Дарья Верестникова

Подпись электронных документов. Что такое «хорошо» и что такое «плохо»?

Итак, мы поговорили о проблеме социальной инженерии, о проблеме подтверждения транзакций и, если так можно выразиться, «подписи» документов с помощью кодов в SMS и Push-уведомлениях. Убедились также, что использование самих этих SMS и Push-уведомлений для подтверждения операций клиентами отнюдь не является полностью безопасным.

Мы вплотную подошли к тому, что подтверждать транзакции и подписывать электронные документы лучше всего мобильной подписью. А что же дальше? Как реализовать эту мобильную подпись? Чего мы вообще хотим достигнуть и что предложить клиентам?

Все банки и производители систем ДБО стремятся сделать свои системы и мобильные приложения максимально удобными и безопасными. В идеале – пользователь получает возможность подтвердить документ «одним движением руки», «одним взглядом в камеру смартфона» или «одним касанием биометрического сенсора». Скорее всего, неискушенному пользователю этого и будет достаточно — он получит «ощущение удобства и защищенности», а что там в действительности происходит с его деньгами он не будет задумываться.

Некоторые банки, к сожалению, используют в своих мобильных каналах такие решения, которые вообще нельзя назвать «подписью» — после касания руки пользователя экрана смартфона, взгляда в камеру или прикладывания пальца к считывателю не происходит криптографических преобразований документа! После этих действий либо вообще ничего не происходит, либо к операции подставляется id сессии, который един для любых переводов в ее рамках. Все это даже отдаленно не похоже на хоть сколь-нибудь безопасное подтверждение! Создается лишь иллюзия безопасности, иллюзия подписи, которая приводит к атакам на клиентов и невозможности корректно разобрать конфликтную ситуацию. Но ведь нам с вами недостаточно одних «ощущений защищенности»! Наша же с вами задача - обеспечить безопасность, надежность, доступность, наконец, юридическую значимость подписи не меньше, чем искать удобство! Причем все это можно сделать нисколько не потеряв usability, а даже наоборот. Ведь на базе полноценной мобильной подписи можно построить дополнительные удобные digital сервисы.

Настоящая мобильная подпись обеспечивает контроль целостности и авторства транзакции или документа. Настоящая подпись формируется только на смартфоне пользователя и не может быть воспроизведена на устройстве злоумышленника. Настоящая подпись есть результат криптографических преобразований реквизитов платежа или электронного документа. Настоящая подпись подразумевает четкую процедуру разбора конфликтных ситуаций.

В следующий раз мы подробнее поговорим какие бывают виды электронной подписи, как это определяет законодательство.

{ "author_name": "Дарья Верестникова", "author_type": "self", "tags": ["\u0434\u0430\u0448\u0430\u0432\u0434\u0435\u043b\u0435","verestnikova","safetech","paycontrol"], "comments": 0, "likes": 1, "favorites": 0, "is_advertisement": false, "subsite_label": "unknown", "id": 121035, "is_wide": true, "is_ugc": true, "date": "Fri, 17 Apr 2020 13:22:10 +0300", "is_special": false }
0
0 комментариев
Популярные
По порядку
Читать все 0 комментариев
Лето с HONOR: скидки до 60 000 рублей на ноутбуки и не только

HONOR объявляет о специальных летних скидках на ноутбуки и другую продукцию бренда. С 18 июня пользователи смогут приобрести устройства HONOR с выгодой до 60 000 рублей. Подробнее об условиях акции вы можете узнать на официальном сайте интернет-магазина HONOR и в официальных монобрендовых магазинах HONOR в Москве и других городах России.

Москва вошла в тройку рейтинга экосистем для стартапов среди европейских городов
Занять столь высокое место в рейтинге столице позволили городские программы развития технологического сервиса.

Таким образом, столица улучшила свою позицию на один пункт по сравнению с предыдущим годом. Обогнать Москву удалось лишь Лондону. Замыкает тройку лидеров – Париж.

Пацаны, у меня насущный вопрос: вы читаете или нет?

Короче, где-то увидела инфу, что из всего взрослого населения читает книжки более-менее регулярно только 10-15 процентов.

Что такое пассивное инвестирование. Рассказывает персональный брокер

Как правильно вкладывать деньги на годы или даже десятилетия, и как Уоррен Баффет выиграл пари

Анализ рынка телеграм-каналов
Скриншот аналитики биржи рекламы telega.in
Создатели Maps.me запустили сервис Organic Maps с офлайн-картами без трекеров и регистрации Статьи редакции

В приложении есть велосипедные маршруты, автомобильная навигация и места, которые не отмечены на других картах.

Как переводится имя Бериван? Значение имени Бериван

Женское турецкое имя. Переводится как растительность или безнравственный человек.

Россия возобновит авиасообщение с курортами Турции с 22 июня Статьи редакции

С 28 июня возобновляются полёты в Италию, Болгарию, США и ещё пять стран.

Облачные игры стали доступны клиентам Yota
Робототехника и облачные мощности: почему роботам нужны облака

Настроить автопилот квадрокоптера и запрограммировать коллаборативного робота проще с виртуальными серверами.

О русском HR

Кто эти люди? Как они туда попали? Какое у них "образование"? Зачем они вообще нужны?
Уже достаточно долгое время приходится сталкиваться с русскими ИТ-рекрутерами/HR и вот какие впечатления о них набрались:

Комментарии
null