Описаны способы мошеннических действий с электронными подписями на документах – и это не всегда связано со взломом алгоритмов, есть достаточно обходных путей работы с «неопытными» владельцами ключей электронных подписей. Противостоять мошенникам можно, лишь понимая их приемы, на этом мы и сосредоточились в статье. Особо отмечено, что нужно учитывать при долгосрочном архивном хранении электронных документов. Кроме того, демонстрируются результаты нескольких экспериментов, в которых подписанный документ позже «меняет» отображаемую информацию, а электронная подпись на нем продолжает признаваться достоверной. Это впечатляет!

Технологии достаточно надежные, но…

Технологии электронных подписей и поддерживающая ее технология инфраструктуры открытых ключей имеют репутацию абсолютно надежных. В докладах нередко можно услышать, что их практически невозможно взломать. Но, как показывает практика, нет таких технологий, которые мошенники тем или иным способом не смогли бы обернуть себе на пользу, – и именно на это хотелось бы обратить внимание в первую очередь.

Это не первая технология, которая объявляется «пуленепробиваемой», и опыт уже показал, что не столько велика угроза возможных злоупотреблений при ее использовании (с которыми можно будет бороться), сколько опасна слепая вера общества и суда в надежность и непогрешимость данной технологии. Как следствие, пострадавшие от нового вида мошенничества люди могут сами быть заподозрены в мошенничестве и привлечены к ответственности.

Пример 1

В Великобритании при внедрении высокозащищенных банковских карт нескольких клиентов банков, первыми пострадавших от нового вида мошенничества и обратившихся за компенсацией, сначала отправили в тюрьму по обвинению в вымогательстве и лишь позже разобрались, что кражи совершали сотрудники банка.

Стоит также обратить внимание на то, что некоторые вопросы, связанные с предотвращением мошенничества с использованием электронных подписей, у нас не урегулированы законодательством, хотя уже имеется определенный зарубежный опыт. Негативную роль играет и то, что о проблемах и уязвимостях как-то не принято говорить открыто. Узкий круг специалистов в области информационной безопасности давно об этих проблемах знает, но вот широкие «народные массы» часто не в курсе того, что происходит. А тем временем сфера использования электронных подписей продолжает расширяться…

В мошенничестве с электронными подписями можно выделить 2 разновидности атак:

  • Технические атаки, которые в основном направлены на взлом алгоритмов хеширования. В настоящее время такой метод мошенничества не слишком опасен, поскольку алгоритмы регулярно обновляются, но вот историкам и тем, кому предстоит обеспечивать долговременное хранение электронных документов, стоит обратить на него самое пристальное внимание. Есть лица, которые заинтересованы в искажении или подделке исторических документов, и для этого им достаточно взломать старые, созданные 20 и более лет назад алгоритмы, а это существенно более простая задача. Документы длительного срока хранения могут иметь значительную ценность, соответственно, последствия мошенничества могут быть серьезными.
  • В настоящее время наиболее распространены другие методы мошенничества, связанные либо с обманом подписывающего документ человека, либо с кражей закрытых ключей. Кроме того, возрастают риски создания подставных аккредитованных удостоверяющих центров, способных выпустить квалифицированные сертификаты ключей электронных подписей без ведома людей, указанных в качестве их владельцев.

Существование и увеличение масштабов мошеннических действий с электронными подписями еще более усложняет проблему архивного хранения таких документов, поскольку архивам в своих стратегиях хранения придется учитывать риски подобного рода.

Доказательство компрометации алгоритма хеширования MD5 (2007-2008 гг.)

Технология электронных цифровых подписей использует метод ассиметричного шифрования, а также метод хеширования, который битовой строке произвольной длины ставит в соответствие битовую строку небольшой фиксированной длины, называемую хешем (дайджестом). Для этого разрабатываются специальные алгоритмы. В частности, алгоритм хеширования проектируется таким образом, чтобы вероятность коллизии – совпадения хешей двух различных строк битов, хотя теоретически и ненулевая, была бы настолько малой, что за разумное время с использованием самых мощных вычислительных систем сегодняшнего и завтрашнего дня невозможно было бы подобрать другую строку битов, хеш которой совпадает с хешем известной строки битов. На практике это означает невозможность подобрать альтернативное сообщение, на которое можно «перенести» электронную цифровую подпись под известным сообщением так, чтобы она успешно проверялась.

Однако то, что один человек создал, другой всегда сумеет сломать. К настоящему времени ранние алгоритмы ЭЦП уже взломаны. Теоретическая возможность коллизий для алгоритма хеширования MD5, который первоначально широко применялся при создании электронных подписей (и до сих пор все еще используется в ИТ-отрасли для электронного подписания компьютерных программ), была доказана еще в 2004 году группой проф. Ван Сяоюнь (Xiaoyun Wang), однако многие считали эту угрозу не имеющей практического значения.

В 2007 году группа голландских специалистов – Марк Стивенс (Marc Stevens), Арьен Ленстра (Arjen Lenstra) и Бенне де Вегер (Benne de Weger) пообещала предсказать итоги выборов 2008 года в США и сообщила хэш-значение PDF-файла с предсказанием. На самом деле группа подготовила 12 (!) документов, 10 из которых позже были выложены в Интернете, имевших один и тот же MD5-хэш, – на все возможные (и некоторые невозможные) исходы выборов, см. Пример 2.

Пример 2. Два из подготовленных документов: первый сообщает о победе на выборах Пэрис Хилтон, второй – о победе Барака Обамы (у всех документов один и тот же MD5-хэш: 3D515DEAD7AA16560ABA3E9DF05CBC80)

Вы видите 20% этой статьи. Выберите свой вариант доступа

Купить эту статью
за 300 руб.
Подписаться на
журнал сейчас
Получать бесплатные
статьи на e-mail

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!

Рекомендовано для вас

Цифровое поведение – разумный подход

Какие цифровые следы вы оставляете и кто их анализирует. Как очищать свою историю посещений сайтов, как просматривать их в режиме «Инкогнито». Как разумнее было бы вести себя, чтобы формировать в интернете нужный вам образ для потенциальных работодателей и др. К чему приводит человека бездумное поглощение информации.

Выпадающие списки в Excel

При ведении журнала регистрации документов или иного реестра есть поля и графы таблицы, которые лучше заполнять не с клавиатуры, а выбирая вариант из заранее настроенного справочника. Поможем вам освоить его создание и применение в Excel – начнем с простых инструментов и перейдем к более сложным: простой выпадающий список, связанный список (когда его наполнение зависит от варианта, выбранного в другой ячейке), пополняемый список (удобен для справочника контрагентов), список с удалением использованных элементов (удобен для графиков дежурств и др.).

Что можно понять о человеке по его общению в сети

Статья поможет вам быстрее распознавать психотип «собеседников» в интернете по манере их общения и аватаркам. Методика анализа объясняется на примерах. Показываем, на что обращать внимание. Используйте наши подсказки, как штрихи к портрету – чем больше критериев подтверждают особенность характера, тем она вероятнее и ярче у конкретного анализируемого вами человека.

Новые возможности режима «Рецензирование» в MS Word версии 2016

В предыдущей статье мы рассмотрели функционал MS Word по совместной работе нескольких пользователей с файлом при помощи команд закладки «Рецензирование». Но тогда мы рассмотрели возможности программы MS Word наиболее распространенной версии 2010. В этой статье покажем, какие дополнительные возможности появились у этого функционала в MS Word версии 2016.

Режим рецензирования в Word: автоматическое выявление правок

Режим «Рецензирование» существенно облегчает разработку, согласование вордовского документа группой людей – он автоматически фиксирует каждую вставку, удаление, перемещение текста, форматирование и все это пользователи еще могут комментировать! Показываем, как управлять отображением правок (каким способом, какие типы и от каких пользователей показывать, как определить автора изменений, как распечатать исходный или окончательный вариант текста). Как выявить правки, которые коллега пытался вставить незаметно! Можно объединить в одном документе правки от разных людей, присланные ими в разных версиях файла. А еще можно защитить документ от редактирования либо установить пользователям пределы дозволенного. Даже если режимом «Рецензирование» уже пользуетесь, из этой статьи сможете узнать новые «ювелирные» настройки, которые сделают вашу работу еще удобнее.

Контроль исполнения поручений в MS Excel

Автор напоминает основные принципы организации контроля исполнения поручений, а потом подробно объясняет, как удобнее автоматизировать эту работу с использованием стандартных возможностей MS Excel (какие поля в таблице регистрационной формы пригодятся, как настроить фильтрацию данных и пользоваться ею, какие сведения удобно выделять автоматически). Статья особенно пригодится тем, кому на покупку специализированного программного обеспечения для автоматизации делопроизводства денег пока не дают.

Презентация годового отчета и плана

Раскрыты секреты создания эффектной презентации в современном стиле для деловых отчетов и планов: как сделать данные наглядными, как привлекать внимание, как лучше форматировать гистограммы и диаграммы, как использовать шрифты, цвета и картинки, где взять бесплатные фото и иконки. Описаны интересные возможности программы PowerPoint из Microsoft Office, которые стоит применять.

Работа над ошибками при помощи рецензирования в MS Word

Microsoft Word – это не только отличная программа для набора и форматирования текста, но и прекрасное средство для исправления чужих ошибок и совместной работы над документами. Мы хотим избавить вас от необходимости вычитывания каждой версии проекта документа. Пусть вместо вас это сделает Word, пусть он выявит все внесенные правки и предложит вам каждую из них отклонить или принять. Мы объясним, как управлять составом информации, которая отображается на экране монитора о произведенных в документе изменениях; как выявить правки и комментарии, внесенные определенным автором; какие алгоритмы действий будут наиболее удобными при анализе и принятии / отклонении исправлений.