Давеча, диевые хвастались тем, что у них теперь документы в "оффлайне" работают. То, что они называют документами - это такие же мурзилкины картинки, как те, за которые сейчас запорожскому пареньку пидорполиция статью лепит. Единственный работающий в оффлайне документ, который есть в дие - ковид-сертификат. Смеха добавляет то, что для того, чтобы им пользоваться, Дия - нахер не нужна.
Документ этот довольно специфический. Это - медицинская справка. Она не удостоверяет личность. Вы можете взять любой QR-код из своей ленты фейсбука, где люди хвастаются редким артефактом и предъявлять его налево и направо. Да, там написано не ваше имя, но и паспорт вы с собой носить не обязаны. Единственное место, где QR-коды можно полноценно проверить - аэропорт. А в ресторанах это даже вредно. Зачем из знать мое имя и дату рождения?
Сейчас европейский формат сертификатов (EUDCC) использует около сорока стран и я все жду, когда наконец-то потекут ключи или какая-нибудь из стран накосячит с числом "k" в ECDSA. И даже сейчас злоупотреблений никак не избежать. Если к бэкендам, которые подписывают сертификаты, есть доступ у сотен тысяч медиков, аптекарей и чиновников, то левые записи будут вносить все кому не лень. Если у вас попросят код в ТРЦ, покажите код Адольфа Гитлера
Документ этот довольно специфический. Это - медицинская справка. Она не удостоверяет личность. Вы можете взять любой QR-код из своей ленты фейсбука, где люди хвастаются редким артефактом и предъявлять его налево и направо. Да, там написано не ваше имя, но и паспорт вы с собой носить не обязаны. Единственное место, где QR-коды можно полноценно проверить - аэропорт. А в ресторанах это даже вредно. Зачем из знать мое имя и дату рождения?
Сейчас европейский формат сертификатов (EUDCC) использует около сорока стран и я все жду, когда наконец-то потекут ключи или какая-нибудь из стран накосячит с числом "k" в ECDSA. И даже сейчас злоупотреблений никак не избежать. Если к бэкендам, которые подписывают сертификаты, есть доступ у сотен тысяч медиков, аптекарей и чиновников, то левые записи будут вносить все кому не лень. Если у вас попросят код в ТРЦ, покажите код Адольфа Гитлера
👍1
Я уже несколько раз писал о том, как устроены цифровые подписи с технической точки зрения, но различные печальные заблуждения продолжают косить наши ряды. Технари, зачастую, не очень хорошо понимают политические, юридические и социальные последствия технологий, политики не очень понимают как это все работает, что не мешает им принимать заведомо расплывчатые законы (в расчете на то, что рыночек порешает). В Украине все усугубляется министерством цифровой трансформации, которое разбирается и в том, и в другом чуть менее, чем никак.
Начнем с привычных всем подписей, которые мы изображаем ручкой на бумаге. Подпись - не идентификация (кто вы), и не аутентификация (проверка подлинности), подпись - обещание одного человека другому. Информированное согласие с устанавливаемыми правилами и добровольность участия. Даже обычная мутноватая ксерокопия паспорта нужна не столько для того, чтобы подтвердить вашу личность, данные паспорта можно просто переписать от руки, а как доказательство того, что вы были в определенное время в определенном месте и добровольно дали сделать копию с уникального документа. И как только ксерокопии без надписи (время, место) поперек листа начинают гулять в Интернете весь ритуал теряет смысл.
Возьмем всеми любимую банковскую систему. К примеру, то что в API ПриватБанка называется "подписью транзакции", это не подпись, а код аутентификации сообщения, MAC: SHA1(K || M || K), где M - транзакция, а K - симметричный ключ. Если бы разработчики читали специальную литературу, то они бы конечно взяли HMAC: H(K || 0 || H(K || 1 || M)) вместо Envelope-MAC, но суть в том, что MAC аутентифицирует сообщения между устройством клиента и устройством банка. Так как арбитром по любым спорным транзакциям выступает сам банк, то нет необходимости в использовании цифровых подписей (non-repudability - возможность подтвердить истинность факта третьей стороне, или что то же самое - невозможность отказаться от своих обещаний). Третьей стороны тут нет.
Если вы когда-нибудь отправляли тысячу долларов в биткоинах на неправильный кошелек, то вы сразу поняли бы, что такое невозможность отказа, и то, что это совсем не то свойство, которое нам нужно. С точностью до наоборот, в той же самой банковской системе предусмотрены правила для отказа от транзакций и механизмы разделения ответственности, подкрепленные законами, регуляцией и договорными отношениями. То что в цифровом мире называется "невозможность отказа" (на самом деле невозможность подделать цифровую подпись, не имея ключа, приводит к тому, что вся ответственность достается клиенту, как с биткоинами)
После того, как минцирк попытался переложить вину за уродливую архитектуру Дии на юношу, который сделал игрушку для обмана продавцов, Макс Тульев предложил: а давайте, Дия вобще не будет ничего показывать, кроме QR-кода? Чтобы ей невозможно было пользоваться не проверив. Такой вариант, конечно подрывает теневую экономику в старших классах школы, но то что получится в результате - это, по-прежнему, не документ.
Документ (для идентификации) должен быть уникальным, на этом строятся подтверждения добровольности и личного участия (пример с ксерокопиями), документ связан с владельцем (фото, и то что владелец помнит как его зовут, место и дату рождения), его сложно подделать или клонировать. Желательно еще исключить возможность слежки и минимизировать данные.
Мобильный телефон не удовлетворяет ни одному из этих требований, потому в большинстве стран используются электронные документы (карточки), а не цифровые (Украина решила первой походить по граблям). Реестр же нужен для восстановления документов и выявления подделок, а не для того, чтобы сорить данными из него на каждом углу.
Этот небольшой пост, скорее приглашение к диалогу, потому что о типах доверия, инфраструктуре ключей и различных сценариях я могу вещать долго, и видимо придется это сделать, потому что когда я слышу о "документах в телефоне" или вижу, как минцирк навязывает юридически значимые цифровые подписи людям, которым они не нужны, и то как те подписи используются для "идентфикации", меня уже просто передергивает
Начнем с привычных всем подписей, которые мы изображаем ручкой на бумаге. Подпись - не идентификация (кто вы), и не аутентификация (проверка подлинности), подпись - обещание одного человека другому. Информированное согласие с устанавливаемыми правилами и добровольность участия. Даже обычная мутноватая ксерокопия паспорта нужна не столько для того, чтобы подтвердить вашу личность, данные паспорта можно просто переписать от руки, а как доказательство того, что вы были в определенное время в определенном месте и добровольно дали сделать копию с уникального документа. И как только ксерокопии без надписи (время, место) поперек листа начинают гулять в Интернете весь ритуал теряет смысл.
Возьмем всеми любимую банковскую систему. К примеру, то что в API ПриватБанка называется "подписью транзакции", это не подпись, а код аутентификации сообщения, MAC: SHA1(K || M || K), где M - транзакция, а K - симметричный ключ. Если бы разработчики читали специальную литературу, то они бы конечно взяли HMAC: H(K || 0 || H(K || 1 || M)) вместо Envelope-MAC, но суть в том, что MAC аутентифицирует сообщения между устройством клиента и устройством банка. Так как арбитром по любым спорным транзакциям выступает сам банк, то нет необходимости в использовании цифровых подписей (non-repudability - возможность подтвердить истинность факта третьей стороне, или что то же самое - невозможность отказаться от своих обещаний). Третьей стороны тут нет.
Если вы когда-нибудь отправляли тысячу долларов в биткоинах на неправильный кошелек, то вы сразу поняли бы, что такое невозможность отказа, и то, что это совсем не то свойство, которое нам нужно. С точностью до наоборот, в той же самой банковской системе предусмотрены правила для отказа от транзакций и механизмы разделения ответственности, подкрепленные законами, регуляцией и договорными отношениями. То что в цифровом мире называется "невозможность отказа" (на самом деле невозможность подделать цифровую подпись, не имея ключа, приводит к тому, что вся ответственность достается клиенту, как с биткоинами)
После того, как минцирк попытался переложить вину за уродливую архитектуру Дии на юношу, который сделал игрушку для обмана продавцов, Макс Тульев предложил: а давайте, Дия вобще не будет ничего показывать, кроме QR-кода? Чтобы ей невозможно было пользоваться не проверив. Такой вариант, конечно подрывает теневую экономику в старших классах школы, но то что получится в результате - это, по-прежнему, не документ.
Документ (для идентификации) должен быть уникальным, на этом строятся подтверждения добровольности и личного участия (пример с ксерокопиями), документ связан с владельцем (фото, и то что владелец помнит как его зовут, место и дату рождения), его сложно подделать или клонировать. Желательно еще исключить возможность слежки и минимизировать данные.
Мобильный телефон не удовлетворяет ни одному из этих требований, потому в большинстве стран используются электронные документы (карточки), а не цифровые (Украина решила первой походить по граблям). Реестр же нужен для восстановления документов и выявления подделок, а не для того, чтобы сорить данными из него на каждом углу.
Этот небольшой пост, скорее приглашение к диалогу, потому что о типах доверия, инфраструктуре ключей и различных сценариях я могу вещать долго, и видимо придется это сделать, потому что когда я слышу о "документах в телефоне" или вижу, как минцирк навязывает юридически значимые цифровые подписи людям, которым они не нужны, и то как те подписи используются для "идентфикации", меня уже просто передергивает
В кои-то веки в минцирке признали свою ошибку, не то, чтобы прямо признали, но начали исправлять ситуацию с выдачей сертификатов. Теперь никакие цифровые подписи для получения сертификата не нужны. По-хорошему, и "Дия" тоже не нужна. Генерацию сертификатов можно было изначально прикрутить к ЕСОЗ (где хранятся все необходимые данные) и выдавать их сразу после прививки, у "семейного" врача или на сайте МОЗ без регистрации даже, достаточно было бы имени и даты рождения (потому что других чувствительных данных в сертификате нет). Вместо этого они придумали три вида сертификатов (кроме EUDCC еще зачем-то есть внутренний с кодом, и международный без кода), и зачем-то впихнули туда говноподпись, которая там изначально не нужна. Все для того, чтобы навязать свое приложение как можно большему количеству людей. Но все-таки - лучше так, чем то безобразие с верчением головой. Спасибо
Мне уже самому надоело писать про Дія, и я думаю, что их научно-техническим творчеством должны заниматься психиатры, но тут история из серии "нарочно не придумаешь". Как раз в тот момент, когда столица начала обживаться в "красной зоне", а диевые проводят брифинг "Як спростили отримання COVID-сертифікатів у Дії", все просто рухнуло. Войти нельзя, сертификаты отсутствуют, тех. поддержки не было изначально.
Граждане плачут, ругаются в комментариях, но продолжают ставить к себе в телефон всякое говно. Я просто еще раз напомню о том, что международный сертификат вакцинации с QR-кодом (EUDCC) сделан так, что интернет ему не нужен. Сносите дию (это и полиции касается, Дия еще большее говно, чем ваши дырявые планшеты), храните и сканируйте коды приложениями вменяемых стран. К числу которых Украина к сожалению (пока) не относится
Граждане плачут, ругаются в комментариях, но продолжают ставить к себе в телефон всякое говно. Я просто еще раз напомню о том, что международный сертификат вакцинации с QR-кодом (EUDCC) сделан так, что интернет ему не нужен. Сносите дию (это и полиции касается, Дия еще большее говно, чем ваши дырявые планшеты), храните и сканируйте коды приложениями вменяемых стран. К числу которых Украина к сожалению (пока) не относится
Не перестаю удивляться одному очень распространенному заблуждению, которому одинаково подвержены люди всех возрастов. При столкновении с полицией люди думают, что если сейчас все честно-честно расскажут, то грубые неприятные люди, называющие себя "правоохранителями", все запишут, вытрут ноги о коврик и уйдут. Вы ведь ни в чем не виноваты? Это просто недоразумение. Кошмар закончится. Нет. Это так не работает.
Знакомьтесь, это Леха и ему семнадцать лет. Он наверное смотрел детективы, и совершенно точно слышал, как в фильмах копы зачитывают "миранду": "Вы имеете право хранить молчание. Всё, что вы скажете, может и будет использовано против вас в суде. Ваш адвокат может присутствовать при допросе. Если вы не можете оплатить услуги адвоката, он будет предоставлен вам государством. Вы понимаете свои права?" Но не обратил внимание, и зря.
В Украине тоже есть "миранда", статья Конституции номер 63. Если к вам как к Лехе заламываются тяжело вооруженные дармоеды, то эта статья - ваш лучший друг. Но почему так произошло? Если пришли, то ведь наверное есть тому причины? Леха пилил "фейковую Дию".
Это не то, чтобы очень хорошо, потому что с фейковой Дией всякие несознательные граждане обманывают проверки в транспорте, а несовершеннолетние покупают себе выпивку и сигареты (чем они, кстати, занимались во все времена и на всех континентах). Но "Хорошо" и "плохо" - это категории этические, для уголовно производства возмущения или одобрения недостаточно.
Почему это вобще возможно? Потому, что при проектировании Дии были допущены серьезные ошибки, и то что министерство цифровой трансформации называет документами, таковыми не является. Именно поэтому в США нет Дии, в Швейцарии нет Дии, и даже в Китае нет никакой Дии, потому что там люди понимают разницу между документами и веселыми картинками в говноприложении.
Так как МЦТ никогда не признавало и не признает своих ошибок, то бороться решили с помощью террора. Запугать всех, чтобы не повадно было диечку-красотулечку в мобилочке рисовать. Тем и занимаются при поддержке пидорполиции, и прочих нахлебников в тактических носках (за наш с вами счет). О чем бодренько рапортует глава национальной полиции https://www.facebook.com/iklymenko.fb/posts/307573611370951 Очень вкусная у вице-премьера жопа, нельзя не поцеловать.
Но даже мусора задумчиво чешут репу и не знают, что предъявить. В предыдущем подобном случае, они пытались натянуть статьи 190 (мошенничество), 358 (подделка документов) и 361 ч. 2 (взлом группой лиц). После того, как по сетям прошел батхерт, МЦТ решили сгладить неловкость ситуации и заявили, что позволят пареньку "искупить свою вину", работая на Минцифру. Такие мелочи как презумпция невиновности и то, что вину устанавливает суд, "этих" никогда не волновало.
Сейчас еще гуще. Второму фигуранту вначале попытались вменить 361-2 ("збут або розповсюдження інформації з обмеженим доступом"). При этом полиция, судя по всему, фильмы смотрит, потому что об этом они написали в телеграм-бот прямо с изъятого в ходе обыска телефона! (sic!), в чем я вижу превышение служебных и взлом. Потом, видимо поняли, что-то совсем уж не натягивается федоровская сова на глобус уголовного кодекса и переиграли на ст. 325 ("Порушення санітарних правил і норм") (sic!) Что такой же абсурд как и все остальное.
Господа, то что сейчас происходит - беззаконие и профанация. Михайло, оставь молодых людей в покое и отправляй своих галерников назад за чертежную доску. В таком виде Дія нежизнеспособна, и даже террор со стороны Кіберполіція не поможет. А вы на всякий случай запомните, если к вам стучится полиция - вам нужен адвокат, и вы имеете право сохранять молчание. Потому, что все что вы скажете будет тут же использовано в грязных политических играх задолго до суда
P.S. Леша. Если ты это читаешь - напиши мне.
Знакомьтесь, это Леха и ему семнадцать лет. Он наверное смотрел детективы, и совершенно точно слышал, как в фильмах копы зачитывают "миранду": "Вы имеете право хранить молчание. Всё, что вы скажете, может и будет использовано против вас в суде. Ваш адвокат может присутствовать при допросе. Если вы не можете оплатить услуги адвоката, он будет предоставлен вам государством. Вы понимаете свои права?" Но не обратил внимание, и зря.
В Украине тоже есть "миранда", статья Конституции номер 63. Если к вам как к Лехе заламываются тяжело вооруженные дармоеды, то эта статья - ваш лучший друг. Но почему так произошло? Если пришли, то ведь наверное есть тому причины? Леха пилил "фейковую Дию".
Это не то, чтобы очень хорошо, потому что с фейковой Дией всякие несознательные граждане обманывают проверки в транспорте, а несовершеннолетние покупают себе выпивку и сигареты (чем они, кстати, занимались во все времена и на всех континентах). Но "Хорошо" и "плохо" - это категории этические, для уголовно производства возмущения или одобрения недостаточно.
Почему это вобще возможно? Потому, что при проектировании Дии были допущены серьезные ошибки, и то что министерство цифровой трансформации называет документами, таковыми не является. Именно поэтому в США нет Дии, в Швейцарии нет Дии, и даже в Китае нет никакой Дии, потому что там люди понимают разницу между документами и веселыми картинками в говноприложении.
Так как МЦТ никогда не признавало и не признает своих ошибок, то бороться решили с помощью террора. Запугать всех, чтобы не повадно было диечку-красотулечку в мобилочке рисовать. Тем и занимаются при поддержке пидорполиции, и прочих нахлебников в тактических носках (за наш с вами счет). О чем бодренько рапортует глава национальной полиции https://www.facebook.com/iklymenko.fb/posts/307573611370951 Очень вкусная у вице-премьера жопа, нельзя не поцеловать.
Но даже мусора задумчиво чешут репу и не знают, что предъявить. В предыдущем подобном случае, они пытались натянуть статьи 190 (мошенничество), 358 (подделка документов) и 361 ч. 2 (взлом группой лиц). После того, как по сетям прошел батхерт, МЦТ решили сгладить неловкость ситуации и заявили, что позволят пареньку "искупить свою вину", работая на Минцифру. Такие мелочи как презумпция невиновности и то, что вину устанавливает суд, "этих" никогда не волновало.
Сейчас еще гуще. Второму фигуранту вначале попытались вменить 361-2 ("збут або розповсюдження інформації з обмеженим доступом"). При этом полиция, судя по всему, фильмы смотрит, потому что об этом они написали в телеграм-бот прямо с изъятого в ходе обыска телефона! (sic!), в чем я вижу превышение служебных и взлом. Потом, видимо поняли, что-то совсем уж не натягивается федоровская сова на глобус уголовного кодекса и переиграли на ст. 325 ("Порушення санітарних правил і норм") (sic!) Что такой же абсурд как и все остальное.
Господа, то что сейчас происходит - беззаконие и профанация. Михайло, оставь молодых людей в покое и отправляй своих галерников назад за чертежную доску. В таком виде Дія нежизнеспособна, и даже террор со стороны Кіберполіція не поможет. А вы на всякий случай запомните, если к вам стучится полиция - вам нужен адвокат, и вы имеете право сохранять молчание. Потому, что все что вы скажете будет тут же использовано в грязных политических играх задолго до суда
P.S. Леша. Если ты это читаешь - напиши мне.
👍4🔥1
"Румата миновал могилу святого Мики — седьмую по счету и последнюю на этой дороге".
Есть у нашей Служба безпеки хорошая традиция, где-то раз в полгода-год они "раскрывают" и "предотвращают" "атаки" со стороны одного из подразделений ФСБ "Gamaredon" (антивирусники их так окрестили в шутку из-за того, что страшные кибер-шпионы не справились с написанием слова "armageddon", и пропустили одну букву "d").
В последний раз изобличением говногедона СБУ занималось в апреле, после того, как фейсы нахлобучили департамент контрразведки СБУ. Жестко выебли тащем-то. Еще говногедон называют Primitive Bear (Bear потому что Россия, Китай к примеру - Panda), и неспроста, так как основной их инструмент CVE-2017-0199 - ошибка в майкрософт оффисе, из-за которой подтягивается внешний шаблон и сопли на Visual Basic.
И вы знаете, мне сегодняшний брифинг службы даже понравился. Потому что впервые они называют российских взломщиков поименно. Есть и недостатки. Во-первых, я почти уверен в том, что этой информацией СБУ располагает уже давно, а шансы на арест предателей и шпионов как были, так и остались нулевыми. Во-вторых, странное распределение ролей. Было бы логично, если бы Служба сказала - мы нашли, прокуратура - мы подали их в розыск, МИД - мы заявили ноту протеста РФ.
Кроме того, я считаю, что если цель российских шпионов - гос. учреждения, то мы имеем право знать какие именно. И что они сделали в этой связи, как улучшили свою безопасность. Даже если это пиар, связанный с переделом власти внутри СБУ, то что я могу сказать, побольше бы такого пиара
Есть у нашей Служба безпеки хорошая традиция, где-то раз в полгода-год они "раскрывают" и "предотвращают" "атаки" со стороны одного из подразделений ФСБ "Gamaredon" (антивирусники их так окрестили в шутку из-за того, что страшные кибер-шпионы не справились с написанием слова "armageddon", и пропустили одну букву "d").
В последний раз изобличением говногедона СБУ занималось в апреле, после того, как фейсы нахлобучили департамент контрразведки СБУ. Жестко выебли тащем-то. Еще говногедон называют Primitive Bear (Bear потому что Россия, Китай к примеру - Panda), и неспроста, так как основной их инструмент CVE-2017-0199 - ошибка в майкрософт оффисе, из-за которой подтягивается внешний шаблон и сопли на Visual Basic.
И вы знаете, мне сегодняшний брифинг службы даже понравился. Потому что впервые они называют российских взломщиков поименно. Есть и недостатки. Во-первых, я почти уверен в том, что этой информацией СБУ располагает уже давно, а шансы на арест предателей и шпионов как были, так и остались нулевыми. Во-вторых, странное распределение ролей. Было бы логично, если бы Служба сказала - мы нашли, прокуратура - мы подали их в розыск, МИД - мы заявили ноту протеста РФ.
Кроме того, я считаю, что если цель российских шпионов - гос. учреждения, то мы имеем право знать какие именно. И что они сделали в этой связи, как улучшили свою безопасность. Даже если это пиар, связанный с переделом власти внутри СБУ, то что я могу сказать, побольше бы такого пиара
👍1
Посмотрел панельку "Безпечна та доступна цифрова держава. Міф чи реальність?" https://youtu.be/wKSrKodzBSk Во второй части дискуссия пошла гораздо живее. И меня заинтересовал ответ заместителя госспецсвязи по поводу "Байдена Джо".
Если кто-то забыл, то в июне месяце Vitaliy написал петицию президенту о немедленном увольнении мусорского чорта Татарова. Петиция бодро набирала голоса. И вместо того, чтобы ответить что-то в духе "ваше мнение очень важно для нас", какашкин домик на Банковой развил бурную деятельность, чтобы найти какие-нибудь нарушения в ходе голосования. И наконец-то под петицией появился голос "Байдена Джо" 1942 года рождения.
Дело в том, что если раньше на сайте петиций мог регистрироваться кто попало, то к моменту обайденения, залогиниться можно было исключительно через ІСЕІ МЦТ - это та же самая точка входа, которую использует Дия.
Там есть несколько вариантов - или цифровая подпись, или Bank ID. Фальшивый "Байден" зашел с помощью цифровой подписи Приватбанка. К Привату претензий нет, он тут жертва. Все это безобразие, естественно, ставит под угрозу все без исключения интернет-сервисы державы. Если можно заверить ключи "Байдена Джо", то значит таким же способом можно получить сертификаты на любое имя.
И началась олимпиада лжи. "Дорогостоящие хакерские атаки". "Манипуляции с ключами", а теперь ложь оформилась в более связную концепцию, которую озвучил пан Потий.
Якобы софт, который использует ІСЕІ, содержал в себе уязвимость, и сертификаты X.509 проверялись по какой-то "упрощенной схеме", что и позволило неизвестным идентифицироваться под чужим именем на сайте петиций. Но такой "подписью" ничего нельзя подписать, потому что она использовалась для идентификации, а не для подписания документов. Я сейчас переведу техно-бла-бла-бла на понятный язык.
Все очень просто. Цифровая подпись состоит из двух ключей - открытого и закрытого. Так как нигде на цифрах не написано, что они ваши, то эти цифры нужно с вами как-то связать. Для этого нужен сертификат - цифровой документ, в котором написано, что открытый ключ X, принадлежит гражданину Biden Joe РНОКПП 1566450018. Данные подписаны секретным ключом АЦСК Приватбанк, который мамой клянется, что проверил паспорт у простого украинского пенсионера по имени Джо и все данные внесены правильно. Проверка ДССЗЗІ никаких нарушений в работе АЦСК ПБ не нашла.
Как происходит идентификация с помощью цифровой подписи? Алиса загружает сертификат открытого ключа, и Боб должен проверить подпись АЦСК, и убедиться в том, что ключ не был отозван. Но открытый ключ на то и открытый, что его незачем скрывать, поэтому Алиса должна доказать Бобу, что она знает парный секретный ключ. Боб придумывает случайное число и посылает его Алисе. Алиса подписывает случайное число своим секретным ключом и отсылает его назад Бобу. Это и есть доказательство того, что Алиса знает секретный ключ. Боб проверяет подпись с помощью открытого ключа Алисы.
Так что, про невозможность "подписать что-нибудь" ключом "Байдена" - это просто вранье. Вы либо знаете секретный ключ, либо нет.
Пан Потий, уязвимости в государственных системах - это работа как раз для CERT-UA и Державна служба спеціального зв'язку та захисту інформації. Так уж сложилось, что я инстинктивно не доверяю словам чиновников, особенно когда они прикрываются техническими аббревиатурами мало понятными широкому кругу граждан. Уязвимость, говорите? Исправлена, говорите? Покажите ее. Где была уязвимость? Как она была исправлена? Дифф сюда. Это ведь не только ІСЕІ касается. Я в достаточной степени знаком с математикой и программированием, чтобы оценить проделанную работу.
Если кто-то забыл, то в июне месяце Vitaliy написал петицию президенту о немедленном увольнении мусорского чорта Татарова. Петиция бодро набирала голоса. И вместо того, чтобы ответить что-то в духе "ваше мнение очень важно для нас", какашкин домик на Банковой развил бурную деятельность, чтобы найти какие-нибудь нарушения в ходе голосования. И наконец-то под петицией появился голос "Байдена Джо" 1942 года рождения.
Дело в том, что если раньше на сайте петиций мог регистрироваться кто попало, то к моменту обайденения, залогиниться можно было исключительно через ІСЕІ МЦТ - это та же самая точка входа, которую использует Дия.
Там есть несколько вариантов - или цифровая подпись, или Bank ID. Фальшивый "Байден" зашел с помощью цифровой подписи Приватбанка. К Привату претензий нет, он тут жертва. Все это безобразие, естественно, ставит под угрозу все без исключения интернет-сервисы державы. Если можно заверить ключи "Байдена Джо", то значит таким же способом можно получить сертификаты на любое имя.
И началась олимпиада лжи. "Дорогостоящие хакерские атаки". "Манипуляции с ключами", а теперь ложь оформилась в более связную концепцию, которую озвучил пан Потий.
Якобы софт, который использует ІСЕІ, содержал в себе уязвимость, и сертификаты X.509 проверялись по какой-то "упрощенной схеме", что и позволило неизвестным идентифицироваться под чужим именем на сайте петиций. Но такой "подписью" ничего нельзя подписать, потому что она использовалась для идентификации, а не для подписания документов. Я сейчас переведу техно-бла-бла-бла на понятный язык.
Все очень просто. Цифровая подпись состоит из двух ключей - открытого и закрытого. Так как нигде на цифрах не написано, что они ваши, то эти цифры нужно с вами как-то связать. Для этого нужен сертификат - цифровой документ, в котором написано, что открытый ключ X, принадлежит гражданину Biden Joe РНОКПП 1566450018. Данные подписаны секретным ключом АЦСК Приватбанк, который мамой клянется, что проверил паспорт у простого украинского пенсионера по имени Джо и все данные внесены правильно. Проверка ДССЗЗІ никаких нарушений в работе АЦСК ПБ не нашла.
Как происходит идентификация с помощью цифровой подписи? Алиса загружает сертификат открытого ключа, и Боб должен проверить подпись АЦСК, и убедиться в том, что ключ не был отозван. Но открытый ключ на то и открытый, что его незачем скрывать, поэтому Алиса должна доказать Бобу, что она знает парный секретный ключ. Боб придумывает случайное число и посылает его Алисе. Алиса подписывает случайное число своим секретным ключом и отсылает его назад Бобу. Это и есть доказательство того, что Алиса знает секретный ключ. Боб проверяет подпись с помощью открытого ключа Алисы.
Так что, про невозможность "подписать что-нибудь" ключом "Байдена" - это просто вранье. Вы либо знаете секретный ключ, либо нет.
Пан Потий, уязвимости в государственных системах - это работа как раз для CERT-UA и Державна служба спеціального зв'язку та захисту інформації. Так уж сложилось, что я инстинктивно не доверяю словам чиновников, особенно когда они прикрываются техническими аббревиатурами мало понятными широкому кругу граждан. Уязвимость, говорите? Исправлена, говорите? Покажите ее. Где была уязвимость? Как она была исправлена? Дифф сюда. Это ведь не только ІСЕІ касается. Я в достаточной степени знаком с математикой и программированием, чтобы оценить проделанную работу.
Вышло интервью Федорова, где он наговорил массу всяких интересных вещей, но вот эта фраза мне понравилась особенно. Я уже несколько раз об этом говорил, но мне не лень повторить. Есть два подхода к проверке документов. Первый условно "китайский". Вся информация хранится в мега-реестре, и вам частенько документы не нужны, вы просто широко улыбаетесь Большому Брату и он вас идентифицирует. Неверных чиновников расстреливают на стадионах. Второй, условно европейский. Вы показываете неотслеживаемый, работающий в оффлайне документ, и это обязанность проверяющего убедиться в том, что документ подлинный и принадлежит вам. Тех кто подделывает документы сажают в тюрьму. Реестры разделены и огорожены, и "я только посмотреть" недостаточно. Нужен need-to-know, причина обращения. И только диевые в своей бесконечной наивности (переходящей в кретинизм) умудрились совместить недостатки обоих подходов. Если вы хотите, как в Китае, то вам не нужна Дия - патрульный просто пробьет номер через мусорскую базу. Если вы хотите, как в Европе, то вам не нужна Дия, вам нужен нормальный цифровой (или электронный) документ, способный работать в оффлайне. Если вы не понимаете разницу, то вас ждет отличная карьера в министерстве цифровой трансформации.
Каждый год, уже десять лет подряд, "товарищ майор" пытается запустить свои грязные ручонки в наш Интернет.
Чтобы блокировать неприятные публикации, чтобы предъявлять пидозры за невосторженный образ мыслей о величайших лидорах. Чтобы шпионить за собственным народом. Чем только держава не пытается объяснить свое неуемное "хочу все знать" - борьба с контрабандой и пропагандой, мошенничеством и даже общественной моралью во главе со ткачечным министерством культуры.
В этот раз, очередной выхлоп законотворческой мысли под номером "3196-д". Изменения к закону про Служба безпеки України. "здійснювати на підставі рішення суду тимчасове обмеження доступу до визначених інформаційних ресурсів" Что не понятно? Чтобы как "на россии" - крепкая державная рука в интимных местах.
Я не питаю иллюзий по поводу моносброда, примут и не такое. Поэтому ровно год назад мы, Ukrainian Cyber Alliance начали небольшой некоммерческий проект по противодействию цензуре и прослушке https://cyber.org.ua/vpn.html Мы даем неограниченный доступ к свободному Интернету. Бесплатно. Логи не ведем.
Чем больше людей научатся обходить ограничения, тем лучше. Если вы это читаете, то вы и есть - сопротивление.
(и вы можете нам в этом помочь - в первом комментарии, и за репосты тоже спасибо)
Чтобы блокировать неприятные публикации, чтобы предъявлять пидозры за невосторженный образ мыслей о величайших лидорах. Чтобы шпионить за собственным народом. Чем только держава не пытается объяснить свое неуемное "хочу все знать" - борьба с контрабандой и пропагандой, мошенничеством и даже общественной моралью во главе со ткачечным министерством культуры.
В этот раз, очередной выхлоп законотворческой мысли под номером "3196-д". Изменения к закону про Служба безпеки України. "здійснювати на підставі рішення суду тимчасове обмеження доступу до визначених інформаційних ресурсів" Что не понятно? Чтобы как "на россии" - крепкая державная рука в интимных местах.
Я не питаю иллюзий по поводу моносброда, примут и не такое. Поэтому ровно год назад мы, Ukrainian Cyber Alliance начали небольшой некоммерческий проект по противодействию цензуре и прослушке https://cyber.org.ua/vpn.html Мы даем неограниченный доступ к свободному Интернету. Бесплатно. Логи не ведем.
Чем больше людей научатся обходить ограничения, тем лучше. Если вы это читаете, то вы и есть - сопротивление.
(и вы можете нам в этом помочь - в первом комментарии, и за репосты тоже спасибо)
У ФБР есть подразделение CJIS (Criminal Justice Information Service), оно поддерживает портал LEEP (Law Enforcement Enterprise Portal), в нем есть учетки EIMS (Enterprise Identification and Management Service). Единственное о чем забыли во всем этом федеральном разнобуквии, так это о том, что не стоит передавать данные для отправки письмом через спрятанные поля формы на сайте. Конец был немного предсказуем. Pompompurin который и нашел все это великолепие разлослал тысячи писем о несуществующей угрозе от имени ФБР и DHS. Прямо с адреса eims@ic.fbi.gov Смешная и поучительная история 🙂
🔥1
Пролистываю машинально забордюрные инфопомойки, и там иногда появляется смешное. Пару недель назад канал "Дырявый Шутник", за неименеем чего получше, выдал на гора список украинских мусоров, на тринадцать тысяч голов, якобы переданный ему ̶ф̶а̶к̶е̶р̶с̶к̶о̶й̶ ̶т̶р̶у̶п̶п̶о̶й̶ "хакерской группой" "Апотома" (мне хоть отрезок, хоть остаток - один хрен). Что я могу сказать, ни цитаты из "мистера Робота", ни прочие ужимки и прыжки не могут скрыть того простого факта, что список заскреплен с сайта деклараций НАЗК, с точностью до ошибок, "інспектор з ювінальної привенції" (sic!). Чорная хекерная магия нужна для того, чтобы легендировать еще более лютую дичь про байрактары. Но смешно, да. Аха-ха-ха-ха....
👍1
(* Disclaimer. Ни один из героев этого рассказа не является вымышленным, а описываемые в нем события основаны на больных фантазиях автора, полностью подкрепленных реальностью и нотариально заверенными скриншотами. Примечание для редактора - в слове "тсарких" нет опечатки, потому что дипломатическую переписку нужно сливать, а не читать *) Уволенный с позором рядовой Челси Меннинг, что было нескрываемым предметом их гордости, задумчиво почесыва...
... Уволенный с позором рядовой Челси Меннинг, что было нескрываемым предметом их гордости, задумчиво почесывала остаточный признак патриархального гнета и раздумывала о том, как именно они сегодня будут бороться против бездушной системы капиталистического потребления. Для скромного перекуса из маленьких пряных кексиков с тмином и куриных крылышек в сливочно-сливовом соусе еще слишком рано и они со вздохом закрыли дверцу холодильника. От горестных мыслей о фигуре их отвлек звонок в дверь. "Вам посылка, миз Меннинг", - курьер протянул планшетку с квитанцией для подписи с такой простодушной улыбкой, что они тут же простили ему латентную трансэксклюзивность традиционных обращений. Посылка манила слоганом известной компании "Be gay - hack things". Радужный череп с костями с логотипа как будто бы подмигивал цветами, кокетливо вставленными в глазницы. Приехал новый джойстик, огромный, с набухшими прожилками проводов, переливающийся всем разнообразием палитры - от жесткого в своей беспощадной наготе бежево-персикового до нежного оттенка кораллового облака, обеспечивающий, как обещала реклама, самое глубокое подключение и полный оперативный контроль. Рядом с игровой консолью стояло седло консенсуальной реальности. Челси серьезно относилась к классикам победившего киберпанка, и считала себя коугел интернета (или коузей тоже звучит неплохо), который бездушные корпорации и правительства помешанные на войне чуть не превратили в следящую машину ненависти. Седло из настоящей кожи тсарских колониалистов протерто до блеска. По уверениям продавца с ибея оно принадлежало легендарному полевому командиру Чапаеву, и приехало в Нью-Йорк из такой загадочной и манящей своими заснеженными просторами России... Челси вставила джойстик в специальное углубление в середине седла и начала деловито подключать обновку к консоли, сверяясь с инструкцией, и забыв обо всем на свете. Телевизор с приглушенным звуком круглосуточно транслировал Фокс Ньюс - врага нужно знать в лицо, и сейчас канал показывал одно из самых неприятных своих лиц. Челси прибавила громкость. Такер Карлсон завывал, как десять телепроповедников мертвого бога белых штакетников и одноэтажных пригородов. Его мимика напоминала бритую наодеколоненную обезьяну, вылавливающую жирных блох в чумном дискурсе белого супремасизма. "Деплатформить бы тебя нахуй, ебаная ты фашистская блядина, а лучше расстрелять...", - добродушно подумала Челси и тут что-то у нее внутри оборвалось. Миленькие и такие уютные мысли о том, как рассерженные анонимусы умственного труда тащат упирающего и визжащего от ужаса Карлсона к месту освобождения пролетарского либидо - как ветром сдуло. Рядом с Такером в качестве приглашенного гостя появился Глен! Её Глен! И что он творит! Глен широко улыбаясь, начал рассказывать, как погрязшее в политической коррупции демократическое правительство, использует Агентство Национальной Безопасности для слежки за альтернативо-правой оппозицией вобще и Карлсоном в частности. Его темные глаза заблестели нескрываемой радостью невесты дождавшейся давно обещанной свадьбы. Такер в четко отмеренных паузах всплескивал руками в притворном страхе, и добавлял одобрительные комментарии: "Неужели?!.. Да, что вы говорите!.. Возмутительно!.." Карлсон жертва?! Сквозь гул в ушах, в травмированное сознание Челси прорвалась заключительная фраза ведущего: "с нами был Глен Гринвальд, эксперт по незаконной глобальной слежке, а теперь к другим новостям..." Челси вскочила в седло и открыла личные сообщения. Как! Ты! Мог!? Как тебе вобще пришло в голову появиться рядом с этим неонацистом?
... Уволенный с позором рядовой Челси Меннинг, что было нескрываемым предметом их гордости, задумчиво почесывала остаточный признак патриархального гнета и раздумывала о том, как именно они сегодня будут бороться против бездушной системы капиталистического потребления. Для скромного перекуса из маленьких пряных кексиков с тмином и куриных крылышек в сливочно-сливовом соусе еще слишком рано и они со вздохом закрыли дверцу холодильника. От горестных мыслей о фигуре их отвлек звонок в дверь. "Вам посылка, миз Меннинг", - курьер протянул планшетку с квитанцией для подписи с такой простодушной улыбкой, что они тут же простили ему латентную трансэксклюзивность традиционных обращений. Посылка манила слоганом известной компании "Be gay - hack things". Радужный череп с костями с логотипа как будто бы подмигивал цветами, кокетливо вставленными в глазницы. Приехал новый джойстик, огромный, с набухшими прожилками проводов, переливающийся всем разнообразием палитры - от жесткого в своей беспощадной наготе бежево-персикового до нежного оттенка кораллового облака, обеспечивающий, как обещала реклама, самое глубокое подключение и полный оперативный контроль. Рядом с игровой консолью стояло седло консенсуальной реальности. Челси серьезно относилась к классикам победившего киберпанка, и считала себя коугел интернета (или коузей тоже звучит неплохо), который бездушные корпорации и правительства помешанные на войне чуть не превратили в следящую машину ненависти. Седло из настоящей кожи тсарских колониалистов протерто до блеска. По уверениям продавца с ибея оно принадлежало легендарному полевому командиру Чапаеву, и приехало в Нью-Йорк из такой загадочной и манящей своими заснеженными просторами России... Челси вставила джойстик в специальное углубление в середине седла и начала деловито подключать обновку к консоли, сверяясь с инструкцией, и забыв обо всем на свете. Телевизор с приглушенным звуком круглосуточно транслировал Фокс Ньюс - врага нужно знать в лицо, и сейчас канал показывал одно из самых неприятных своих лиц. Челси прибавила громкость. Такер Карлсон завывал, как десять телепроповедников мертвого бога белых штакетников и одноэтажных пригородов. Его мимика напоминала бритую наодеколоненную обезьяну, вылавливающую жирных блох в чумном дискурсе белого супремасизма. "Деплатформить бы тебя нахуй, ебаная ты фашистская блядина, а лучше расстрелять...", - добродушно подумала Челси и тут что-то у нее внутри оборвалось. Миленькие и такие уютные мысли о том, как рассерженные анонимусы умственного труда тащат упирающего и визжащего от ужаса Карлсона к месту освобождения пролетарского либидо - как ветром сдуло. Рядом с Такером в качестве приглашенного гостя появился Глен! Её Глен! И что он творит! Глен широко улыбаясь, начал рассказывать, как погрязшее в политической коррупции демократическое правительство, использует Агентство Национальной Безопасности для слежки за альтернативо-правой оппозицией вобще и Карлсоном в частности. Его темные глаза заблестели нескрываемой радостью невесты дождавшейся давно обещанной свадьбы. Такер в четко отмеренных паузах всплескивал руками в притворном страхе, и добавлял одобрительные комментарии: "Неужели?!.. Да, что вы говорите!.. Возмутительно!.." Карлсон жертва?! Сквозь гул в ушах, в травмированное сознание Челси прорвалась заключительная фраза ведущего: "с нами был Глен Гринвальд, эксперт по незаконной глобальной слежке, а теперь к другим новостям..." Челси вскочила в седло и открыла личные сообщения. Как! Ты! Мог!? Как тебе вобще пришло в голову появиться рядом с этим неонацистом?