id: Гость   вход   регистрация
текущее время 09:58 29/03/2024
Автор темы: unknown, тема открыта 19/01/2005 09:09 Печать
https://www.pgpru.com/Форум/ПолитикаПравоРеальныйМир/ВредныеПоследствияЗаконаОбЭЦП
создать
просмотр
ссылки

Вредные последствия закона об ЭЦП


http://www.cnews.ru/newtop/ind.....ml?2005/01/18/173000


Одно дело использовать ЭЦП по взаимному соглашению двух сторон, другое дело придать этому юридический статус.


Лично я был бы против, если бы мою электронную подпись приравняли к бумажной со всеми вытекающими обязательствами и юридическими последствиями (неотрицание и т.д.). Лучше ручкой на бумажке, старинным дедовским способом.
А ЭЦП оставить только для аутентификации в компьютерных сетях, но без юридических обязательств.
Иначе, что если подпись украдут, или подделают (некриптографическим взломом, а к примеру каким-нибудь считыванием электромагнитных излучений от компьютера)


 
Комментарии
— SATtva (19/01/2005 13:45)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Именно по этим причинам, согласно закону в его нынешней редакции, сертификат ключа, чтобы его ЭЦП была априори приравнена к собственноручной, должен быть заверен аккредитованным удостоверяющим центром. Он также выдаст обычный бумажный сертификат, подстверждающий полномочия данного ключа, а также ответственность пользователя за сохранность его секретной части. После этого, действительно, вся юридическая ответственность за действия закрытого ключа будет возложена на пользователя и, например, если ключа будет похищен и использован для подписания фиктивного контракта, пользователь должен будет его испольнять — он ведь не аннулировал ключ, когда тот был украден. Однако на правовой статус обычных ключей, генерируемых в том же PGP, это никак не повлияет.

Кстати, были те, кто возражал именно по этому пункту, дескать, закон ссылается на положения отечественного ГОСТа, поэтому нельзя использовать в практике ЭЦП западные криптосистемы. В Германии и в Штатах, например, любая ЭЦП, проставленная любым ключом несёт свойства неотрицания и может быть предметом рассмотрения в суде.

Это действительно довольно многоплановая дискуссия. Шнайер когда-то писал в Crypto-Gram, что не считает, что бы ЭЦП могла быть юридически эквивалентной собственноручной: если документ подписан твоей рукой, практика исходит из того, что ты с ним по крайней мере ознакомился. А как быть с ЭЦП? Каковы были мотивы её вычисления? Как устроена система документооборота, в которой была выработана подпись?

Видимо, чтобы снять часть неприятных следствий, закрытый ключ должен по крайней мере быть защищён многофакторной системой защиты, включающей как пароль (ввод которого отражает намерение), так и биометрию (именно владелец, а никто другой, использовал ключ).
— Гость (26/08/2005 21:09)   <#>
unknown:
Лично я был бы против, если бы мою электронную подпись приравняли к бумажной со всеми вытекающими обязательствами и юридическими последствиями (неотрицание и т.д.). Лучше ручкой на бумажке, старинным дедовским способом.


И ещё было бы лучше именовать цифровую подпись "цифровой ПЕЧАТЬЮ". Подпись неотчуждаема и всякий раз чуть-чуть иная. В отличии от печати.

Также было бы неплохо, в случае, когда отсутствует шифрование, вместо термина "электронное письмо" использовать термин "электронная ОТКРЫТКА".


SATtva:
он ведь не аннулировал ключ, когда тот был украден.

Кража может быть совершена незаметно
— unknown (26/08/2005 22:05)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
В классическом алгоритме RSA подпись всегда одинаковая. В DSA за счет использования
случайных чисел – каждый раз разная для одного и тогоже текста (скрытый канал).
Насчет письма и открытки это тоже не совсем честно. Письмо можно если не
вскрыть незаметно, то хотя бы изъять и вскрыть конверт открыто при наличии полномочий, санкций.
Шифрованное письмо – это что-то вроде невскрываемого посторонними сейфа.
По обычной почте такие вещи посылать откровенно говоря нельзя.
Шифрованная почта и подпись не имеют корректных аналогов в физическом мире.
— Гость (26/08/2005 23:32)   <#>
В физическом мире печать украсть (или сделать дубликат) можно, а вот подпись вряд-ли.

Даже если нет полных аналогов, лучше называть именами наиболее похожих вещей. В данном случае, не надо было бы постоянно напоминать о том, что ваше электронное "письмо" можно прочитать и без вашего ведома. И то что печать следует надёжно охранять, а то могут украсть и использовать за вашей спиной, тоже всем понятно. В отличии от подписи.

ps
Официальное вскрытие письма встречается ЗНАЧИТЕЛЬНО реже, чем несанкционированное прочтение открытки почтальоном или соседкой. И обычными людьми вряд ли учитывается вообще.

И кстати, шифрованное письмо может быть аналогом обычного в аспекте официального вскрытия при шифре средней стойкости.
___
Исправление пути начинается с исправления языка (Конфуций)
— SATtva (27/08/2005 08:01)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Даже если нет полных аналогов, лучше называть именами наиболее похожих вещей. В данном случае, не надо было бы постоянно напоминать о том, что ваше электронное "письмо" можно прочитать и без вашего ведома. И то что печать следует надёжно охранять, а то могут украсть и использовать за вашей спиной, тоже всем понятно. В отличии от подписи.

Так всегда бывает, когда новые концепции развивают "технари" без участия "гуманитариев". Теперь юристам приходится иметь дел с тем, с чем приходится: "цифровая подпись" — такова уж устоявшаяся практика именований (хотя скорее это действительно "печать" или "факсимиле", ибо собственноручная подпись является биометрическим показателем). Но ведь никто не предлагает переименовать Чёрное море только потому, что оно в действительности не чёрного цвета (впрочем, местами реальная действительность сама подстраивается под изменения в семантике языка :) ).
— unknown (27/08/2005 09:28)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Официальное вскрытие письма встречается ЗНАЧИТЕЛЬНО реже, чем
несанкционированное прочтение открытки почтальоном или соседкой. И
обычными людьми вряд ли учитывается вообще.

А в виртуальном мире утечка информации происходит так часто и таким непредсказуемым образом,
что приходится прибегать к таким стойким методам. Т.е. есть различие между соотношением сил и уровнем угроз в реальном и "цифровом" мире.
Непонимание этого – еще один источник путаницы в терминологии.
— SATtva (27/08/2005 13:41)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Трудно автоматизировать и поставить на поток перлюстрацию писем бумажных. Но в электронном мире такое реализуемо не только в масштабе одной сети, но и в масштабах страны или даже планеты.

Собственно, это то, о чём Циммерман писал здесь (четвёртый абзац).
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3