Прескочи до съдържание

Електронен подпис - технология и безопасност


Препоръчани мнения

Публикувано:
On 7/12/2019 at 10:40 AM, Goal & Boss said:

Не може ли без разходки до офис? Електронният подпис от години е законно средство за легитимация в България. Даже в НАП го въведоха 😂 Тук сме пътуващи хора. Ако от ДСК направят приложение, което визуализира всички точки на света, в които се използват техните карти, целият глобус ще замига в магеланско синьо. И въобще - XXI век сме. Какви офиси, какви хартии за подписване?!

Може да е законно, но е несигурно. Аз лично не знам вече  българска банка да приема легитимация с електронен подпис, докато преди 5-6 години повечето банки приемаха електронен подпис. Имаше един случай клиент да си забрави подписа в компютъра и хакери дистанционно му източиха парите от банковата сметка цък От тогава банките постепенно се отказаха от приемането на електронен подпис като средство за легитимация. Разбира се, може да се ползва токен и т.н. за легитимация, но в случая вероятно банката или иска да използва случая да предожи на клиента някои други неща или не са имали ресурс и време да програмират управлението на подобна промоция през интернет банкирането.

  • Харесвам 1
  • Замислям се 2
Публикувано:
33 minutes ago, Topfly said:

Може да е законно, но е несигурно. Аз лично не знам вече  българска банка да приема легитимация с електронен подпис, докато преди 5-6 години повечето банки приемаха електронен подпис. Имаше един случай клиент да си забрави подписа в компютъра и хакери дистанционно му източиха парите от банковата сметка цък От тогава банките постепенно се отказаха от приемането на електронен подпис като средство за легитимация. Разбира се, може да се ползва токен и т.н. за легитимация, но в случая вероятно банката или иска да използва случая да предожи на клиента някои други неща или не са имали ресурс и време да програмират управлението на подобна промоция през интернет банкирането.

Толкова е несигурно, че държавата (и не само нашата) го приема като средство за легитимация, подписване и подаване на документи, данъчни декларации вкл и при данъчни ревизии и т.н. все маловажни документи ...И е толкова несигурно, че вече е единствен начин за подаване на много видове документи, и тенденцията е да се преминава към такъв тип кореспонденция, без хартиени носители и офиси ...

 Моите банкирания са с електронен подпис за легитимиране, а оттам банката си е въвела допълнителни средства за защита - име и парола, смс потвърждение за превод и т.н.

ДСК Директ също работи с КЕП и изисква подписване на всеки превод, защо да не въведе и обмен на подписани документи без ходене в офис - същото е .

Това че има хакнати е факт, но не е хакнат частния ключ на електронния подпис, за да говорим за несигурност, а е хакнат клиенски компютър.

По същата логика може да се фалшифицира и лична карта и пак да се източат пари... ама тя не е несигурна ..

Публикувано:
6 minutes ago, georgebg said:

Толкова е несигурно, че държавата (и не само нашата) го приема като средство за легитимация, подписване и подаване на документи, данъчни декларации вкл и при данъчни ревизии и т.н. все маловажни документи ...И е толкова несигурно, че вече е единствен начин за подаване на много видове документи, и тенденцията е да се преминава към такъв тип кореспонденция, без хартиени носители и офиси ...

 Моите банкирания са с електронен подпис за легитимиране, а оттам банката си е въвела допълнителни средства за защита - име и парола, смс потвърждение за превод и т.н.

Това че има хакнати е факт, но не е хакнат частния ключ на електронния подпис, за да говорим за несигурност, а е хакнат клиенски компютър.

По същата логика може да се фалшифицира и лична карта и пак да се източат пари... ама тя не е несигурна ..

Коя е тази банка, която все още приема електронен подпис ако не е тайна? Ако има допълнителни канали за легитимация, какъв е смисълът от електронния подпис? Това, че държавата все повече приема електронен подпис по сегашната технология ще е докато някой не се опари, като му откраднат фирмата и т.н.

 

Специално за българските електронни подписи има следните проблеми:

 

При прилагането на ЗЕДЕП в България се констатират два сериозни проблема:

  • Използването на електронен подпис не гарантира еднозначно самоличността на титуляра на подписа:
    Процедурата за издаване на електронен подпис не гарантира напълно отсъствието на копия на използвания криптографски ключ. Стандартната практика е титулярът да получава смарт карта, където ключът вече е записан. Тъй като не е предвидена възможност за контрол – дали ключът е генериран от самата карта, или е създаден извън нея и e записан впоследствие – съществува теоретическа и практическа възможност удостоверителят или негов служител да се сдобият с копие на ключа. Единствените гаранции за отсъствието на копия са юридически (забрана в текста на закона).
  • Не е създаден механизъм за удостоверяване на подписите на удостоверителите:

https://bg.wikipedia.org/wiki/Електронен_подпис

 

Когато става дума за упрвление на пари сегашната технология на електронния подпис в България изобщо не е добро решение!

Публикувано:
32 minutes ago, Topfly said:

Коя е тази банка, която все още приема електронен подпис ако не е тайна? Ако има допълнителни канали за легитимация, какъв е смисълът от електронния подпис? Това, че държавата все повече приема електронен подпис по сегашната технология ще е докато някой не се опари, като му откраднат фирмата и т.н.

 

Специално за българските електронни подписи има следните проблеми:

 

При прилагането на ЗЕДЕП в България се констатират два сериозни проблема:

  • Използването на електронен подпис не гарантира еднозначно самоличността на титуляра на подписа:
    Процедурата за издаване на електронен подпис не гарантира напълно отсъствието на копия на използвания криптографски ключ. Стандартната практика е титулярът да получава смарт карта, където ключът вече е записан. Тъй като не е предвидена възможност за контрол – дали ключът е генериран от самата карта, или е създаден извън нея и e записан впоследствие – съществува теоретическа и практическа възможност удостоверителят или негов служител да се сдобият с копие на ключа. Единствените гаранции за отсъствието на копия са юридически (забрана в текста на закона).
  • Не е създаден механизъм за удостоверяване на подписите на удостоверителите:

https://bg.wikipedia.org/wiki/Електронен_подпис

 

Когато става дума за упрвление на пари сегашната технология на електронния подпис в България изобщо не е добро решение!

Повечето интернетбанкирания на банки в България, предоставят възможност за достъп и подписване с КЕП.

Тези глупости не знам откъде ги четеш, но аз говоря за КЕП - Квалифициран елктронен подпис, за който даже и в wikipedia, която не е меродавен източник пише това:

 

Quote

 

Квалифициран е усъвършенстван електронен подпис, който отговаря на две допълнителни изисквания:

  • придружен е от издадено от доставчик на удостоверителни услуги удостоверение за квалифициран електронен подпис, удостоверяващо връзката между автора и публичния ключ за проверка на подписа, и
  • създаден е посредством устройство за сигурно създаване на подписа.

Квалифицираният електронен подпис има значението на саморъчен подпис.

 

Да повторя ли два пъти последното изречение за да е ясно Квалифицираният електронен подпис има значението на саморъчен подпис.

 

Да преди години имаше едни доставчици, които ми пращаха двойката ключове по мейла, след като бяха забравили да ги запишат на смарткартата 🙂 ,

но това отдавна вече не е не само практика, а и невъзможно.

Открадването на фирми се е случвало вече, и риск има винаги, когато е практика собственик на фирма да си дава подписа на разни счетоводители и т.н., но това не е пропуск в системата на КЕП, а глупост, приравнена с хвърлянето на пари през балкон 😉 

Цитираните констатации са вероятни стари напъни на някой философ да обясни как няма нищо сигурно на този свят, та се захванал и с теми които не са му ясни ....

Работя с подписи, откакто Банксервиз започнаха първи да ги издават, не помня вече колко години минаха.

Досега частен ключ няма хакнат, има слухове че това ще е възможно с квантовите компютри, но ако и когато това е възможно има къде къде по-интересни ключове за хакване, като например някой тлъсти биткойн адреси, чиито частни ключове са на същия принцип като на КЕП...

 

Толкова по въпроса ...

 

Публикувано: (редактирано)
преди 9 часа, georgebg каза:

Повечето интернетбанкирания на банки в България, предоставят възможност за достъп и подписване с КЕП.

Тези глупости не знам откъде ги четеш, но аз говоря за КЕП - Квалифициран елктронен подпис, за който даже и в wikipedia, която не е меродавен източник пише това:

 

Да повторя ли два пъти последното изречение за да е ясно Квалифицираният електронен подпис има значението на саморъчен подпис.

 

Да преди години имаше едни доставчици, които ми пращаха двойката ключове по мейла, след като бяха забравили да ги запишат на смарткартата 🙂 ,

но това отдавна вече не е не само практика, а и невъзможно.

Открадването на фирми се е случвало вече, и риск има винаги, когато е практика собственик на фирма да си дава подписа на разни счетоводители и т.н., но това не е пропуск в системата на КЕП, а глупост, приравнена с хвърлянето на пари през балкон 😉 

Цитираните констатации са вероятни стари напъни на някой философ да обясни как няма нищо сигурно на този свят, та се захванал и с теми които не са му ясни ....

Работя с подписи, откакто Банксервиз започнаха първи да ги издават, не помня вече колко години минаха.

Досега частен ключ няма хакнат, има слухове че това ще е възможно с квантовите компютри, но ако и когато това е възможно има къде къде по-интересни ключове за хакване, като например някой тлъсти биткойн адреси, чиито частни ключове са на същия принцип като на КЕП...

 

Толкова по въпроса ...

 

"Промени в интернет банкиране

6.11.2014 г.

Уважаеми клиенти,

С цел защита и гарантиране на сигурността на нашите клиенти, считано от 01.12.2014 г. Алианц Банк България прекратява възможността за използване на Квалифициран електронен подпис (КЕП) като средство за електронна идентификация и подписване на операции в системата за интернет банкиране Allianz E-bank. Решението ни е продиктувано от нарасналия брой опити за неоторизиран достъп до платежни сметки чрез онлайн банкиране на българския банков пазар.

За да продължите активно да ползвате услугата Интернет банкиране и след 1 декември 2014 г. Ви препоръчваме да използватеTокен (token) устройство. Това е хардуерно устройство, което генерира еднократна парола за достъп. Електронната идентификация чрез него осигурява изключително високо ниво на сигурност, тъй като се базира на комбинация от два независими един от друг фактора: информация, която само потребителят има - ПИН код, и еднократната парола генерирана от самото устройство, което е единствено в притежание на потребителя.

Клиентите на Allianz E-bank, ползващи Квалифициран електронен подпис могат да закупят Token устройство на цена от 20 лева с ДДС.

За повече информация се обърнете към обслужващия Ви офис на банката или към Единен център за обслужване на клиенти на безплатен телефон 0800 130 14.

От
Алианц Банк България "

 

В Райфайжен Банк и Експресбанк сигурно също има разни дървени философи неразбиращи от КЕП

 

Преустановяване използването на Квалифициран електронен подпис (КЕП) за юридически лица от 27.08.2014г.

19.08.2014

https://www.rbb.bg/bg/za-bankata/novini-analizi/uvedomleniya/2014/preustanovyavane-izpolzvaneto-na-kvalificiran-elektronen-podpis-kep-za-yuridicheski-lica-ot-27082014g/

 

Societe General Експресбанк преустановява използването на КЕП в BankOn Web

https://www.expressbank.bg/bg/medija/novini/societe-general-ekspresbank-preustanovjava-izpolzvaneto-na-kep-v-bank-on-web.html

 

Банка ДСК и Уникредит до колкото знам също прекратиха ползването на КЕП, но не им намирам съобщенията.

 

Що се отнася до това колко може да се хакне КЕП вече ти цитирах статия за реално хакване и източване на банкова сметка през КЕП цък

 

 

Редактирано от Георги
без лични нападки, моля
Публикувано: (редактирано)

 

преди 3 часа, Topfly каза:

Що се отнася до това колко може да се хакне КЕП вече ти цитирах статия за реално хакване и източване на банкова сметка през КЕП цък

P.S.: Ти чете ли я тази статия? Защото там не пише за хакване на КЕП, а за поемане на контрол върху компютър с дълго включен КЕП.

Редактирано от Георги
  • Харесвам 2
Публикувано:

Това, че банките решават на въведат двуфаторна автентикация не е защото  технологията, седяща зад КЕП е несигурна, а защото немалък процент от потребителите им са ... ами да го кажем ме много умни  -  гледат порно докато подписа им е боднат в компютъра и после олелеле.

 

Има и облачно базирани "подписи" с което доста силно се ограничава възможността за последствия от глупостта на потребителя.

  • Харесвам 2
Публикувано:
20 minutes ago, Ilian359 said:

P.S.: Ти чете ли я тази статия? Защото там не пише за хакване на КЕП, а за поемане на контрол върху компютър с дълго включен КЕП.

Чета и е станало точно хакване! Целта на КЕП е уж да можеш еднозначно да се идентифицираш пред банката и да не може непознат да ти открадне парите и да действа от твое име. С поемането на управлението на компютъра реално се хаква ситемата на КЕП и друг човек почва да действа от твое име. Колко дълго мислиш, че трябва да е включен КЕП за да ти откраднат парите при такава ситуация? Още преди да си излязъл от интернет банкирането, някой може да ти преведе всичките пари от сметката, а при такава ситуация и най-предпазливият юзър е пред невъзможност да се защити от хакери! Не е случайно, че банките толкова бързо реагираха, след първия случай на хакерско поемане на управленито на КЕП!

 

Сори, че отклоних малко темата от оригинала, но мисля, че темата е прекалено важна за се разпространяват неистини за сигурността на КЕП!

  • Замислям се 1
Публикувано:
53 minutes ago, Topfly said:

Чета и е станало точно хакване! Целта на КЕП е уж да можеш еднозначно да се идентифицираш пред банката и да не може непознат да ти открадне парите и да действа от твое име. С поемането на управлението на компютъра реално се хаква ситемата на КЕП и друг човек почва да действа от твое име. Колко дълго мислиш, че трябва да е включен КЕП за да ти откраднат парите при такава ситуация? Още преди да си излязъл от интернет банкирането, някой може да ти преведе всичките пари от сметката, а при такава ситуация и най-предпазливият юзър е пред невъзможност да се защити от хакери! Не е случайно, че банките толкова бързо реагираха, след първия случай на хакерско поемане на управленито на КЕП!

 

Сори, че отклоних малко темата от оригинала, но мисля, че темата е прекалено важна за се разпространяват неистини за сигурността на КЕП!

Няма никави неистина за сигурността на КЕП. Ако някой влезе в къщата ти и ти опре пистолет на челото, мисля че и токена няма да ти помогне за да ти източат парите. Също така токена няма да ти помогне ако имаш атака от типа "човек по средата", на който спокойно ще предоставиш всички данни и кода от токена, той ще го използва но ще преведе пари по своя сметка. Това е процедурата на "хакването" било то дистационно или физическо 😉 

Когато няма култура на поведение, е същото като да си запишеш пин кода върху картата, или да си хвърлиш парите в кофата.

Като си в банката да подписваш докумети, вероятно винаги гледаш какво подписваш, а не си вадиш химикала и да ръсиш подписи на празни листи.

Да си забравиш КЕП-а в компютъра е същото все едно подписваш празни листи, винаги могат да те хакнат, даже и пин-а ти да разберат, но без подписа да е в компютъра няма как да се подпише нищо. И механизма на ползване не позволява КЕП ключовете да се копират на друг компютър или да се "източат", а и подписването на всеки документ става в сесия с ново въвеждане на ПИН, няма как да стане в скрит прозорец без знанието ти, когато си на компютъра и работиш на него. А да си оставиш КЕП-а в компютъра и компютъра включен, и след това да твърдиш, че причината за източване е в КЕП-а ...

 

Накратко, понеже темата е за ДСК. В ДСК Директ си има в секция Настройки-КЕП и възможност за активиране на този начин на подписване с КЕП на преводи.

Като се подпише даден превод, ако контрагента е нов, се изпраща втория фактор на  удостоверяване чрез код във СМС съобщение, към предварително зададен в банката номер. КЕП-а е също защитен с ПИН код, след 3 грешни опита се блокира. И да не забравяме, че в това банкиране се влиза пак с име и парола ... някой си ги запомнят в браузъра за по-лесно, да лесно е, но това не е ОЛХ 😉 

Имам пред погледа си фирма въртяща милиони  точно с такова банкиране на ДСК, още над 10 фирми по същия начин в други банки - явно са големи непукисти за собствените си пари ... това е шега, хората са много отговорни за собствените си пари !

Решенията на различни банки няма да коментирам, освен чисто търговски трикове (закупуване на голямо количество токени и необходимост от тяхното пласиране), технически проблеми и трудности по подръжка на сертификати, не изключвам и липса на компетентност, имайки впредвид пазара на ИТ. 

 

Имам банкиране във ФидорБанк, където входа е с име и парола, изпращането на пари с mTAN код, изпращан със СМС. 

И това са го разрешили германските/европейски регулатори - няма токени, няма КЕП, няма two factor authentication, няма собствен банков сертификат, няма хеш кодове на листи (това го прилага Дойчебанк 😉 ). И хората не бягат от тази банка 😉 ...

 

Публикувано:

Оказва се, че банкиране с токен (да не говорим пък за софтуерния на ПИБ) е в пъти по-евтино за банките, отколкото система за достъп с КЕП, та дори и пращането на кодове със СМС, което пак е много скъпо за някой от тях. Също е много скъпо и изпращането на преводи, затова трудно се намира банка извън БГ, която да иска пари за СЕПА преводи 😉 ... ама това е друга тема ...

Сега да видим кои са "заспалите" банки или тези, които имат пари и могат да си позволят ползването на КЕП.

Номер 1 класирам ДСК, защото имат най-много възможности за оторизация и работа в ДСКДирект - КЕП, техен сертификат, Токен, и мобилен Токен - това показва отношение към клиента, правото му на избор, а не насилсвено налагане на предпочитам от банката метод. 

Кои други позволяват КЕП - Пощенска Банка, ЦКБ, Тексим, ОББ ... не ми се рови за други.

Кои са на "върха" с ползването на КЕП..

БАКБ предлага следното:

Quote

Ако сте физическо лице и притежавате КЕП, можете да станете клиент на банката, без да посещавате наш офис, като подадете документите си през сайта за онлайн регистрация.

Интересно е и за всички, които подават онлайн искане за WIzz карта на ДСК (поне при мен беше така), че за уленение се подписва съгласие за достъп до осигурителните данни, с app-a Евротръст, което всъщност е КЕП т.е. ДСК са в някакъв начален стадий на подписване на документи, без посещение на банката !

 

Друг интересн момент е, че с КЕП можеш да си изкараш електронно свидетелство за съдимост, да подаваш купища маловажни документи като данъчни декларации, документи при данъчни проверки,да плащаш задълженията си, без да пазиш след това с години разни хартиени платежни ... и да не ги изброявам всички, но все документи, които се приемат еднозначно и неоспоримо като подписани от теб.

А относно това колко е важно съдържанието на тези документи и какво може да се случи, ако някой те "хакне" и ти надруса документи с невярно съдържание .... може би трябва да направим нова тема и затова 🙂 . Защо ли тогава изобщо някой се занимава с КЕП, да бяха послушали ИТ гуруто на коя банка беше и да спрат изцяло тази недомислица 😉 

 

Публикувано:

Не знам дали е по темата,но от края на месеца Уникредит въвеждат динамична парола за онлайн банкирането.Аз си актуализирах телефонния номер преди 2 седмици и сега всеки път ще ми пращат СМС.

  • Харесвам 1
Публикувано:

тази динамична парола при УниКредит от 29 юли е само при Вход в банкирането, иначе средствата за подписване си остават същите - или КЕП, или техния софтуерен сертификат

  • Харесвам 2
Публикувано:

Потвърждавам горното за Уникредит Булбанк, не само, че позволяват КЕП, но и предлагат избор между КЕП и техния софтуерен сертификат. 

 

  • Харесвам 1
Публикувано:
On 7/14/2019 at 1:01 PM, antea said:

тази динамична парола при УниКредит от 29 юли е само при Вход в банкирането, иначе средствата за подписване си остават същите - или КЕП, или техния софтуерен сертификат

Ако ти трябва допълнителна динамична парола да ползваш онлайн банкирането, това е все едно, че са забранили КЕП. Има го за цвят, но реално сигурността не се базира на КЕП.

 

Що се отнася до сигурността на държавните онлайн услуги, след последния теч на данни аз не бих се надявал, че приемането на КЕП от държавата е някаква гаранция за сигурността на КЕП...

 

НАП досега не е правила тестове за сигурност на системите си

http://www.banker.bg/obshtestvo-i-politika/read/nap-dosega-ne-e-pravila-testove-za-sigurnost-na-sistemite-si

 

Публикувано:
9 minutes ago, Jenbel said:

какво означава "приемане на КЕП от държавата" ? 

Приемането от държавните институции и законовото признаване за подпис.

Публикувано:

Правната рамка на европейско равнище за електронните подписи , съответната европейска директива, е от 1999 г. Българският закон за електронния документ и електронните удостоверителни услуги, който въвежда и "признава" електронния подпис в България е от 2001 г.  

Не знам за какво приемане и законово признаване говориш днес, в 2019 година. 

  • Харесвам 2
Публикувано:
25 minutes ago, Jenbel said:

Правната рамка на европейско равнище за електронните подписи , съответната европейска директива, е от 1999 г. Българският закон за електронния документ и електронните удостоверителни услуги, който въвежда и "признава" електронния подпис в България е от 2001 г.  

Не знам за какво приемане и законово признаване говориш днес, в 2019 година. 

Реакцията ми беше просто на по горния, коментар, че след като държавата го приема и признава КЕП всичко е ок. Личното ми мнение, което съвпада с политиката на повечето банки в България е, че българският вариант на КЕП изобщо не е сигурно средство за легитимация и хакер относително лесно може да поеме контрола над българския КЕП. Аз лично не бих ползвал българския вариант на КЕП там където хакер би могъл да ми нанесе сериозни щети.

Публикувано:
14 hours ago, Topfly said:

Що се отнася до сигурността на държавните онлайн услуги, след последния теч на данни аз не бих се надявал, че приемането на КЕП от държавата е някаква гаранция за сигурността на КЕП...

За съжаление за пореден път бъркаш понятията.

 

Теча на данни е от хакване на системите на НАП и това няма никаква връзка с КЕП. Теча на данни от Фейсбук и от БА също е факт, а там не ползваш КЕП - защото КЕП няма връзка с това. И очаквам КЗЛД да подмине факта, че в ГДПР е записано изрично, че чувствителните по регламента данни, трябва да се записват в кодиран вид, което очевидно не важи за нАП....

 

Сигурността на КЕП - ето една статийка, доста просто написана, която в общи линии обяснява кога ще могат да се хакват частните ключове на електронните подписи, като това е невъзможно със сегашните компютри. Развитието на квантовите компютри върви доста добре, но докато се приближат до възможността за хакване на RSA2048 ключове, същите ше се променят към quantum resistance алгоритми.

На който му се чете , в нета има много писано по случая с изчисления и доказателства.

Сигурността на КЕП се основава на чиста математика, а не на глупостта на някой да си остави КЕП-а в компютъра, а преди това да си е компрометирал сигурността като както някой нагоре писа "гледа порнo" 🙂 , или го държи в шкафа с написан пин върху картата.

Основния недостатък на "българския" КЕП, ако има изобщо такова понятие, защото и смарт картите и четците и софтуера са на световните лидери в тази област, е че при генерирането на двойката ключове не се записваха с проверена процедура само върху смарткартата, но от няколко години, това е коригирано, одитирано и сигурно.

Ако знаеш принципа на посписване на документ с КЕП ще си и наясно,че няма как някой друг да го подпише или фалшифицира по никакъв начин, освен гореизброените фундаментални  глупости, които са равносилни на собственоръчното подписване на празен лист ....

 

 

Публикувано:
1 hour ago, georgebg said:

Теча на данни е от хакване на системите на НАП и това няма никаква връзка с КЕП.

Да, няма връзка, но има връзка с това до колко може да се доверяваме по въпроси за киберсигурността на държавата. Отговорът е изобщо не може да се надяваме, докато отделите по киберсигурност на банките, работят много по надеждно.

 

Банките реагираха веднага, когато хакер открадна парите на клиент и забраниха ползването на КЕП или изискват допълнителна оторизация с динамична парола по независима от КЕП система, докато държавата нищо не направи...

 

1 hour ago, georgebg said:

Сигурността на КЕП се основава на чиста математика, а не на глупостта на някой да си остави КЕП-а в компютъра, а преди това да си е компрометирал сигурността като както някой нагоре писа "гледа порнo" 🙂 , или го държи в шкафа с написан пин върху картата.

Ако някой е поел контрoла над компютъра ти, според теб колко секунди е нужно да си “глупав“ и да “забравиш“ КЕП-а в компютъра за да може хакер да ти открадне парите? Бъди сигурен, че още преди да си излезъл от интернет банкирането, вече няма да имаш пари по сметката! От тук нататък от какво точно те защитава КЕП? Мислиш ли, че средностатистическият юзер е в състояние да си опази компютъра от хакерски атаки? Ако може да си опази компютъра за какво му е изобщо КЕП?

 

Вече се въртим на едно и също място, така че от моя страна приключвам темата! Който е разбрал е разбрал, който има сляпа вяра в българския и работещите с подобна защитна технология КЕП по света, да си вярва!

Публикувано:
преди 2 минути , Topfly каза:

Да, няма връзка, но има връзка с това до колко може да се доверяваме по въпроси на държавата. Отговорът е изобщо не може да се надяваме, докато отделите по киберсигурност на банките, работят много по надеждно.

Тук пак се опитваш да ни внушаваш някакви хипотези.

  • Харесвам 1
Публикувано:

@Topfly, внушаваш, че българския КЕП са по-несигурни от тези, издадени в други държави.

Аз, по принцип, не разбира думи като патриотизъм, национализъм, но в случая това не е вярно.

Начина на издаване на електроните подписи е стандартизиран и едва ли е по-различен в БГ.

Има едно много важно допълнение, повишаващо сигурността на българските КЕП.

В българските КЕП (в публичната им част) се съдържа ЕГН. Това го няма да речем в Европейските. 

ЕС се опита да "скапе" тази допълнителна сигурност с публикуването на редица "добри практики", "препоръчителни стандарти" и др. (те дори се опитаха да кажат че естонските решения в областта на електронната сигурност, ел. управление и изобщо Естонския модел не струват)

Това беше причината на няколко пъти българските издатели на електронни подписи да сменят формата на КЕП-евете си.

 

  • Харесвам 3
Публикувано:
1 hour ago, Topfly said:

Да, няма връзка, но има връзка с това до колко може да се доверяваме по въпроси за киберсигурността на държавата. Отговорът е изобщо не може да се надяваме, докато отделите по киберсигурност на банките, работят много по надеждно.

 

Банките реагираха веднага, когато хакер открадна парите на клиент и забраниха ползването на КЕП или изискват допълнителна оторизация с динамична парола по независима от КЕП система, докато държавата нищо не направи...

 

Ако някой е поел контрoла над компютъра ти, според теб колко секунди е нужно да си “глупав“ и да “забравиш“ КЕП-а в компютъра за да може хакер да ти открадне парите? Бъди сигурен, че още преди да си излезъл от интернет банкирането, вече няма да имаш пари по сметката! От тук нататък от какво точно те защитава КЕП? Мислиш ли, че средностатистическият юзер е в състояние да си опази компютъра от хакерски атаки? Ако може да си опази компютъра за какво му е изобщо КЕП?

 

Вече се въртим на едно и също място, така че от моя страна приключвам темата! Който е разбрал е разбрал, който има сляпа вяра в българския и работещите с подобна защитна технология КЕП по света, да си вярва!

Банките не са реагирали на никакъв хакер и на никакви пари. Системите с динамична парола са изискване на европейските органи и както е видно постепенно  ги внедряват задължително и при транзакции с кредитни карти. Системата на КЕП изисква поддръжка от страна на банките, разработване на аплети за подписване и т.н. , и е необходим ИТ ресурс, който е скъп. От друга страна при самото банкиране единственото гарантирано удостоверяване е чрез КЕП, узер и парола - нищо не струва в това отношение. Ако някой ти влезе в интернет банкирането , защото те е хакнал или си запаметил юзер и парола в браузъра, доверявайки се на динамичен код, това няма да ти помогне този някой да ти види всички движения - на кого какво плащаш, откъде получаваш, за какво и т.н. което си е чист шпионаж. С банкиране защитено с КЕП, ще влезе, ама друг път 🙂 .

Това за държавата го коментирахме и няма никакво отношение с КЕП - дори да подаваш всички документи на хартия, след това се въвеждат в системите на държавата и както се установи са също толкова достъпни, колкото и ако са подавани с КЕП ...

Софтуера за подписване с КЕП върви заедно със смарткартата в която е записан КЕП и е универсален, НЕбългарски 😉 . Принципа му на работа е, че при подписване явно се изисква въвеждане на ПИН и потвърждаване на операцията, и този софтуер не го позволява това да става windowless т.е. без видим прозорец. Така че, дори някой да ти виси на компютъра, няма как за секунда докато работиш да ти подпише каквото и да било. 

И банките, които ползват КЕП, също имат за нови контрагенти и преводи динамична парола за допълнителна сигурност.

Ако имаш защита единствено с динамична парола, това се хаква изключително лесно с фишинг сайтове и менинмидъл атаки. При фишинг сайтове няма как да се "изработи и изманипулира" влизането в интернет банкиране с КЕП. Само с узер и парола е елементарно, оттам натаък и динамичния код ще ти "прихванат" и .. парите ще си отидат на друго място ...

И както казах сигурността на КЕП е 100 процентова засега, защото не съществува ресурс за разбиване на криптиращия алгоритъм, заложен в двойката ключове - публичен и частен, което ти наричаш защитна технология ...

И само да спомена че има четци на смарткарти (КЕП) със хардуерна клавиатура на четеца и съответното въвеждане на ПИН код е независимо от компютъра - е тогава и 5тима хакери да дремят заедно с теб на компютъра ти е все тая 😉, може само да въздишат от безпомощност ...

  • 5 месеца по-късно ...
Публикувано:

Повдигам малко замряла тема, но докато търсех в нета информация за Евротръст, с изненада открих, че Гугъл ми връща резултат в Магеланци.

И така - питането ми е за Евротръст. Някой има ли издаден такъв подпис? Рових им сайта, гледах клипчета, но нито ми стана ясно как се издава, нито как ТОЧНО работи. 

Бил облачен - добре. Обещават, че е много сигурен, че дори да ми откраднат телефона, пак бил много сигурен, но не разбрах какво го защитава, пък и на тях това им е работата - да обещаят, че е сигурен. Но дали е?

А и лекотата, с която уж се издава... От написаното в сайта им излиза, че едва ли не ей сега да си изтегля приложението и след 10 минути ще мога да се подписвам. 'Ма много несигурно ми звучи.

georgebgзвучиш, като човек с повече познания по темата. Имаш ли представа за принципа на работа на Евротръст?  

Публикувано:
49 minutes ago, annny said:

Повдигам малко замряла тема, но докато търсех в нета информация за Евротръст, с изненада открих, че Гугъл ми връща резултат в Магеланци.

И така - питането ми е за Евротръст. Някой има ли издаден такъв подпис? Рових им сайта, гледах клипчета, но нито ми стана ясно как се издава, нито как ТОЧНО работи. 

Бил облачен - добре. Обещават, че е много сигурен, че дори да ми откраднат телефона, пак бил много сигурен, но не разбрах какво го защитава, пък и на тях това им е работата - да обещаят, че е сигурен. Но дали е?

А и лекотата, с която уж се издава... От написаното в сайта им излиза, че едва ли не ей сега да си изтегля приложението и след 10 минути ще мога да се подписвам. 'Ма много несигурно ми звучи.

georgebgзвучиш, като човек с повече познания по темата. Имаш ли представа за принципа на работа на Евротръст?  

Накратко, издава се с лекота, защото не се ходи в офиси, опашки и др. простотии, да ни правят на м@ймуни по гишета, на което сме свикнали и всяко друго нещо ни се струва "несигурно". Удостоверяваш се със снимка на документи и видеочат, дотолкова е сигурно, че досега на доста места извън бг вкл. и в банки съм се регестрирал по този начин.

Самия "подпис" е "облачен" т.е. не се намира на телефона, а се достъпва през приложение, което е защитено с пин код или пръстов отпечатък, което е стандартен метод и за интернет банкирания т.е. е достатъчно сигурен. Тук пин кода е 6 цифри.

ДСК бяха тръгнали да удотоверяват 2 документа при кандидатстване за КК, след което обаче за да си подпишеш договора и получиш картата, трабва 2 пъти да ходиш в маймунарника 😉  т.е. работата свършена на 1/3 ...

"Безплатен" го рекламират, но реално е само до 5 подписвания, а например с ДСК ми изгоряха 2 ... за нищо 😉 

 

Обаче за да го ползваш като "истински" електронен подпис т.е. за вход в нап,банкирания и т.н., този облачен вариант не става и трябва да се издаде/запише на смарткарта и т.н., което от сайта им не е ясно как става и колко струва, а на телефона им сега звъннах и ми го предложиха за 60 лв + карта + четец, който пък например на B-Trust е 12 лв + карта + четец.

Искаш да споделиш мнението си? Създай профил или влез да коментираш

Трябва да си член за да оставиш коментар.

Създай профил

Регистрирай се при нас. Лесно е!

Регистрирай се

Влез

Имаш профил? Влез от тук.

Влез сега
  • Четящи темата   0 магеланци

    • Няма регистрирани потребители, разглеждащи тази страница.
×
×
  • Създай...

Важна информация

Поставихме бисквитки на устройството ти, за да улесним употребата на сайта. Можеш да прегледаш нашата политика за бисквитките.