всплески регистраций сайтов типа BONUS-CARD-LUCOIL[.]ru, BONUSI-LUKOIL[.]ru), Тинькофф, Альфа-банк, ВКонтакте, Ситимобил, BelkaCar, МТС, М-Видео, Магнит и др.

Сезонные акции

Кампании выше были реакцией злоумышленников на событие, которое уже произошло. Но так происходит не всегда. Когда событие происходит регулярно, некоторые работают на опережение. В качестве примера возьмём «чёрную пятницу». В прошлом году в СМИ засветилась кампания «-off».

Чаще всего сайты пытаются мимикрировать под страницы оформления заказа ( «корень» order), доставки («корень» delivery) и оплаты товара («корень» pay). Для примера, в феврале регистраций доменов со словом «delivery» было 53. В апреле стало 288. Но про это поговорим отдельно в разделе про используемые приёмы.

Занимательный факт: график выше иллюстрирует все 3 категории. Так, весенний пик – разовая акция. Летний пик – сезонная. В целом же, интерес к площадкам в 0 не уходит, что приводит нас к последней категории – «тема вечная».

Вечный рейв

Работает – не трогай. Некоторые мошенники, действительно, не хотят гнаться за модой, предпочитая нестареющую «классику». К ней отношу упомянутые выше торговые площадки, службы доставки и, конечно, банки. В качестве примера предлагаю посмотреть на «великий и ужасный» Сбер.

Именно по нему количество подозрительных доменов стабильно растёт. Есть версия, почему так. В сентябре 2020, когда компания презентовала экосистему из 10 онлайн-сервисов, число регистраций доменов со словом sber выросло вдвое. «Интернет-умельцы» явно пытались использовать тот факт, что клиенты «Сбера» еще не разобрались с новой экосистемой. А потому регистрировали домены типа sber-car, sber-burger, sber-maps, sber-disk, sber-book, sber-mobil и многие другие. «SBER» стал каким-то аналогом Bluetooth («всё лучше с Bluetooth» ©TBBT S2E18). Серьёзно, чего только не регистрировали с ним.

Кроме того, Сбербанк из-за своей известности и повсеместного присутствия, любим мошенниками в качестве сайта-партнёра для оплаты: AVITO-SBERPAY-WALLET[.]RU и т.п.

Читайте также:  Является ли документ с электронной подписью оригиналом?

Используемые приёмы

Задача данного раздела не перечислить в стиле реферата всё то, что можно найти на просторах сети, а показать распространённые техники с наглядными примерами.

Правит балом тайпсквоттинг. Для введения в заблуждение используются символы, похожие между собой. VV вместо W, 0 вместо O, rn вместо m и так далее. Но чаще ставку делают не на маскировку, а на невнимательность. К примеру, просто добавляя букву в домен: gosuslugie[.]ru, gosuslugis[.]ru

Очепятки вкупе с невнимательность жертвы – наше всё.

– VVWW-AVITO[.]ru

– VWW-AVITO[.]ru

– WWV-AVITO[.]ru

– WWWSBERBANK[.]ru

Занимательный факт: вы заметили, что слово «невнимательностью» было написано с ошибкой?

Ещё один популярный приём – добавить какие-нибудь значимые слова и конструкции.

Тема личных кабинетов:

– MY

– MOI

– LK

Тема доставки:

– DELIVERY

– DOSTAVKA

– TRACK

– CHECK

Тема оплаты:

– PAY

– SECUREPAY

– OPLATA

– 3DS

– KASSA

– SAFEDEAL

– PROCESSING

В результате рождаются прекрасные:

– HTTP-WWW-AVITO[.]ru

– WWW-HTTPS-CDEK[.]ru

– HTTPS-WWW-CDEK[.]ru

– CDEK-RU-ORDER-WEBSITE-PAYMENT[.]ru

Наконец, для пущей убедительности мошеннической схемы, порой регистрируются домены, имитирующие ссылку на заказ. Это как раз тот случай, когда проще один раз увидеть.

– AVITO-RU-ID83676894500-ORDER[.]ru

– YOULA-RU-ID872798654490-ORDER[.]ru

– AVITO-ORDER74916392[.]ru

– AVITOPAY-ID7191392[.]ru

– AVITOPAY-ID7491392[.]ru

– AVITOPAY-ID74916392[.]ru

– YOULA-ID74916392[.]ru

– YOULA-ID74916396[.]ru

– YOULA-ID74971392[.]ru

– YOULA-ID749911392[.]ru

Занимательный факт:

к дополнительным мошенническим факторам можно отнести шаблоны, используемые при регистрации доменов. При анализе выборки сразу бросаются в глаза конструкции «L-WWW-companyname.RU», «companyname-3DS.RU», «companyname-C2C.RU» и т.п., зарегистрированные по ряду компаний за короткий промежуток времени.

Выводы и рекомендации

1. Каждый большой информационный повод вызывает всплеск регистраций сайтов – как мошеннических, так и легальных, но «мусорных» (переадресующих на интернет-магазин, «зеркала» СМИ и т.п.).

2. Иногда виден «почерк» одного и того же злоумышленника.

3. Срок жизни фишингового или иного вредоносного сайта сократился, в том числе, благодаря вниманию общественности и СМИ до 2-3 дней. За это время даже профессиональные расследователи не всегда успевают изучить его содержимое. На мой взгляд, общественный резонанс – пока самый действенный механизм срыва мошеннических сценариев.

4. Принципиально новых способов «развода» не появляется. Чаще комбинируются и «переупаковываются» известные техники, проверенные временем. Поэтому информированность людей о способах отъёма их кровных крайне важна.

Поэтому напомним основные правила безопасности для пользователей.

1. Официальные бренды могут создавать дополнительные домены под конкретные акции, но информацию об этом как правило содержится на официальном сайте или ином официальном же источнике информации. При малейшем сомнении в том, что сайт легитимный, не выполняйте на нем никаких действий, просто покидайте его. Переход по ссылкам или скачивание какого-то содержимого может привести к заражению, любые оставленные данные – попасть к злоумышленникам. Не можете разобраться сами – попросите помощи у тех, кто разбирается.

2. Критично относитесь к халяве. Продажа айфона по цене в 2 раза ниже рыночной – это не «повезло». Это развод.

3. Ведите расчеты на официальном сайте. Например, перевод коммуникации с официального Avito в мессенджер делает невозможным оспаривание сделки, т.к. она выпадает из-под внимания службы безопасности сервиса.

4. Всегда обращайте внимание на предупреждения браузеров и антивирусных программ, если они уведомляют, что сайт вредоносный или небезопасный.

5. Научитесь проверять домены через whois. Недавно зарегистрированный домен с непонятным или «Private person» владельцем должен вызывать подозрение.

6. Сообщайте брендам о попытках мошенничества. Например, есть сервис Сбербанка (https://www.sberbank.ru/promo/antifraud/check.html), который предлагает проверить ссылку или номер телефона на достоверность, а также прислать информацию на проверку, если у вас закрались подозрения. Жалобы – это действенный способ максимально сократить срок действия сайтов злоумышленников.

З.Ы. Тег “моё”, потому что

пост

на Хабре мой.

Эффективность атак

Исследователи проверили эффективность каждого типа атаки в разных программах для просмотра PDF. Не удалось обмануть только

Adobe Reader 9 под Linux

. Во всех остальных программах проверка подписи обходится одним или несколькими способами.

Не лучше ситуация и с сервисами онлайновой проверки цифровой подписи PDF.

Выводы и предложения

Оборот электронной подписи важен, способствует развитию экономических отношений. В то же время противоправные деяния, совершенные с помощью электронной подписи, приводят к преступлениям, например – мошенничеству, где материальный носитель электронной подписи является орудием преступления в руках исполнителя.

Расследование таких преступлений требует специальной квалификации и серьезных усилий от правоохранительных органов. Важно предупреждать такие преступления, для этого законодатель должен модифицировать правовое поле в сфере оборота электронной подписи.

Прямых путей совершенствования законодательства два: регулирование порядка и условий идентификации лица при введении в оборот его сертификата электронной подписи, а также обеспечение всесторонней ответственности участников взаимоотношений в данной сфере, в том числе превентивно – на ранних этапах оборота электронной подписи.

1. В части совершенствования процедур важно помнить, что избыточная зарегулированность оборота электронной подписи имеет негативные последствия, сдерживает эффективный документооборот, ограничивает возможности экономических отношений, судопроизводства и т. д.

Имеющаяся нормативная база в достаточной степени регулирует требования к обеспечению ответственности УЦ. При этом важно дополнительно проработать необходимые и достаточные условия, а также детальный порядок идентификации лиц при вводе в оборот их электронной подписи.

2. В части ответственности участников оборота электронной подписи законодателем пока упускается из виду, что сотрудник УЦ – не единственный субъект такого оборота. Именно физические лица – незаконные приобретатели – чаще всего совершают противоправные деяния, завладевая данными чужого “цифрового профиля” и чужой электронной подписью.

Незаконно приобретенная электронная подпись может служить только орудием совершения преступления или средством причинения вреда как гражданам, так и организациям. Ни для каких правомерных целей незаконно приобретенная электронная подпись служить не может.

Отсюда, выглядит целесообразным модернизация уголовного законодательства через введение в УК РФ новой статьи, устанавливающей уголовную ответственность за умышленное незаконное приобретение электронной подписи, а также использование такой подписи без воли на то ее законного владельца.

подделать электронный ключ электронная подпись электронный ключ
Оцените статью
ЭЦП Эксперт
Добавить комментарий

© 2023 ЭЦП Эксперт