http://catalog.mista.ru/journal/news/tekhnologii/tsifrovye-podpisi-v-rossii-nachnut-vydavat-distantsionno_1152901/
Прочитал на ИС статью-анонс будущей экспериментальной инновации. Планируется разрешить генерацию КВАЛИФИЦИРОВАННОЙ электронной подписи (то есть, приравненной к собственноручной) без использования клиентских криптосредств, используя серверную криптографию облачного провайдера. То есть, подпись генерируется где-то в облаке, а подтверждением аутентичности лица будет служить ЕСИА.
Вижу тут две большие проблемы
1. Непосредственный доступ к приватному ключу у оператора облачного сервиса, что автоматически означает его компрометацию для владельца. Фактически, формируя КЭП у оператора облачного сервиса, мы выдаем оператору генеральную доверенность от своего имени, так как он получает возможность производить любые юридически значимые действия от нашего имени.
2. Низкая безопасность от угроз со стороны третьих лиц при генерации приватного ключа, когда аутентичность определяется через авторизацию в ЕСИА с простым логином и паролем. Более низкий уровень аутентификации предполагается применять при генерации ключа более высокого уровня значимости. То есть, простой перехват логина и пароля трояном по сути дает возможность злоумышленнику продать вашу квартиру.
Кто что думает по этому поводу?
