QR CODE , ПАРТИЗАНЫ, ПЕРСПЕКТИВЫ.

Apr 03, 2020 07:53

Благодарю друга serenus.livejournal.com за то что не поленился и после обсуждения с Натальей Михайловной [https://natalbmikhalna.livejournal.com/218828.html?thread=1455564#t1455564] выложил в отдельную заметку.

image Click to view



Картинка с QR-кодом - это графическое выражение бинарной записи (файла), и оную картинку в теории можно копировать или мухлевать с ней иными способами. Однако мы полагаем, что конкретный QR-код будет привязан к конкретному человеку (его конкретной мобиле, его фото), и использовать данный QR-код сможет только этот конкретный человек. Пример:

Серьёзная контора (правительственный офис или Apple/Google/Facebook) выдаёт человеку QR-код. Этот QR-код криптографически подписан ключом конторы, подделать подпись невозможно. В этот QR-код зашита ссылка на официальную фотографию человека на государственном блокчейне. Если QR-код предназначен для того, чтобы показывать его с мобилы - в этот QR-код будет также зашит и идентификатор конкретной мобилы/мобил этого конкретного человека. Также в QR-код будет зашит срок годности - день/неделя/месяц; пока что рядовым гражданам долгосрочные/безсрочные QR-коды выдавать не будут.

Очевидно, что в QR-код зашить можно очень много чего. Информацию о том, когда человек последний раз делал тест на вирус, о том, привит ли человек. Всё упирается в информационнную ёмкость QR-кода (сколько байтов данных можно в него запхать; ёмкость будет расти) и надёжность интернет-канала у проверяющего.

(1) Человек показывает QR-код (с бумажки или мобилы) полицаю или роботу на входе в магазин.

(2) Мент/робот проверяeт цифровую подпись в QR-коде и что срок годности не истёк. В случае намеренных нарушений/злоупотреблений человека ждут штрафы, и история нарушений перманентно записывается в послужной список человека на блокчейне.

(3) Мент/робот скачивает официальное фото человека с государственного блокчейна (по ссылке, зашитой в QR-код, или по государственной базе данных, индексированной по личному номеру идентификации человека) и сверяет его с мордой лица человека. (Tакже можно сверить с официальным отпечатком пальца, глаза).

(3) Если человек предъявляет QR-код с мобилы, то мент/робот смотрит в QR-коде белый список идентификаторов мобил, зарегистрированных на человека и не внесённых в чёрный список мобильного провайдера, и надёжно проверяет, находится ли предъявляемая мобила в данном белом списке. (Протоколы challenge-response, смухлевать нельзя - если интересно, могу пояснить поподробнее).

(4) До кучи мент/робот ещё может заставить мобильник показать геолокацию, где, по мнению мобильника, мобильник находится в данный момент (значение, надёжно подписанное самим мобильником; secure enclaves), и сверить это с местонахождением самого мента/робота. И соседние мобильные вышки (вероятно, через Google) спросить насчёт того, действительно ли они триангулируют данную мобилу в данной точке.

Это мы навскидку прикинули свои представления о протоколе, с литературой не сверялись :-)) Тем не менее, мы не сомневаемся, что довольно скоро реальные протоколы будут проверять всё вышеупомянутое и больше (вообще всё, до чего смогут дотянуться) - просто потому что это дешево, и инфраструктура под это уже готова или почти готова. Перекрёстные проверки данных стоят очень дёшево, а ловить нарушителей на противоречиях помогают весьма эффективно. Рядовым гражданам обходить это будет нереально, хакерам - весьма таки затруднительно (и чем дальше в лес - тем толще партизаны :-))

Дополнение 1:

Сценарий "QR-код на бумаге" - это только для пенсионеров и лиц с ограниченными возможностями, которые смартфон вообще никак освоить не могут. Для остальных граждан будет сценарий "QR-код на смартфоне"; а потом и просто прямая коммуникация со смартфоном через NFC, безо всяких графических QR-кодов, внедрение будет через существующую инфраструктуру, включая сеть существующих NFC-терминалов оплаты. Кoгда NFC-терминалы будут торчать везде, тогда и чипироваться народ веселей побежит.

Сценарий для пенсионеров мы представляем так:

Пенсионерка Мариванна достаёт утром в понедельник из почтового ящика свежий QR-код на неделю. Если Почта России облажалась, Мариванна с матом и паспортом идёт куда-то (в ЖЭК, собес, почтовое или банковское отделение), где ей распечатают ейный QR-код :-)) Предъявлять этот QR-код на бумажке Мариванна тоже будет везде с паспортом - паспорт в России ныне биометрический, так что мент/робот в него глазеть не будет, а просто считают сканером чип в паспорте (хотя, фотку в паспорте с рожей Мариванны могут и сверить).

Цифровые сценарии будут сразу удобные для граждан, а традиционные не-цифровые сценарии будут сначала неудобные, потом ещё более неудобные; разница в удобстве будет расти. Пример из американских реалий: налоговое управление обещало прислать в апреле в подарок $1200 сразу прямо на банковский счёт тем, кто в прошлом-позапрошлом году оформляли возврат налогов напрямую на счёт, электронным переводом. В прессе грозят, что кому налоговая эти $1200 пошлёт чеком - чек может почтой идти до 4 месяцев :-D)))

В достаточно близкой перспективе предполагаем, что вся информация о человеке (паспорт / водительские права и прочие корочки / платёжные средства / аутентикация в универ, предприятие / прочие пароли / дипломы и сертификации / криминальная история и вызванные ей ограничения в гражданских правах / группа крови, резус, список серьёзных болезней и жизненно важных лекарств / сексуальная ориентация и согласие на секс; короче, имя им легион) и/или ссылки на неё будут храниться в одном устройстве: пока что большая часть в смартфоне, вскоре чипирование, имплантированные чипы. Какая-то информация (всё, что менты и т.д. должны иметь возможность проверить на месте, даже без связи с интернетом) будет записана внутри чипа или в безопасной зоне смартфона (всерьёз недоступной даже для хакеров), остальное - на государственных и Apple/Google/Facebook блокчейнах (ну, в Китае и России свои провайдеры).

Дополнение 2:

Некоторые из традиционно интересных сценариев атак - это игры со временем (заставить устройство выставить у себя неверное время, ещё состояния гонки) или блокирование распространения информации о revocation, отзыве полномочий. В фантастике описано [http://flibusta.is/b/529824] :-) К примеру, у человека вчера водительские права ещё были активные, а сегодня их отозвали, внесли в список неактивных в центральном блокчейне. Человек берёт свои права (распечатка вчерашнего QR-кода, на котором они ещё выглядят активными, на бумажке) и летит с ними куда-то в страну 3-го мира, где сканеры у ментов устаревшие и не связываются с государственным блокчейном по интернету, или ещё, может быть, на этом курорте была гроза, антенну выбило, и местный сервер курорта ещё не знает, что у человека права уже забрали, не может местный сервер временно связаться с центральным блокчейном

И ещё 4 минуты

image Click to view



Оригинал записи
https://serenus.livejournal.com/5228.html

геноцид, Технологии, Обитаемый Остров, рабство, Выживание, последняя война, Судьба человечества, человечество сегодня, закат цивилизации, Цукербрины, Стадо, управление планетой, Будущее цивилизации, п.здец

Previous post Next post
Up