«Небывалый простор для мошенничества». Как уязвимость закона разрушает сделки с электронной подписью

Показательно казнить мошенников - через месяц мошенничеств не будет. Остальные меры - бесполезны.

Что значит можно скопировать и что значит флешка это токен с определенным количеством контейнеров, в которых могут храниться ЭЦП. Т.е. это не совсем флешка и не все токены позволяют копировать саму ЭЦП. Более того, доступ к ЭЦП можно защитить паролем, ну и саму ЭЦП не выпускать на конкрентном токене. В плане защиты, узкое место - это удостоверяющие центры, там много неквалифицированного персонала, а главное пренебрегающего мерами безопасности и нарушающего протоколы по удостоверению личности.

Ну, если появится место, где будут светиться ВСЕ созданные мной ЭЦП - это хорошо. Когда ипотеку оформлял "Зеленый" безбанк категорически отказался использовать наличествующую электронную подпись (тогда на Медедевской УЭК) и содрал лишний тыр (крахоборы!!!) за выпуск собственной. И еще несколько раз с подобным сталкивался. Т.е. подпись создавалась ровно для подписания одного документа. При этом я в глаза не видел ничего, кроме СМС с кодом. И позиция "Колхоз дело добровольное - хочешь вступай, не хочешь расстреляем" повсеместна. Я бы хотел иметь ОДНУ подпись и ей пользоваться. Так вот именно за это и стоит бороться. Стучать по рукам всем, кто настоятельно требует использования собственной ЭЦП. Вплоть до закрытия с огромным штрафом. И не надо будет столько. А еще лучше увязать ЭЦП и ИНН. Вот тогда вообще вопросов нет. Один налогоплательщик - одна ЭЦП.

Ну учитывая как сливаются базы клиентов с того же сбера через тех же нищеватых сотрудников на которых греф жабится - то тут я думаю вообще все расцветет махровым центром мошенничества.

Давайте откровенно : государство в лице нескольких человек поощряет мошенничество на стадии выборов, причём всех ветвей власти. Как в таком случае бороться с мошенничеством "на земле"? Кто знает рецепт?

1. Стоимость подписи = 900 рублей, носитель не является необходимостью. Криптографическое средство покупать необязательно, на три месяца его можно устанавливать бесплатно.
2. Криптографический контейнер защищен паролем, простое копирование "в лоб" его вскрыть не поможет. Мало того, по истечении 10 попыток ввода неправильного пароля КриптоПро еще и "уничтожит" контейнер.
3. Защищенный контейнер вполне можно хранить в облаке, лишь бы пароль был помощнее, а не стандартный 12345678.
4. Если человек сам поделился своей КЭП с кем-то другим, то он сам - дурак. Мог бы сразу в виде денег отдать все имущество.

Существующая схема КЭП в принципе не может ничего гарантировать:
1) Нет запрета на любые варианты генерирования закрытого ключа кроме как внутри криптоносителя с невозможностью экспорта. Сейчас КЭП часто генерируется удостоверяющим центром и копируется на носитель типа "флешка с паролем"
2) Вместо смарт-карт работающих через считыватель с пин-клавиатурой используются usb устройства пароль к которым похищается вирусами
3) Подпись/шифрование осуществляется программно, а не внутри крипто-чипа смарт-карты
4) Фактически невозможно мгновенно узнать о подписях выданных в сотнях УЦ
5) Можно получить больше одной подписи
6) Придуманы ОИДы на разные виды деятельности хотя они ненужны
7) Сложно ожидать от значительной части текущих УЦ надёжной идентификации получателя подписи. Проблемно взыскать убытки за ошибочно выданную подпись.

Почему бы сотрудникам ФСБ не премировать инспекторов ФНС, которые ежемесячно бьются за победу в соцсоревновании "подделай ЭЦП сдай уточненный "нулевой" НДС". На этой схеме государство в лице федерального бюджета уже потеряло не один триллион рублей. В конце концов все это рано или поздно всплывет грандиозным скандалом и напомнит громкие дела позднего СССР....

Любопытно, а что будет, если произойдет очень мощная вспышка на Солнце, или на Россией произойдет высотный ядерный взрыв. Тогда не станет не только компьютеров, но и электричества. Как тогда доказать стаж или право собственности, если они были электронными. Безмозглость однако.

> ЭП — это самая обыкновенная флешка ...

Начнем с того, что сегодня файлы с ЦП устарели и уже существуют сотни разных USB токенов, а это уже специальное USB устройство где есть свой процессор и ключи записаны в защищенную область памяти (в специальный чип) и мало того что их оттуда не получить (в протоколе токена нет операции чтения ключа), так еще и может быть необходимо ввести еще и одноразовый пароль пришедший для разблокировки этого устройства.

Сегодня популярность набирают различные USB FIDO токены с прошитым заранее ключем обращающиеся к самому удостоверяющему центру, а тот требует подтверждения у пользоватлея в мобильном.

Технический полным полно удобных механизмов, но понимаете люди сами использутют сатрый формат ЭЦП и сохраняют файлы куда-то непойми куда и т.д.