Деньги всё испортят
Навели добрые люди на многообещающую новость: «ОАО "Ростелеком" в сентябре-октябре 2011 г запустит мобильные сервисы для доступа к порталу госуслуг... "Ростелеком" сейчас прорабатывает с сотовыми операторами "большой тройки" вопрос о размещении электронной цифровой подписи на SIM-карте для того, чтобы обеспечить возможность гражданам получать электронные госуслуги непосредственно со своего мобильного телефона.»
Ваш покорный слуга теряется в догадках, что именно имеется в виду под кодовым названием "размещенная на SIM-карте ЭЦП".
Здравый смысл подсказывает, что на симке можно разместить данные и программы. То есть, секретный ключ, сертификат открытого ключа, программу для подписания. Криптопроцессор по ГОСТу в эту карту не впихнуть.
Логически заключаем, что секретный ключ будет время от времени "выходить" из уютной СИМ-карты в оперативную память, где бродят злые волки. Результат немного предсказуем.
Вообще, "аппаратность" симки уже обманывала безопасников. На первый взгляд, эта маленькая блестящая пластинка находится под полным контролем оператора. К записанным на ней данным и программам наблюдается повышенное (если не полное) доверие. На практике же оказывается, что контроль этот - мнимый. Да и операторы тоже того... разные бывают. Но смартфонный софт по-прежнему относится не критично к содержимому SIM-карт.
Будут ли ломать, перехватывать, клонировать и подменять "электронную подпись", живущую в телефонах граждан? Нет, не будут. Ведь пока портал госуслуг позволяет только играть и вводить деньги - в таком виде он злоумышленникам не интересен. Всё будет спокойно и безоблачно. Но как только появится первая возможность вывода денег из этой общероссийской гос-RPG, вот тут-то и начнётся! Вот тут-то внезапно и откроются все баги, дыры и чёрные ходы.
Ваш покорный слуга теряется в догадках, что именно имеется в виду под кодовым названием "размещенная на SIM-карте ЭЦП".
Здравый смысл подсказывает, что на симке можно разместить данные и программы. То есть, секретный ключ, сертификат открытого ключа, программу для подписания. Криптопроцессор по ГОСТу в эту карту не впихнуть.
Логически заключаем, что секретный ключ будет время от времени "выходить" из уютной СИМ-карты в оперативную память, где бродят злые волки. Результат немного предсказуем.
Вообще, "аппаратность" симки уже обманывала безопасников. На первый взгляд, эта маленькая блестящая пластинка находится под полным контролем оператора. К записанным на ней данным и программам наблюдается повышенное (если не полное) доверие. На практике же оказывается, что контроль этот - мнимый. Да и операторы тоже того... разные бывают. Но смартфонный софт по-прежнему относится не критично к содержимому SIM-карт.
Будут ли ломать, перехватывать, клонировать и подменять "электронную подпись", живущую в телефонах граждан? Нет, не будут. Ведь пока портал госуслуг позволяет только играть и вводить деньги - в таком виде он злоумышленникам не интересен. Всё будет спокойно и безоблачно. Но как только появится первая возможность вывода денег из этой общероссийской гос-RPG, вот тут-то и начнётся! Вот тут-то внезапно и откроются все баги, дыры и чёрные ходы.