пятница, 4 декабря 2015 г.

Социальная инженерия хакеров в действии

Увидел замечательное письмо:
Уважаемые муниципальные заказчики, работающие по 223-ФЗ (школы и сады)!
Те, кто не принес свою ЭЦП, необходимо в срок до 17.00 04.12.2015 года принести ЭЦП в каб. 2011 МКУ "Центр проведения торгов". Те, кто проигнорирует данное письмо останутся без продуктов питания детям, подвоза учащихся и остальных закупок выше 100 тыс.
С уважением,
МКУ "Центр проведения торгов
Объясняю в чём замечательность письма.
ЭЦП (Электронная Цифровая Подпись) - это средство удостоверения что тот или иной документ подписан именно тем лицом, которому принадлежит ЭЦП. Эдакий электронный аналог личной подписи для электронных документов.
И вот теперь, при исполнении данного распоряжения, получается что люди сами передают свою личную подпись третьим лицам со всеми вытекающими...
В данном случае мы видим возможный вариант социальной атаки на ключи ЭЦП (см. в ссылке выше).
Стандартное решение проблемы удостоверения подписи - наличие публичного ресурса-хранителя открытых ключей ЭЦП, который верифицирует что именно этот ключ принадлежит именно этому человеку. В этом случае, чтобы проверить что документ не был изменён и он принадлежит подписавшему, достаточно просто взять с ресурса открытый ключ и проверить подписанный документ. И я более чем уверен что такой ресурс есть.
В данном случае надо нести не весь комплект ЭЦП, а только открытый ключ из комплекта (это при условии что в данном случае имеется в виду последующее правильное, по технологии, использование)