Salus populi suprema lex (988) (don_katalan) wrote,
Salus populi suprema lex (988)
don_katalan

Categories:

нас ждут неиллюзорные проблемы

Roman Khimich
Истосковавшись по новостям, а желательно и сенсациям, масс-медиа разгоняют перемогу, подавая в этом качестве меморандум о выполнении пунктов чего-то там, с помпой подписанный в Мариуполе. Как по мне, это сугубо декларативный документ, основной задачей которого было продемонстрировать способность НКРСИ оправдать доверие Партии и лично дорогого Руководителя, представив к ноябрьским….тьфу… к началу ноября долгожданное соглашение о судьбе 900 МГц диапазона.

Ни один из значимых аспектов не только не прояснён, но даже не определены, во-первых, критерии, которыми должен руководствоваться регулятор в процессе принятие решений. Во-вторых, нет никаких гарантий того, что благопожелания участников процесса смогут, наконец, воплотиться в жизнь. По большому счёту, радоваться, по-прежнему, нечему. Операторы ещё раз задекларировали своё искреннее категорическое желание договориться, но как именно и когда - остаётся неизвестным. Ах, да, назван срок 1 июля 2020 года, до которого вроде бы действует соглашение. Что будет, если оно сорвётся или не будет достигнуто до этой даты - остаётся неизвестным.

К сожалению, на этом фоне легко теряются события, которые, во-первых, имеют статус актуальных решений органов власти, а не их намерений. Во-вторых, имеют всеобъемлющий характер, с которым рискует столкнуться буквально каждый из нас. Наконец, в-третьих, в этих решениях присутствует вполне выраженный деструктивный потенциал. С которым, опять-таки, рискуем столкнуться все мы.

Меня сейчас, в первую очередь, беспокоят идеи, которыми фонтанирует новый министр Кабинета министров Дмитрий Дубилет. В силу каких-то причин он считает электронную цифровую подпись и родственные ей цифровые доверительные инструменты (отметку времени, BankID и т.п.) чем-то вроде серебряной пули, способной истребить сонмы коррупционеров, рейдеров и прочих упырей.

Зримым проявлением этой веры во всемогущество цифровых инструментов стал принятый 30 октября закон № 207-IX касательно электронного документооборота, связанного с законодательным процессом.

https://w1.c1.rada.gov.ua/pls/zweb2/webproc4_1?pf3511=66283

Согласно этого закона "в Регламент Верховной Рады внесены изменения, согласно которым законопроекты и сопроводительные документы подаются не в письменном виде, а создаются в единой автоматизированной системе и подаются в форме оригиналов электронных документов с квалифицированной электронной подписью субъекта законодательной инициативы.

Предложения, поправки, заключения к законопроектам подаются аппарату Верховной Рады или непосредственно главным комитету или временной специальной комиссии в форме оригиналов электронных документов, созданных в единой автоматизированной системе, с квалифицированной электронной подписью.

Относительно каждого законопроекта, включенного в повестку дня в единой автоматизированной системе ведется электронное дело".

Пояснения самого г-на Дубилета здесь:

https://www.facebook.com/dubilet/posts/10157843398863552

https://www.facebook.com/dubilet/posts/10157845917223552

Последние полгода я плотно занимаюсь проблематикой цифровых доверительных услуг, имел желание пощупать материал, вложить, так сказать, перста в язвы и нахожу уместным публично и категорично заявить о наличии значимых рисков при попытке завязать любые сколь-нибудь серьёзные правоотношения на цифровые инструменты. Настолько значимых, что впору говорить о несвоевременности подобных шагов.

Приходится говорить о том, что государство допустило аццкий бардак, масштабы которого невозможно представить, пока не начинаешь его целенаправленно изучать.

Почему неуместны надежды г-на Дубилета сотоварищи на то, что использование цифровых инструментов позволит, с одной стороны, снизить накладные расходы на традиционный документооборот, при этом, с другой, устранить риски подлога документов, манипуляции с ними и прочие махинации?

Дело в том, что в конкретно-исторических условиях Украины наличие ЭЦП само по себе ничего не гарантирует.

Для начала органы власти уже успели отметиться изготовлением подложных ключей для ЭЦП. Подложных в данном случае означает полнофункциональных, но выданных на руки не тому человеку, чьё имя значилось в сертификате, а кому-то другому, что категорически запрещено. Причём изготовило и выдало подделку не абы кто, а дочернее предприятие Госспецсвязи, такие себе "Інформаційні спеціальні системи". А жертвой этой истории стал не абы кто, а нынешний генпрокурор Руслан Рябошапко. Прикольно, да?

Самое прикольное то, что никто не то что не был посажен или с треском уволен, доблестная Госспецсвязь вообще не проводила расследование этого вопиющего случая. Хотя прошло уже три года и пострадавший, напомню, уже стал гепрокурором. Кстати, его эта история, похоже, также не очень впечатлила. Ну выдали кому-то его, Рябошапки, ключи, и шо?

Далее, при генерации новых ключей уже много лет имеет место проблема идентификации заявителя. Я был поражён до глубины души, когда узнал недавно, что даже нотариусы, даже ГОСУДАРСТВЕННЫЕ нотариусы не имеют доступа к Государственному же демографическому реестру, который администрирует Государственная миграционная служба. Это означает, что если злоумышленники предъявляют качественно изготовленную подделку - чужой паспорт с аккуратно вклеенной фотографией или целиком сфальсифицированный документ, - у сотрудников т.н. центров сертификации нет возможности выявить подлог. Они не могут банально сличить серию и номер паспорта и, самое главное, эталонное изображение удостоверяемого лица. Вместо этого они выдадут ключи не тому человеку, на которого ключи номинально оформлены. Со всеми вытекающими последствиями.

Наконец, в Украине до сих пор государство разрешает использовать для создания квалифицированной, т.е. наиболее защищённой, юридически значимой электронной подписи разного рода суррогаты. Речь идёт о том, что согласно европейских регламентов ключи для квалифицированной электронной подписи (КЭП) должны храниться ИСКЛЮЧИТЕЛЬНО на защищённых носителях. Такие носители физически не допускают копирования ключей, каковое копирование носит в Украине массовый характер. Примером защищённых носителей являются, например, MobileID.

Год назад в связи с принятием закона "О доверительных услугах" суррогатные носители ключей КЭП были, наконец, поставлены вне закона. Был установлен переходный период в один год, по окончании которого оформление суррогатных ключей для КЭП должно быть запрещено. Казалось бы, ну и слава богу, лучше поздно, чем никогда. Однако дигитализаторы, в том числе и Дмитрий Дубилет, недавно принялись обсуждать возможность продлить переходный период ещё на пару-тройку лет.

Обоснование продления подкупает своей простотой: люди просють. Да, люди привыкли, что носители для ключей ничего не стоят (а цены на защищённые носители начинаются от 450 грн), сами ключи можно невозбранно копировать, чтобы отдать копии бухгалтеру или таможенному брокеру. Вопрос безопасности или правомочности людей не парит. Как не парит других, но очень похожих людей почему государство обязано обеспечить им валютные вклады не по текущему курсу, а по восемь гривен за доллар. Почему государство обязано пойти навстречу их желанию ездить на убитых в хлам, чадящих колымагах.

Впрочем, даже если власти не прогнутся и переходный период завершится вовремя, это не устраняет риски фальсификации документов Верховной Рады, подписанных с помощью КЭП. Дело в том, что выпуск суррогатных носителей должен завершиться 7 ноября этого года, а вот их использование - ещё через год.

Что это означает в контексте попыток усовершенствовать документооборот в парламенте?

Это означает, что открывается широчайшее поле для всевозможных манипуляций с законодательными актами. Настолько широкое, насколько хватит фантазии. А с фантазией у некоторых людей всё в порядке. Или не в порядке, с какой стороны посмотреть.

Самое простое - публикация множества вариантов проголосованного законопроекта. Подпись одна и та же, т.е. уполномоченного лица, а вот время и дата публикации отличаются. При этом в законе не указано, что подлинной считается лишь самая первая версия, правильно? Опубликовали и опубликовали, главное, что подпись подлинная. Квалифицированная, окончательная, броня! То же самое с поправками, сопроводительными документами и прочим документооборотом.

Кто же эти мерзавцы, эти изверги рода человеческого, которые рискнут подписывать от имени, например, спикера подложные варианты бюджета на следующий год?

Да кто угодно. Может, для начала, сам спикер, объясняя очевидное злоупотребление тем, что его ключи украли хакеры. Могут его помы и замы, аккуратно, но незаметно скопировав ключи шефа. Государство, напомню, даже в лучшем случае ещё целый год будет признавать абсолютно надёжными ключи, записанные на обычную флешку или компакт-диск.

Это могут быть реальные, не выдуманные хакеры, которые будут, пользуясь тем, что сановные пользователи не склонны обременять себя соблюдением процедур, тырить ключи с незащищённых носителей или дистанционно управлять ключами на носителях защищённых. В обоих случаях пароли к этим ключам воруются с помощью кейлоггеров, например. Или с помощью фотоаппарата с телевиком.

Для меня не составляет труда представить дивный новый мир, в котором законотворческий процесс будет окончательно превращён в шапито, где народ Украины словно едет на велосипеде, который горит, седло горит и все в огне.

Если кому то кажется, что я преувеличиваю или дую на воду, предлагают ознакомиться с тем, что уже много ЛЕТ происходит с КЭП нотариусов и государственных регистраторов, которые, теоретически, отвечают за совершаемые ими действия головой:

https://www.facebook.com/groups/eIDAS.UA/permalink/2569262066641605/

https://www.npu.gov.ua/news/kiberzlochini/pravooxoronczi-zatrimali-organizatoriv-masshtabnoji-sxemi-pererejestracziji-areshtovanogo-majna

https://internetua.com/ukrainskie-gosispolniteli-narushali-vse-myslimye-pravila-kiberbezopasnosti

Короче,

Я не прошу журналистов транслировать мою точку зрения. Я прошу обратить внимание на проблему. Задать тому же Дубилету вопросы. Выяснить, что думают в коридорах власти о рисках и угрозах, которые я выше описал.

Положа руку на сердце - если украинские операторы не смогут договориться об использовании 900 МГц частот, небо не упадёт на землю, а Земля не налетит на небесную ось.

А вот если неугомонные реформаторы протолкнут набитые багами регламенты работы с электронными документами, нас ждут неиллюзорные проблемы.
------
Stanislav Kukareka "суррогатные носители ключей КЭП были, наконец, поставлены вне закона".... Он к этой фразе подходил в 4 фазы, что делает уважение его настойчивости. Но не более того. Хуйня это на постном масле. Сама фундаментальная идея всей конструкции с ассиметричным шифрованием и далее - с той "электронной подписью" в том заключалась что "центр сертификации" аж ровно нихуя не знает про ключи, включая и то где они хранятся. Это ответственность "той стороны", и кстати сфера ее сугубого произвола. Хочет - на винте, хочет - на десктопе, хочет - на А4 распечалал и в сейф положил. И "подпись электронную" накладывает арифмометром "железный феликс". Это их там дела, не ваши. В том и была центральная идея. И не ему решать где там "суррогатные" а где не очень... Что, большинство нотариусов, госорганов и прочих не в состоянии обеспечить секретность собственных секретов? Верю. И даже где то понимаю. Но это факт с которым следует считаться, а не осбтоятельство которое следует преодолеть. Вы чувствуете разницу? Если они не могут уследить за своими ключами (на каких они хотят носителях) значит они не готовы к вашей гребанной жижитализации и близко. А если БОЛЬШИНСТВО субъектов не готовы к ней, то значит и затея эта явно не на часи. Несмотря на все хотелки ихние. Таковы факты...
--
Stanislav Kukareka Если я захочу себе поиметь "супер-пупер" электронный ключ которому я доверю охулиард денег то никаких брелков китайских я покупать не буду по 30 баксов, и даже я не буду покупать отдельный новый ноутбук. Я эту хератень засуну в какую нить аурдину у которой из всех внешних интерфейсов аж 2 провода, и где всю софтину до последней строчки я лично написал. И блин никто не знает как, и ее никто вообще не видел. И это таки да, веский аргумент. А не вот это ваше все
--
Stanislav Kukareka Нотариус - это субъект. Единственныйсмысл которого в том состоит, что его можно будет завтра (и в любой момент) за хобот взять и притащить в суд. И все. Нету в нем никакого другого смысла. А уж какой там подписью он что где заверяет, какие у него реестры и где он ключ хранит - то все вторично. Абсолютно. И даже более того, "авторитет ключа" тут конкурирует с авторитетом собственно нотариуса, он подрывает рынок и обесценивает там саму услугу. Если уж на то пошло :)
И если тот нотариус (или еще кто либо) пидпису своему не хозяйка (как та пьяная баба) то уж тем более, и нахрена он кому нужен?


Пост спочатку надрукований тут: https://don-katalan.dreamwidth.org/2177577.html.
Tags: анализ, дебилы, зеленский
Subscribe
promo don_katalan december 29, 2014 14:39 112
Buy for 50 tokens
Расшифровка секретного плана адмиистративно-территориального устройства России после ее распада От гуляющих по сети различных вариантов "государственного" устройства будущего российских территорий отличается наличием территорий в совместном управлении, возвратом исторических территорий…
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 0 comments