Kostiantyn Korsun уже написал подробно, и я тоже послушал совместную пресс-конференцию киберполиции, министерства цифровой трансформации и национального банка о "кредите через Дию".
И этот, казалось бы вполне заурядный (и давно ожидаемый) случай мошенничества обрастает все новыми и дикими деталями. Оказывается, что SIM-карту пострадавшей никто не перевыпускал. Что и не удивительно, номер корпоративный (привет Федиенко) Тогда что еще было у мошенников? E-mail адрес не привязанный к банковскому счету (у нее не было счета в этом банке) и, скорее всего, сканы документов.
Мне очень интересно, в каком именно банке у нас в Украине можно открыть счет на e-mail и скан? И зачем угонять мейл, если можно зарегистрировать новый, который не отличается ничем?
То о чем министерство цифровой трансформации предпочитает не думать в математике называется транзитивность отношений. Для примера. Если у Вани из киберполиции есть доступ к данным Леши из Минцифры, а у Леши из минцифры есть доступ к данным Леши из нацбанка, то следовательно у полиции есть доступ к нацбанку
∀ a,b,c ∊ X, aRb ⋀ bRc ⇒ aRc
В обратную сторону тоже работает. Мошенники с помощью скана и имейла открыли счет и получили действующий паспорт в Дие полностью идентичный натуральному, и уже на него взяли кредит в МФО.
О чем остался соответствующий след, который и помог Дие триумфально ускорить расследование. То есть Дия таки кое-что хранит раз уж она так помогла полиции. Помимо прочего, это еще и гос. троян, который связывает IP, телефон, мейл и паспортные данные. Мечта для незаконной слежки
И этот, казалось бы вполне заурядный (и давно ожидаемый) случай мошенничества обрастает все новыми и дикими деталями. Оказывается, что SIM-карту пострадавшей никто не перевыпускал. Что и не удивительно, номер корпоративный (привет Федиенко) Тогда что еще было у мошенников? E-mail адрес не привязанный к банковскому счету (у нее не было счета в этом банке) и, скорее всего, сканы документов.
Мне очень интересно, в каком именно банке у нас в Украине можно открыть счет на e-mail и скан? И зачем угонять мейл, если можно зарегистрировать новый, который не отличается ничем?
То о чем министерство цифровой трансформации предпочитает не думать в математике называется транзитивность отношений. Для примера. Если у Вани из киберполиции есть доступ к данным Леши из Минцифры, а у Леши из минцифры есть доступ к данным Леши из нацбанка, то следовательно у полиции есть доступ к нацбанку
∀ a,b,c ∊ X, aRb ⋀ bRc ⇒ aRc
В обратную сторону тоже работает. Мошенники с помощью скана и имейла открыли счет и получили действующий паспорт в Дие полностью идентичный натуральному, и уже на него взяли кредит в МФО.
О чем остался соответствующий след, который и помог Дие триумфально ускорить расследование. То есть Дия таки кое-что хранит раз уж она так помогла полиции. Помимо прочего, это еще и гос. троян, который связывает IP, телефон, мейл и паспортные данные. Мечта для незаконной слежки
В Украине есть традиции. Каждый год жадные двадцатиевровые шлюхи, обслуживающие крупный ритейл и примкнувшие к ним мусора пытаются ввести SIM-ки по паспорту, реестры IMEI и прочий гулаг, по передовому опыту Пакистана и Эрефии. Янукович со своим "16 января" просто плачет в Ростове от зависти, и спрашивает: а что так можно было? А все почему? Потому что у него комитета по цирковой трансформации не было. Опять нас пытаются насильно осчастливить. А насильно мил не будешь, не так ли? Это даже до Януковича дошло.
Яблосрач между тем не утихает, и можно к нему вернуться еще разок. Как вы помните, Apple собирается искать CSAM (материалы сексуального насилия над детьми) прямо на устройствах пользователей. Каждый человек имеет право скрыть тот факт, что он стал жертвой преступления (особенно сексуального), и распространение детской порнографии приводит к ревиктимизации жертв насилия. Почему-то при слове "дети" многие сразу забывают о том, что распространение и хранение CP - преступление против прайвеси, а не против личности. За растление полагаются совсем другие статьи.
В Штатах поиском цопе занимается NCMEC (национальный центр по проблемам пропаших детей и детей подвергшихся эксплуатации), это не правительственная организация, с которой сотрудничают в том числе технологические компании. Как любезно мне подсказывает пенетенциарная служба США, в год выносится около полутора тысяч приговоров, связанных с детской порнографией (0.0004% к населению), ~10% - получение цопе, 45% - хранение, остальное - траффикинг. Найти количество настоящих педофилов мне к сожалению не удалось. Фейсбук в своем отчете добавляет, что в трех четвертях случаев речь идет о нормальных отношениях среди подростков, о шутниках, о людях, у которых цопе вызывает отвращение, включая и тех, кто жалуется на цопе. Оставшаяся четверть тоже весьма неоднородна. Тем не менее, каждый случай отправляется в NCMEC независимо от намерений или контекста.
Вернемся к Apple. Несмотря на заявления компании "все что есть в вашем айфоне - остается в вашем айфоне", Apple не считает "чувствительной" информацией: бэкапы, контакты, "find my device", iCloud-диск, сообщения, заметки без паролей, фотографии, голосовые заметки и почту. Под давлением ФБР Apple отказались от сквозного шифрования в iCloud и ослабил механизмы приватности для пользователей в России и Китае. Так же они участвовали в секретной программе АНБ PRISM. Поэтому я пользуюсь паролями вместо биометрии и сразу отключаю iCloud. В iCloud и в Фейсбуке сканирование контента уже работает и уже отправляется в NCMEC, но теперь они перенесли проверку на устройства пользователей, и единственная тому причина - посмотреть, что происходит с того конца, при шифровании "из конца в конец" (E2E). Свое облако они уже сканируют.
Как точно сформулировала Сара Льюис, любое шифрование задумывалось как сквозное, от меня к вам, а не от меня к вам и сотрудникам Apple, NCMEC, ФБР и АНБ. Даже сама возможность слежки заставляет людей менять свое поведение (хорошо изученный chilling effect). Я как-то сел в поезд на маленькой станции посреди Европы с полностью разряженным телефоном и только тогда почувствовал себя по-настоящему спокойно, когда никто не знает где я, кто я, и никому кроме кондуктора до меня нет дела. Оплата наличными. Очень яркое чувство.
Как Apple собирается сканировать пользовательский контент и сохранять иллюзию приватности? NCMEC из своей базы детской порнографии (представляете, что будет если туда заберутся вымогатели из REvil или ГРУ РФ?) генерирует перцептивные хеши. В отличии от криптографических хеш-функций они специально сделаны так, чтобы получались коллизии, когда у двух картинок одинаковый хеш (своего рода "отпечаток картинки") Похожие картинки должны быть похожи. Чтобы пользователь не узнал какой из хешей совпал с его фотоальбомом, база распространяется в виде фильтра Блума. "Программисты любят такие структуры, не зная где их применить, все остальное - ложно-позитивное срабатывание" (с) М. Грин
В Штатах поиском цопе занимается NCMEC (национальный центр по проблемам пропаших детей и детей подвергшихся эксплуатации), это не правительственная организация, с которой сотрудничают в том числе технологические компании. Как любезно мне подсказывает пенетенциарная служба США, в год выносится около полутора тысяч приговоров, связанных с детской порнографией (0.0004% к населению), ~10% - получение цопе, 45% - хранение, остальное - траффикинг. Найти количество настоящих педофилов мне к сожалению не удалось. Фейсбук в своем отчете добавляет, что в трех четвертях случаев речь идет о нормальных отношениях среди подростков, о шутниках, о людях, у которых цопе вызывает отвращение, включая и тех, кто жалуется на цопе. Оставшаяся четверть тоже весьма неоднородна. Тем не менее, каждый случай отправляется в NCMEC независимо от намерений или контекста.
Вернемся к Apple. Несмотря на заявления компании "все что есть в вашем айфоне - остается в вашем айфоне", Apple не считает "чувствительной" информацией: бэкапы, контакты, "find my device", iCloud-диск, сообщения, заметки без паролей, фотографии, голосовые заметки и почту. Под давлением ФБР Apple отказались от сквозного шифрования в iCloud и ослабил механизмы приватности для пользователей в России и Китае. Так же они участвовали в секретной программе АНБ PRISM. Поэтому я пользуюсь паролями вместо биометрии и сразу отключаю iCloud. В iCloud и в Фейсбуке сканирование контента уже работает и уже отправляется в NCMEC, но теперь они перенесли проверку на устройства пользователей, и единственная тому причина - посмотреть, что происходит с того конца, при шифровании "из конца в конец" (E2E). Свое облако они уже сканируют.
Как точно сформулировала Сара Льюис, любое шифрование задумывалось как сквозное, от меня к вам, а не от меня к вам и сотрудникам Apple, NCMEC, ФБР и АНБ. Даже сама возможность слежки заставляет людей менять свое поведение (хорошо изученный chilling effect). Я как-то сел в поезд на маленькой станции посреди Европы с полностью разряженным телефоном и только тогда почувствовал себя по-настоящему спокойно, когда никто не знает где я, кто я, и никому кроме кондуктора до меня нет дела. Оплата наличными. Очень яркое чувство.
Как Apple собирается сканировать пользовательский контент и сохранять иллюзию приватности? NCMEC из своей базы детской порнографии (представляете, что будет если туда заберутся вымогатели из REvil или ГРУ РФ?) генерирует перцептивные хеши. В отличии от криптографических хеш-функций они специально сделаны так, чтобы получались коллизии, когда у двух картинок одинаковый хеш (своего рода "отпечаток картинки") Похожие картинки должны быть похожи. Чтобы пользователь не узнал какой из хешей совпал с его фотоальбомом, база распространяется в виде фильтра Блума. "Программисты любят такие структуры, не зная где их применить, все остальное - ложно-позитивное срабатывание" (с) М. Грин
Полностью протокол сравнения называется ftPSI-AD - нечеткий пороговый алгоритм по секретному поиску пересечения множест с ассоциированными данными. PSI позволяет определить входит ли элемент(ы) в множество, не раскрывая его. Так как перцептивные хеши заведомо дают ложные срабатывания, то одного совпадения недостаточно (нужен порог). А чтобы сервер не узнал, что у вас есть пять совпадений из десяти необходимых, протокол нечеткий. К настоящим срабатываниям добавляются заведомо ложные ("синтетические") срабатывания, чтобы у всех пользователей порог болтался у порога, и нельзя было выявить "полупедофилов". Дальше в ход идут эллиптические кривые, разделение секрета Шамира, и кусок хитрожопой линейной алгебры, который либо выдаст все значения при достижении порога, и можно будет восстановить ключ, которым зашифрованы "ассоциированные данные", либо не выдаст ничего. Кстати, кое-что сервер узнать может. Если на сервере есть десять "ваучеров" и поступает 11-й, но при этом данные по-прежнему не расшифрованы, то как минимум два из 11 совпадений - синтетические (за дальнейшими подробностями к Льюис "A Closer Look at Fuzzy Threshold PSI (ftPSI-AD)".
Как отмечает Кристофер Парсонс ("The Problems and Complications of Apple Monitoring for CSAM in iCloud Photos") о некоторых проблемах не думал никто. Например у жертвы насилия могут быть очень характерные приметы (шрамы, родинки итд) и система вполне может их опознать, если кто-то сделает их обычное фото, после чего и фотографа и потерпевшего ждет увлекательное приключение. При этом систему-то делают как раз для того, чтобы подобную ситуацию предотвратить. Полностью исключить ложные срабатывания тоже нельзя (Льюис "Obfuscated Apples"), а здравый смысл (мотивы и субъективную сторону преступления) законодатели потеряли уже очень давно.
Пока система планируется к запуску только в США. Я думаю, что каждый уважающий себя авторитарный режим захочет присоединится к защите детей и сформирует соответствующие агентства, которые дадут непроверяемые хеши от других вредных материалов - обычной порнографии, карикатур на Пророка, послания из Тибета, призывы к гражданскому неповиновению, запрещенные книги и прочую вредную с точки зрения государств деятельность. Так что прежде чем устраивать очередной крестовый поход против педофилов, неплохо бы вернуться к привычному порядку вещей, в начале кому-то должен быть причинен ущерб, а затем уже общество не щадя живота своего ищет и наказывает преступников. Victimless crime - это нонсенс.
Как отмечает Кристофер Парсонс ("The Problems and Complications of Apple Monitoring for CSAM in iCloud Photos") о некоторых проблемах не думал никто. Например у жертвы насилия могут быть очень характерные приметы (шрамы, родинки итд) и система вполне может их опознать, если кто-то сделает их обычное фото, после чего и фотографа и потерпевшего ждет увлекательное приключение. При этом систему-то делают как раз для того, чтобы подобную ситуацию предотвратить. Полностью исключить ложные срабатывания тоже нельзя (Льюис "Obfuscated Apples"), а здравый смысл (мотивы и субъективную сторону преступления) законодатели потеряли уже очень давно.
Пока система планируется к запуску только в США. Я думаю, что каждый уважающий себя авторитарный режим захочет присоединится к защите детей и сформирует соответствующие агентства, которые дадут непроверяемые хеши от других вредных материалов - обычной порнографии, карикатур на Пророка, послания из Тибета, призывы к гражданскому неповиновению, запрещенные книги и прочую вредную с точки зрения государств деятельность. Так что прежде чем устраивать очередной крестовый поход против педофилов, неплохо бы вернуться к привычному порядку вещей, в начале кому-то должен быть причинен ущерб, а затем уже общество не щадя живота своего ищет и наказывает преступников. Victimless crime - это нонсенс.
Я уже жаловался на то, что мне до смерти надоела "Дия" и все, что с ней связано. Если люди не понимают, что нельзя в одном предложении использовать слова "Дия не использовалась", но "Дия помогла предотвратить", и "преступление предотвращено" и "преступники найдены" (тем более, что в документах написано совсем иное), то с подобными неадекватами просто не хочется разговаривать, это уже тяжкая доля психиатров. Но они не унимаются...
В решении суда прекрасно все. И то что ОСОБА_1 обвиняется в том, что ходит на работу, и то, что реализовывая свой преступный умысел та самая ОСОБА_1 осуществила идентификацию и аутентификацию на портале "Дия". Но это вопрос к ВРП, почему настолько тупого и безграмотного судью еще не разложили на столе для изучения места имения и других частей речи. Меня другое интересует.
Диевые раздали более несколько миллиардов гривен из бюджета без проверки. Вот это - настоящее преступление
В решении суда прекрасно все. И то что ОСОБА_1 обвиняется в том, что ходит на работу, и то, что реализовывая свой преступный умысел та самая ОСОБА_1 осуществила идентификацию и аутентификацию на портале "Дия". Но это вопрос к ВРП, почему настолько тупого и безграмотного судью еще не разложили на столе для изучения места имения и других частей речи. Меня другое интересует.
Диевые раздали более несколько миллиардов гривен из бюджета без проверки. Вот это - настоящее преступление
Я уже несколько раз писал про грандиозный провал Кіберполіція в деле #Avalanche. Недавно Антону Тимохину, который по их милости несколько месяцев просидел в тюрьме по суду должны выплатить компенсацию в двести тысяч. Суд первой инстанции присудил семьсот. Но прокуратура настояла на том, что это не их вина, и что "поиском по никнейму" якобы занималась немецкая прокуратура. Это - ложь. Имя другого подозреваемого - Капканова действительно есть в обвинительном акте прокуратуры США, а в документах из Германии имени Тимохина нет, там только никнеймы. Прокуратура и полиция просто соврали в суде. Надеюсь, что точку в этом деле поставит ЕСПЧ.
Прочитал интервью Олександр Гринчак в Kyiv Post. Александр Васильевич про нас не забывает: "Grynchak said that he wants to cooperate with the cyber alliance, but so far their relationship is weak. Ukrainian law enforcement also asked for help from “ethical hackers,” tech specialists that hack computers for money to test how well-protected they are. Даже странно, почему же такие хорошие люди не могут договориться? Что же пошло нет так?
Может быть потому, что Кіберполіція занимается поиском подозреваемых "шляхом пошуку в мережі Інтернет" (#Avalanche) и невиновный человек четыре месяца сидит в тюрьме и потом четыре года бодается с правопохоронной системой? И перед ним никто не извинился даже. Или потому, что полиция пыталась принудить полтавских журналистов следить за читателями? ("Это был тест на доверие"). Может потому, что после громкой победы над #Cl0p, якобы пойманные хакеры продолжают "работать" на следующий день? Или может быть потому, что каждый раз, когда в Украине случается что-то свзанное с "кибер" мы usual suspects? (Хотя ни малейших оснований нет, нашей прозрачности и публичности может позавидовать любое ГО). Я уже даже не вспоминаю про "Энигму" и Сашу Галущенко ("Департамент не ваших собачьих дел"), "Грету" и прочую невменяемую хуйню.
Может что-то пора "в консерватории подправить"? А пока все идет своим чередом: Now the Ukrainian Cyber Alliance opposes most of the government’s projects: It constantly criticizes state-funded mobile app Diia and laws that regulate Ukraine’s virtual space.
Может быть потому, что Кіберполіція занимается поиском подозреваемых "шляхом пошуку в мережі Інтернет" (#Avalanche) и невиновный человек четыре месяца сидит в тюрьме и потом четыре года бодается с правопохоронной системой? И перед ним никто не извинился даже. Или потому, что полиция пыталась принудить полтавских журналистов следить за читателями? ("Это был тест на доверие"). Может потому, что после громкой победы над #Cl0p, якобы пойманные хакеры продолжают "работать" на следующий день? Или может быть потому, что каждый раз, когда в Украине случается что-то свзанное с "кибер" мы usual suspects? (Хотя ни малейших оснований нет, нашей прозрачности и публичности может позавидовать любое ГО). Я уже даже не вспоминаю про "Энигму" и Сашу Галущенко ("Департамент не ваших собачьих дел"), "Грету" и прочую невменяемую хуйню.
Может что-то пора "в консерватории подправить"? А пока все идет своим чередом: Now the Ukrainian Cyber Alliance opposes most of the government’s projects: It constantly criticizes state-funded mobile app Diia and laws that regulate Ukraine’s virtual space.
Предположим, что у вас есть хорошенький компьютерный червь, который медленно и печально переползает с компьютера на компьютер в поисках центрифуги для обогащения урана (совместная американо-израильская операция Olympic Games в 2010 году против иранской обогатительной фабрики в Натанзе, больше известная как Stuxnet) и он от вас уползает. Его находит, прости господи, белорусский антивирус и начинается международный скандал.
Вам это конечно не нравится и вы даже пытаетесь увалить DDoS-атакой списки рассылки, где инженеры и безопасники потрошат вашу дороговалютную мальварь. Так как ни подтвердить, ни опровергнуть все равно ничего нельзя, то почему бы не выпустить следующее кибер-вундерваффе Flame (aka Gauss), а чтобы скрыть пункт назначения, берем список файлов, тысячу раз хешируем его алгоритмом MD5 с солью и это будет ключ для расшифровки полезной нагрузки. Ключ совпадет только в целевой системе.
Тут кто-то психанул просто, потому что, если хоть один файл будет удален или добавлен, то бедный "Гаусс" так и не увидится с "Гедделем" (так аверы обозвали кусок скрытого кода). Что явно свидетельствует о том, что обновку, как и предыдущую версию готовили в большой спешке. Govno & Palki Productions.
Я думаю, что тут все знают как работает "RSA из учебника" (многим даже надоело), но у него есть интересные применения. В 1993 году Джош Бенало и Майкл де Мар придумали еще одно - криптоаккумулятор, число, в котором спрятаны другие числа и способы слепой проверки входит ли число в аккумулятор или нет.
Допустим, АНБ хочет, чтобы червь сработал не только в Натанзе, но еще в Бушере, сирийском ПВО российского производства, пакистанской ISI и компьютере Хайбатуллы Ахундзада, и пытается защитить "источники и методы". Им понадобятся параметры RSA (p, q, n = p * q) и генератор группы. Множество целей обозначим X = {x_1, x_2, ...} и посчитаем его произведение: u = x_1 * x_2 * ..., чтобы получившееся число однозначно характеризовало список, то согласно фундаментальной теореме арифметики элементы должны быть простыми. Число C = g^u mod n и есть аккумулятор.
Если мы хотим проверить есть ли в нем число x, то понадобится доказательство, оно считается точно так же, только без проверяемого значения x_i. P = g^{x_1 * x_2 * ... x_{i-1} * x_{i+1} * ...} Проверка на вхождение может понадобится в других случаях - к примеру, группа людей меняется ключами, и они хотят доказать друг другу впоследствии, что они входят в группу.
У каждого есть своя пара значений x_i, P_i и доказательство состоит в том, что P_i^{x_i} (mod n) = P_j^{x_j} (mod n) = C. Узнать полный список X из C нельзя. Доказательство с нулевым разглашением. Но АНБ по-прежнему скучно, потому, что тогда пришлось бы зашить набор доказательств для каждой системы и проверять их по очереди.
Но есть способ доказать, что число z∉X, так как оно тоже простое и не входит в произведение зашитое в аккумулятор, то наибольший общий делитель GCD(z, u) = 1. С помощью соотношения Безу НОД можно представить, как НОД(x, y) = x * a + y * b, в случае с сопростыми числами x * a + y * b = 1, получить коэффициенты a и b можно с помощью расширенного алгоритма Эвклида. Доказательством НЕ вхождения служит пара чисел (g^a mod n, b). Проверяем: (g^a)^z * C^b = g^{a * z} * (g^u)^b = g^{a*z + b*u}, так как a * z + b * u = 1, то (g^a)^z * C^b = g^1 = g. Если получилось "g", то числа z в аккумуляторе нет. Переползаем в следующую систему.
Таким способом в одном не очень большом числе (размером с модуль RSA) можно спрятать хоть тысячу идентификаторов, и никто не узнает, что именно ищет АНБ, а не MD5, RC4 и прочие передовые технологии 90-х, которые так полюбились APT-группам со всего мира
Вам это конечно не нравится и вы даже пытаетесь увалить DDoS-атакой списки рассылки, где инженеры и безопасники потрошат вашу дороговалютную мальварь. Так как ни подтвердить, ни опровергнуть все равно ничего нельзя, то почему бы не выпустить следующее кибер-вундерваффе Flame (aka Gauss), а чтобы скрыть пункт назначения, берем список файлов, тысячу раз хешируем его алгоритмом MD5 с солью и это будет ключ для расшифровки полезной нагрузки. Ключ совпадет только в целевой системе.
Тут кто-то психанул просто, потому что, если хоть один файл будет удален или добавлен, то бедный "Гаусс" так и не увидится с "Гедделем" (так аверы обозвали кусок скрытого кода). Что явно свидетельствует о том, что обновку, как и предыдущую версию готовили в большой спешке. Govno & Palki Productions.
Я думаю, что тут все знают как работает "RSA из учебника" (многим даже надоело), но у него есть интересные применения. В 1993 году Джош Бенало и Майкл де Мар придумали еще одно - криптоаккумулятор, число, в котором спрятаны другие числа и способы слепой проверки входит ли число в аккумулятор или нет.
Допустим, АНБ хочет, чтобы червь сработал не только в Натанзе, но еще в Бушере, сирийском ПВО российского производства, пакистанской ISI и компьютере Хайбатуллы Ахундзада, и пытается защитить "источники и методы". Им понадобятся параметры RSA (p, q, n = p * q) и генератор группы. Множество целей обозначим X = {x_1, x_2, ...} и посчитаем его произведение: u = x_1 * x_2 * ..., чтобы получившееся число однозначно характеризовало список, то согласно фундаментальной теореме арифметики элементы должны быть простыми. Число C = g^u mod n и есть аккумулятор.
Если мы хотим проверить есть ли в нем число x, то понадобится доказательство, оно считается точно так же, только без проверяемого значения x_i. P = g^{x_1 * x_2 * ... x_{i-1} * x_{i+1} * ...} Проверка на вхождение может понадобится в других случаях - к примеру, группа людей меняется ключами, и они хотят доказать друг другу впоследствии, что они входят в группу.
У каждого есть своя пара значений x_i, P_i и доказательство состоит в том, что P_i^{x_i} (mod n) = P_j^{x_j} (mod n) = C. Узнать полный список X из C нельзя. Доказательство с нулевым разглашением. Но АНБ по-прежнему скучно, потому, что тогда пришлось бы зашить набор доказательств для каждой системы и проверять их по очереди.
Но есть способ доказать, что число z∉X, так как оно тоже простое и не входит в произведение зашитое в аккумулятор, то наибольший общий делитель GCD(z, u) = 1. С помощью соотношения Безу НОД можно представить, как НОД(x, y) = x * a + y * b, в случае с сопростыми числами x * a + y * b = 1, получить коэффициенты a и b можно с помощью расширенного алгоритма Эвклида. Доказательством НЕ вхождения служит пара чисел (g^a mod n, b). Проверяем: (g^a)^z * C^b = g^{a * z} * (g^u)^b = g^{a*z + b*u}, так как a * z + b * u = 1, то (g^a)^z * C^b = g^1 = g. Если получилось "g", то числа z в аккумуляторе нет. Переползаем в следующую систему.
Таким способом в одном не очень большом числе (размером с модуль RSA) можно спрятать хоть тысячу идентификаторов, и никто не узнает, что именно ищет АНБ, а не MD5, RC4 и прочие передовые технологии 90-х, которые так полюбились APT-группам со всего мира
Девятого июля неизвестные атаковали железную дорогу Ирана. "Долгие заддержки из-за кибератак. Звоните 64411" (На самом деле приемная ̶н̶а̶и̶в̶е̶л̶и̶ч̶а̶й̶ш̶е̶г̶о̶ верховного лидера Хаменеи. Иран привычно обвинил Израиль (не без причин), и в отместку устроили атаку дроном на израильский танкер MT Mercer Street, погибло два человека. CheckPoint после анализа кода пришли к выводу, что это были Indra Godofwar. Группа воюет против Кудc (спец. подразделение КСИР) и Хезболы, и до этого взяли на себя ответственность за взлом нефтяной и авиакомпании в Сирии. И на это никто не обратил внимания, а зря. В этот раз они промолчали. И получается очень интересная ситуация. Для спец. служб они говорят слишком много, а для хактивистов слишком мало #важное
Поражены твоей неудачей Apple https://github.com/AsuharietYgvar/AppleNeuralHash2ONNX У двух картинок совпадает перцептивный хеш. Называется "атака нахождения второго прообраза", зная m1 и H(m1) найти такое m2, что H(m1) = H(m2), и это без GAN. (К вопросу о том, чем именно они собрались "защищать детей")
Отбитой на всю голову "жижитализацией" страдает не только Украина. В связи с эпидемией многие страны требуют заполнять PLF (Passenger Location Form), собирая в ней все возможные данные, которые только есть. И конечно же в модном QR-коде зашита постоянная ссылка на сайт национального агентства и защищена как? Правильно. Никак. Оно и понятно, Испании нет дела до данных поляков, а немцам все-равно, что будет с данными венгров. В итоге данные всего EU текут, как из дырявого ведра, пробегая в том числе через облака Amazon. Why? Because fuck you, that's why.
Прочитал новую книжку по кацапознавству "Weak strongman".
Тимоти Фрай пытается объяснить политику газоспасаемой не с точки зрения мрачного прошлого Хуйла, и не генетически обусловленными рачьими особенностями, а компромиссами, между которыми заперт каждый авторитарный режим лидерского типа.
Будешь мошенничать на выборах слишком много - люди выйдут на улицу, слишком мало - потеряешь власть. Недокормишь людоедскую элиту - переворот, перекормишь, угандонив экономику - революция, будешь ругать условный Запад слишком сильно - можно всерьез поссориться, недостаточно сильно - не на кого будет списывать обоссанные подъезды.
В качестве ключевых признаков авторитаризма он выделяет не цензуру или озверевших мусоров с дубьем - это грубый и опасный инструмент, а ослабление институтов, вмешательство в экономику и непоследовательную политику (unsound policies). И в этом описании просматривается не только Хуйло или Эрдоган с Орбаном, но и чье-то ишачиное зеленое ебало.
Проблема наивеличайшего пидора сотоварищи в том, что и автократию они строят хуяк-ермак и в продакшен, без ресурсов и компромиссов. У них есть все шансы очень быстро доебать и элиту, и улицу.
Тимоти Фрай пытается объяснить политику газоспасаемой не с точки зрения мрачного прошлого Хуйла, и не генетически обусловленными рачьими особенностями, а компромиссами, между которыми заперт каждый авторитарный режим лидерского типа.
Будешь мошенничать на выборах слишком много - люди выйдут на улицу, слишком мало - потеряешь власть. Недокормишь людоедскую элиту - переворот, перекормишь, угандонив экономику - революция, будешь ругать условный Запад слишком сильно - можно всерьез поссориться, недостаточно сильно - не на кого будет списывать обоссанные подъезды.
В качестве ключевых признаков авторитаризма он выделяет не цензуру или озверевших мусоров с дубьем - это грубый и опасный инструмент, а ослабление институтов, вмешательство в экономику и непоследовательную политику (unsound policies). И в этом описании просматривается не только Хуйло или Эрдоган с Орбаном, но и чье-то ишачиное зеленое ебало.
Проблема наивеличайшего пидора сотоварищи в том, что и автократию они строят хуяк-ермак и в продакшен, без ресурсов и компромиссов. У них есть все шансы очень быстро доебать и элиту, и улицу.
Во время кризиса, связанного с выводом американских войск из Афганистана, многие говорили о "неудачах разведки", забывая о том, что успешность и в войне, и в политике определяется не только качеством сбора, анализа и оценки информации, но и способностью людей, принимающих решения, слушать, верить услышанному и, сюрприз, принимать решения.
В Украине используется уникальная стратегия, не имеющая аналогов нигде в мире. Я бы назвал её deterrence by ignorance. Всем настолько всё по сараю, что ни СНБО, ни МИД, ни ОП не волнуют даже прямые выпады со стороны газоспасаемой, в которых специально для самых величайших лидеров и всратегов нужные места подчеркнуты. Мысль о том, что любое действие, даже механические движения ртом могут вызывать ответные действия для них слишком сложна.
Неделю назад Владимир Александрочич подписал указ о создании "кибервойск". Ему фантазировать о войне, как пьяному с горы катиться, "самолеты летят, будем всех бомбить", вот это вот всё. А на Лубянке обратили внимание, и сделали развернутый сюжет на канале Россия-24. Как это ни парадоксально, но не смотря на дурные намерения, забордюрная пропаганда почти не врет, больно тыкая в дележку бюджетов, должностей и кадровый голод.
И на кого тогда они обратили внимание? Может им досаждает ГУР МО? Служба внешней разведки? ССО? Войска связи и киберзащиты? Может Госспецсвязь? СБУ и, прости господи, киберполиция? Нет. Ukrainian Cyber Alliance. Попытка очернить нас в глазах общественности исполнена, прямо скажем, на троечку. То, что ФСБ пытается преуменьшить ("Россия сильнее") и преувеличить угрозу ("осажденная крепость", "происки закулисы") одновременно - оставляет стойкий привкус шизофрении.
Хочу отметить, что наследников первого управления в ближайшее же время будет ждать несколько весьма неприятных сюрпризов. Чтобы почувствовать разницу между потешными кибервойсками и настоящими.
В Украине используется уникальная стратегия, не имеющая аналогов нигде в мире. Я бы назвал её deterrence by ignorance. Всем настолько всё по сараю, что ни СНБО, ни МИД, ни ОП не волнуют даже прямые выпады со стороны газоспасаемой, в которых специально для самых величайших лидеров и всратегов нужные места подчеркнуты. Мысль о том, что любое действие, даже механические движения ртом могут вызывать ответные действия для них слишком сложна.
Неделю назад Владимир Александрочич подписал указ о создании "кибервойск". Ему фантазировать о войне, как пьяному с горы катиться, "самолеты летят, будем всех бомбить", вот это вот всё. А на Лубянке обратили внимание, и сделали развернутый сюжет на канале Россия-24. Как это ни парадоксально, но не смотря на дурные намерения, забордюрная пропаганда почти не врет, больно тыкая в дележку бюджетов, должностей и кадровый голод.
И на кого тогда они обратили внимание? Может им досаждает ГУР МО? Служба внешней разведки? ССО? Войска связи и киберзащиты? Может Госспецсвязь? СБУ и, прости господи, киберполиция? Нет. Ukrainian Cyber Alliance. Попытка очернить нас в глазах общественности исполнена, прямо скажем, на троечку. То, что ФСБ пытается преуменьшить ("Россия сильнее") и преувеличить угрозу ("осажденная крепость", "происки закулисы") одновременно - оставляет стойкий привкус шизофрении.
Хочу отметить, что наследников первого управления в ближайшее же время будет ждать несколько весьма неприятных сюрпризов. Чтобы почувствовать разницу между потешными кибервойсками и настоящими.
Наша пісня гарна, нова... Сегодня на Telecom Ukraine 2021 говорящая табуретка из Служба Бакланов Украины Ігор Черняк рассказало, что оне планирует создать реестр запрещенных сайтов, как в духовно близкой им России. Исключительно для "удобства операторов". Законность "этих" никогда не волновала. Самое время подумать о VPN, чтобы товарищ майор поел качественно зашифрованного говна. (Спасибо Max Tulyev, что обратил внимание на очередное обострение конторских) Не отстает и верховна зрада, хотят напарить SIM-ки по паспорту. Очень порадовала позиция Офіс ефективного регулювання BRDO, они заявили, что это недопустимо. После чего в комментариях появился зеленый депутат и начал кидаться голословными обвинениями в подажности. Все эти инициативы дословно повторяют диктаторские законы "16 января" и лучшие российско-пакистанские практики. Отвратительно.
Все хиикают над незадачливым молодым человеком из Лестера, которого судья приговорил к чтению Дикенса и Остин, за "подготовку к террористическому акту", но история, если разобраться, не такая уж и смешная и во многом поучительная.
В Англии есть крайне неприятный Terrorism Act 2000, в котором есть в том числе право полиции на необоснованные уличные обыски (в 2009, как любезно подсказывает вики таких было сто тысяч, ни одного террориста не нашли), или как в случае с Беном Джоном, раздел 58 - до пятнадцати лет за хранение информации, которая может быть полезна тем, кто вовлечен в терроризм. Мотивы не учитываются. Бен получил не только обязательство прочитать "Гордость и предубеждение", но и два года условно за файлы в компьютере.
И история на этом не закончилась. Добрые левые люди из организации "Надежда вместо ненависти" (sic!) обратились в прокуратуру с заявлением, о том, что двухлетний срок за файлики для диванного нациста-"террориста" "неоправданно мягок". У генеральной прокуратуры есть двадцать восемь дней на раздумья (ULS scheme). Могут и посадить.
Очень мне все это напомнило российскую "либеральную" общественность, которая так хотела сажать нацистов по 282, а потом начала визжать "а нас за что?". И наших говноедов тоже, которые с криками "а вот в Европе", стаскивают говно со всего мира. Уж лучше бы высокий суд Лондона попытались бы перетащить, а не уголовные статьи за лайки и репосты
В Англии есть крайне неприятный Terrorism Act 2000, в котором есть в том числе право полиции на необоснованные уличные обыски (в 2009, как любезно подсказывает вики таких было сто тысяч, ни одного террориста не нашли), или как в случае с Беном Джоном, раздел 58 - до пятнадцати лет за хранение информации, которая может быть полезна тем, кто вовлечен в терроризм. Мотивы не учитываются. Бен получил не только обязательство прочитать "Гордость и предубеждение", но и два года условно за файлы в компьютере.
И история на этом не закончилась. Добрые левые люди из организации "Надежда вместо ненависти" (sic!) обратились в прокуратуру с заявлением, о том, что двухлетний срок за файлики для диванного нациста-"террориста" "неоправданно мягок". У генеральной прокуратуры есть двадцать восемь дней на раздумья (ULS scheme). Могут и посадить.
Очень мне все это напомнило российскую "либеральную" общественность, которая так хотела сажать нацистов по 282, а потом начала визжать "а нас за что?". И наших говноедов тоже, которые с криками "а вот в Европе", стаскивают говно со всего мира. Уж лучше бы высокий суд Лондона попытались бы перетащить, а не уголовные статьи за лайки и репосты
Запощу еще разок :-)
(Все совпадения несут в себе злые намерения и отнюдь не случайны)
С утра по Киеву ходил худой человек с красными от цифровизации глазами и выскубленной до синевы мордой. Он раздавал у метро написанные от руки объявления:
* * *
6 сентября, в помещении ООО “Вектор” состоится лекция на тему:
“Блокчейнизация как стремительный драйвер окончательной цифровизации третьего цикла хайпа по Гартнеру”.
Лекцию читает гросс-министр оптимизации и цифровых наук Федор Михельсон.
Вход рубль, выход два.
* * *
Сам министр тоже не терял времени. Он заарендовал спейс за неназванную сумму бюджетных денег и перебросился на вертолетную площадку беглого любителя страусов. В Векторе сидел грустный ФОП-айтишник, безмерно страдающий от недостатка державной заботы и любви, и задумчиво листал уголовный кодекс.
- Гросс-министр оптимизации всего! - заявил Федор присаживаясь за стол. - устраиваю у вас цифровизацию, страну в страпоне и нейро-искусственный аграрно-биологический интеллект на блокчейне!
Глаза единственного представителя креативной индустрии округлились до пределов дозволенных природой, а сам он как-то сжался и уменьшился в размерах, потому что за подобными предложениями обычно следовал удар тараном в дверь, и люди с неприятно тупыми лицами и автоматами наперевес начинают рыться в личных вещах и ломать дороговалютную технику своими обезьяньими от кривизны руками.
Представитель убежал. Федор осмотрел помещение. На стенах висели фотографии страусов, оставшиеся от бывшего владельца. На столе рядом с кодексом лежала запыленная папка с подписью “Форма номер 17. Предельно допустимые показатели джиттера в оптических сетях”. Что такое джиттер Федор не знал, но заранее проникся уверенностью, что в оффшоре его мечты без тщательнейших замеров джиттера никак не обойтись. Креативная индустрия вернулась с дюжиной граждан и гражданок разных возрастов, которые подходили по очереди здороваться.
Киевские айтишники прониклись к Федору сыновней любовью. Федора несло. Он почувствовал прилив новых сил и цифровых идей.
- Вы не поверите, - говорил он, - как далеко двинулась цифровая мысль. Вы знаете Тим Кук дошел до пошлых вещей, с ним невозможно стало работать. Цифровой мир в беспокойстве. Почему в провинции нет смарт-мысли? Например, вот ваше ООО “Вектор”. Так и называется ООО “Вектор”. Скучно, девушки! Почему бы вам, в самом деле, не назвать её как-нибудь хайпово! Назвали бы “Snatch, Inc”, “GoogLag”, Дия-Сити или хотя бы "Вектор плюс". Хорошо было бы! Звучно!
Идея имела успех. ООО “Вектор” общим решением собрания учредителей немедленно переименовали в “Дия-Сити”. Каждый достал из папки “Завантаження” свою секретную цифровую подпись и квалифицированно приложился.
- Блокчейн, знаете ли вы что такое блокчейн? Он двигает вперёд не только экономику, но и культуру. Айти обогащает страну! Если вы согласитесь на мой проект, то спускаться на пристань вы будете по виртуальным лестницам. Дия-Сити станет центром Европы! Что вы раньше слышали о Бангалоре? Говно, коровы и курсы обучения си с крестами. А теперь этот городишко богат и знаменит своей утечкой мозгов в разные стороны. Сколково в Москве! ПВТ в Минске! Успех, грандиозный успех, даже новостные сайты не открываются, потому что они больше никому не нужны и новости происходят прямо на улицах. Поэтому я и говорю, нам нужно устроить цифровую супер-державу, минуя доебанную ПСО и олигархами энергетику. Дийови платить деньги не будут. Они будут их по-лу-чать. Это же все чрезвычайно просто. Ведь в оффшор съедутся любители айти со всего мира. Сотни тысяч людей, богато обеспеченных людей, будут стремиться в Дия-Сити. Поднятие сельского хозяйства в радиусе на тысячу километров: гостей нужно снабжать — овощи, фрукты, белорусская икра и креветки, местный смузи и кофе. IBM, Amazon, Microsoft бросят свою силиконовую долину, чтобы переехать в Дия-Сити и хайповать на блокчейне! Нейро-искусственный квантумный интеллект! Биотехнологическое СЕО! Хайп. Оптимизация!
Ослепительные перспективы развернулись перед айтишниками…
(Все совпадения несут в себе злые намерения и отнюдь не случайны)
С утра по Киеву ходил худой человек с красными от цифровизации глазами и выскубленной до синевы мордой. Он раздавал у метро написанные от руки объявления:
* * *
6 сентября, в помещении ООО “Вектор” состоится лекция на тему:
“Блокчейнизация как стремительный драйвер окончательной цифровизации третьего цикла хайпа по Гартнеру”.
Лекцию читает гросс-министр оптимизации и цифровых наук Федор Михельсон.
Вход рубль, выход два.
* * *
Сам министр тоже не терял времени. Он заарендовал спейс за неназванную сумму бюджетных денег и перебросился на вертолетную площадку беглого любителя страусов. В Векторе сидел грустный ФОП-айтишник, безмерно страдающий от недостатка державной заботы и любви, и задумчиво листал уголовный кодекс.
- Гросс-министр оптимизации всего! - заявил Федор присаживаясь за стол. - устраиваю у вас цифровизацию, страну в страпоне и нейро-искусственный аграрно-биологический интеллект на блокчейне!
Глаза единственного представителя креативной индустрии округлились до пределов дозволенных природой, а сам он как-то сжался и уменьшился в размерах, потому что за подобными предложениями обычно следовал удар тараном в дверь, и люди с неприятно тупыми лицами и автоматами наперевес начинают рыться в личных вещах и ломать дороговалютную технику своими обезьяньими от кривизны руками.
Представитель убежал. Федор осмотрел помещение. На стенах висели фотографии страусов, оставшиеся от бывшего владельца. На столе рядом с кодексом лежала запыленная папка с подписью “Форма номер 17. Предельно допустимые показатели джиттера в оптических сетях”. Что такое джиттер Федор не знал, но заранее проникся уверенностью, что в оффшоре его мечты без тщательнейших замеров джиттера никак не обойтись. Креативная индустрия вернулась с дюжиной граждан и гражданок разных возрастов, которые подходили по очереди здороваться.
Киевские айтишники прониклись к Федору сыновней любовью. Федора несло. Он почувствовал прилив новых сил и цифровых идей.
- Вы не поверите, - говорил он, - как далеко двинулась цифровая мысль. Вы знаете Тим Кук дошел до пошлых вещей, с ним невозможно стало работать. Цифровой мир в беспокойстве. Почему в провинции нет смарт-мысли? Например, вот ваше ООО “Вектор”. Так и называется ООО “Вектор”. Скучно, девушки! Почему бы вам, в самом деле, не назвать её как-нибудь хайпово! Назвали бы “Snatch, Inc”, “GoogLag”, Дия-Сити или хотя бы "Вектор плюс". Хорошо было бы! Звучно!
Идея имела успех. ООО “Вектор” общим решением собрания учредителей немедленно переименовали в “Дия-Сити”. Каждый достал из папки “Завантаження” свою секретную цифровую подпись и квалифицированно приложился.
- Блокчейн, знаете ли вы что такое блокчейн? Он двигает вперёд не только экономику, но и культуру. Айти обогащает страну! Если вы согласитесь на мой проект, то спускаться на пристань вы будете по виртуальным лестницам. Дия-Сити станет центром Европы! Что вы раньше слышали о Бангалоре? Говно, коровы и курсы обучения си с крестами. А теперь этот городишко богат и знаменит своей утечкой мозгов в разные стороны. Сколково в Москве! ПВТ в Минске! Успех, грандиозный успех, даже новостные сайты не открываются, потому что они больше никому не нужны и новости происходят прямо на улицах. Поэтому я и говорю, нам нужно устроить цифровую супер-державу, минуя доебанную ПСО и олигархами энергетику. Дийови платить деньги не будут. Они будут их по-лу-чать. Это же все чрезвычайно просто. Ведь в оффшор съедутся любители айти со всего мира. Сотни тысяч людей, богато обеспеченных людей, будут стремиться в Дия-Сити. Поднятие сельского хозяйства в радиусе на тысячу километров: гостей нужно снабжать — овощи, фрукты, белорусская икра и креветки, местный смузи и кофе. IBM, Amazon, Microsoft бросят свою силиконовую долину, чтобы переехать в Дия-Сити и хайповать на блокчейне! Нейро-искусственный квантумный интеллект! Биотехнологическое СЕО! Хайп. Оптимизация!
Ослепительные перспективы развернулись перед айтишниками…
(Раздаётся оглушительный удар тарана в двери. В помещение врывается СБУ, налоговая, инспекция электросвязи и другие компетентные органы уполномоченные на цифровизацию, чьи полномочия давно и окончатиельно превысили их компетентность)
На сайте КМУ началось голосование за Раду громадського контролю Бюро Економічної Безпеки. Именно эта организация будет расследовать экономические преступления. Так что заходим сюда https://vote.kmu.gov.ua/step1.php (как всегда понадобится два кода подтверждения через почту и телефон) и голосуем за Тарас Котов, Євгеній Романюк і Андрій Ткаченко (ГО «Антикорупційна Сокира») Номера наших кандидатов в списке 48, 49, 50. Спасибо!
Apple и Google продолжают работать над водительскими правами в телефоне. В Украине уже есть "Дія", и кое-то удивляется почему специалисты ноют и отказываются поздравлять Федорова и Ко с оглушительным технологическим прорывом. Так что поговорим о том, чем отличается ISO/IEC от хуяк-ермак.
Сделать цифровой документ тяжело. Даже не столько из-за того, что люди не умеют писать безопасные программы, а потому что нужно выполнить целый ряд взаимоисключающих требований. Начнем с того, что сделать что-то в телефоне безопасным практически невозможно без помощи производителя. В начале эпидемии все носились с идеей отслеживания контактов и британская NHS потратила миллионы на разработку приложения, которое оглушительно провалилось просто потому, что доступ к BLE в телефоне ограничен по соображениям приватности.
Вернемся к документам. Чтобы телефон работал документом, нужно привязать вас к документу, а документ к телефону. Как и электронном паспорте, данные подписаны цифровой подписью (пассивная аутентификация используется для подтверждения целостности), а чтобы документ нельзя было клонировать в самом документе должен быть еще один ключ, который связывает набор данных и физический носитель (это называется активная аутентификация), и наконец фотография подтверждает, что вы - владелец документа.
То что диевые называют "паспортом в телефоне" - это вобще не документ, а выписка из реестра. Дию можно сравнить с посадочным талоном, все данные находятся у авиакомпании, и там это работает, потому что проверка проводится в тщательно охраняемом и контролируемом здании аэропорта, а не на мутном сервере непонятно где. Обо всем этом можно почитать в черновой редакции стандарта ISO 18013-5, разработкой которого занимаются технологические альянсы куда входят монстры вроде Infineon и JP Morgan. Почему-то не вижу в списке учаснтников ДП "Дія" со своим революционным поделием.
При этом первейшая задача, которая рассматривается в стандарте, как сделать документ не отслеживаемым, чтобы он работал без Интернета, а Google еще думает, как сделать его так, чтобы телефон работал документом при разряженной батарее (все это естественно требует аппаратной поддержки, приложений заряжающих батарею еще не придумали).
Дия же напротив сразу связывает телефон, email и IP с паспортными данными. Телефон с установленной Дией или Дий.Вдома ничем не отличается от мобильного маячка для гео-зонирования, который полиция цепляет на ногу. То есть когда мусора пытаются продавить SIM-ки по паспорту или отслеживать пользователей по IP на сайтах вы возмущаетесь, и возмущаетесь правильно. А тут вам предлагают добровольно прицепить себе браслет на ногу и вы радуетесь как дети. Ура, ура, мы первые в мире! Конечно первые, даже в Китае такого нет.
Технические проблемы, это даже не середина. Еще сложнее документы выпускать (issue) и выдавать (provisioning), для этого сейчас готовится еще один стандарт ISO 23220-3. Когда вы получаете обычный документ, вы делаете это лично. И если что-то пошло не так, то всегда можно будет найти тот ЦНАП, где документ был выдан и кого-нибудь из сотрудников посадить. Или вас за подделку документов. Но кто-то должен сесть. Это называется ответственность. Ради этого-то все и затевалось. Чтобы документам можно было доверять.
Так как "Дия не хранит данные" (что прямая ложь), то идентификацию они перекидывают на банки. Но функции банка сильно ограничены, банк рискует только заранее известной суммой денег, потому там используются пароли и СМС-ки. Для документов этого недостаточно, о чем прямо написано в стандарте (для банков по-хорошему тоже, но там еще есть службы безопасности, оценки рисков и возможные потери от мошенничества уже заложены в стоимость услуг). У Дии уже есть "кредит Людмилы" и "подпись Байдена", и это только самое начало, потому что сама архитектура broken by design, если конечно хипстерские рисунки на салфетках и видосики можно назвать "архитектурой".
Сделать цифровой документ тяжело. Даже не столько из-за того, что люди не умеют писать безопасные программы, а потому что нужно выполнить целый ряд взаимоисключающих требований. Начнем с того, что сделать что-то в телефоне безопасным практически невозможно без помощи производителя. В начале эпидемии все носились с идеей отслеживания контактов и британская NHS потратила миллионы на разработку приложения, которое оглушительно провалилось просто потому, что доступ к BLE в телефоне ограничен по соображениям приватности.
Вернемся к документам. Чтобы телефон работал документом, нужно привязать вас к документу, а документ к телефону. Как и электронном паспорте, данные подписаны цифровой подписью (пассивная аутентификация используется для подтверждения целостности), а чтобы документ нельзя было клонировать в самом документе должен быть еще один ключ, который связывает набор данных и физический носитель (это называется активная аутентификация), и наконец фотография подтверждает, что вы - владелец документа.
То что диевые называют "паспортом в телефоне" - это вобще не документ, а выписка из реестра. Дию можно сравнить с посадочным талоном, все данные находятся у авиакомпании, и там это работает, потому что проверка проводится в тщательно охраняемом и контролируемом здании аэропорта, а не на мутном сервере непонятно где. Обо всем этом можно почитать в черновой редакции стандарта ISO 18013-5, разработкой которого занимаются технологические альянсы куда входят монстры вроде Infineon и JP Morgan. Почему-то не вижу в списке учаснтников ДП "Дія" со своим революционным поделием.
При этом первейшая задача, которая рассматривается в стандарте, как сделать документ не отслеживаемым, чтобы он работал без Интернета, а Google еще думает, как сделать его так, чтобы телефон работал документом при разряженной батарее (все это естественно требует аппаратной поддержки, приложений заряжающих батарею еще не придумали).
Дия же напротив сразу связывает телефон, email и IP с паспортными данными. Телефон с установленной Дией или Дий.Вдома ничем не отличается от мобильного маячка для гео-зонирования, который полиция цепляет на ногу. То есть когда мусора пытаются продавить SIM-ки по паспорту или отслеживать пользователей по IP на сайтах вы возмущаетесь, и возмущаетесь правильно. А тут вам предлагают добровольно прицепить себе браслет на ногу и вы радуетесь как дети. Ура, ура, мы первые в мире! Конечно первые, даже в Китае такого нет.
Технические проблемы, это даже не середина. Еще сложнее документы выпускать (issue) и выдавать (provisioning), для этого сейчас готовится еще один стандарт ISO 23220-3. Когда вы получаете обычный документ, вы делаете это лично. И если что-то пошло не так, то всегда можно будет найти тот ЦНАП, где документ был выдан и кого-нибудь из сотрудников посадить. Или вас за подделку документов. Но кто-то должен сесть. Это называется ответственность. Ради этого-то все и затевалось. Чтобы документам можно было доверять.
Так как "Дия не хранит данные" (что прямая ложь), то идентификацию они перекидывают на банки. Но функции банка сильно ограничены, банк рискует только заранее известной суммой денег, потому там используются пароли и СМС-ки. Для документов этого недостаточно, о чем прямо написано в стандарте (для банков по-хорошему тоже, но там еще есть службы безопасности, оценки рисков и возможные потери от мошенничества уже заложены в стоимость услуг). У Дии уже есть "кредит Людмилы" и "подпись Байдена", и это только самое начало, потому что сама архитектура broken by design, если конечно хипстерские рисунки на салфетках и видосики можно назвать "архитектурой".
Вся диевая дендро-фекальная конструкция: не выполняет свои основные функции, размывает доверие и ответственность, недокументирована и ни с чем не совместима. Не говоря уже о том, что министерство вместо того, чтобы трансформировать народное хозяйство, просто перенимает на себя функции других министерств.
Сейчас появились сертификаты вакцинации, хорошая штука (правила есть правила, не нравится, не ездите в ЕС). Есть eHealth (косой, кривой но уже есть). Дия-то тут причем? Проблемы с PKI ICAO? Так я могу подсказать где взять такой PKI. Загранпаспорта и внутренние ID-карты работают именно так. То есть что можно было сделать? Отказаться от чудес отечественной криптографии и начать пользоваться RSA/ECC, как и весь остальной мир (передовую науку можно оставить внутри гос. сектора, на подобие NSA Suite A). Прикрутить PKI к eHealth, где уже собраны необходимые данные и спокойно получать те самые сертификаты хоть в бумажном виде, хоть в цифровом. То что хочет сделать МЦТ - замкнуть все информационные потоки на себя, и построить мега-реестр, цифровой украинский гуглаг наподобие китайского. И так чтобы отвественных за неизбежные злоупотребления и ошибки нельзя было найти и привлечь к отвественности.
Так что там права в смартфоне, и тут права в смартфоне, но разница такая же, как между прототипом настоящего самолета и соломенным алтарем с тушонкой.
Сейчас появились сертификаты вакцинации, хорошая штука (правила есть правила, не нравится, не ездите в ЕС). Есть eHealth (косой, кривой но уже есть). Дия-то тут причем? Проблемы с PKI ICAO? Так я могу подсказать где взять такой PKI. Загранпаспорта и внутренние ID-карты работают именно так. То есть что можно было сделать? Отказаться от чудес отечественной криптографии и начать пользоваться RSA/ECC, как и весь остальной мир (передовую науку можно оставить внутри гос. сектора, на подобие NSA Suite A). Прикрутить PKI к eHealth, где уже собраны необходимые данные и спокойно получать те самые сертификаты хоть в бумажном виде, хоть в цифровом. То что хочет сделать МЦТ - замкнуть все информационные потоки на себя, и построить мега-реестр, цифровой украинский гуглаг наподобие китайского. И так чтобы отвественных за неизбежные злоупотребления и ошибки нельзя было найти и привлечь к отвественности.
Так что там права в смартфоне, и тут права в смартфоне, но разница такая же, как между прототипом настоящего самолета и соломенным алтарем с тушонкой.