Через додаток «Дія» шахраї оформили на українку кредит —...

Именно по этой причине во всех Центрах так же продают защищенные хранилища приватных ключёй, сделать цифровые копии которых абсолютно невозможно -- без физической кражи.

опять "абсолютно невозможно"

Повторюсь, защищенное хранилище защищено только от честных людей. Хотя и обеспечивает безусловно гораздо большую безопасность. Но контейнер бывает подключен к смартфону или компьютеру, что позволяет злоумышленникам спокойно пользоваться вашим защищенным хранилищем без физической кражи и без физического доступа к нему. Злоумышленникам не нужна даже цифровая копия, они будут удаленно пользоваться вашим защищенным хранилищем. Достаточно того, что ваш смартфон подключен к интернету

Говорить о невозможности сделать цифровую копию из защищенного хранилища без физической кражи тоже наивно. Для примера, известны методы атак на приватный ключ в защищенном хранилище сим-карт с помощью фейковых базовых станций. Физически красть карточку нет необходимости, физический доступ к ней тоже не нужен. Вы идете по улице со своим телефоном, а чей-то девайс в это время прикидываясь базовой станцией сканирует вашу сим карту, восстанавливая закрытый в защищенном хранилище приватный ключ.

И миллиарды лет для этого не нужны, методы криптоанализа позволяют оптимизировать перебор ограничившись десятком тысяч запросов.

Именно по этой причине во всех Центрах так же продают защищенные хранилища приватных ключёй, сделать цифровые копии которых абсолютно невозможно -- без физической кражи.

опять "абсолютно не возможно"

Повторюсь, защищенное хранилище защищено только от честных людей. Хотя и обеспечивает безусловно гораздо большую безопасность. Но контейнер бывает подключен к смартфону или компьтеру, что позволяет злоумышленникам спокойно пользоваться вашим защищенным хранилищем без физической кражи и без физического доступа к нему. Злоумышленникам не нужна даже цифровая копия, они будут удаленно пользоваться вашим защищенным хранилищем. Достаточно того, что ваш смартфон подключен к интернету

Говорить о невозможности сделать цифровую копию из защищенного хранилища без физической кражи тоже наивно. Для примера, известны методы атак на приватный ключ в защищенном хранилище сим-карт с помощью фейковых базовых станций. Физически красть карточку нет необходимости, физический доступ к ней тоже не нужен. Вы проходите со своим телефоном мимо фейковой базовой станции, а чей-то девайс в это время прикидываясь базовой станцией сканирует вашу сим карту, восстанавливая закрытый в защищенном хранилище приватный ключ. И миллиарды лет для этого не нужны, методы криптоанализа позволяют оптимизировать перебор ограничившись десятком тысяч запросов.

А бывает и не подключен. А бывают и компьютеры, на которых нет злоумышшенников. Т.е. с этой стороны все ОК.

А сим-карты тут каким боком, вообще? -- это абсолютно другой класс устройств.
Это из разряда "давно известны методы атак на паспорт с помощью его копирования в швыдкогрошах".

А бывает и не подключен.

Да, бывает. Но будет ли работать Дия на смартфоне который не имеет подключения к инету?

И еще под вопросом - что именно вы понимаете под "бывает не подключен"? Если программное отключение, то это не считается. Для обеспечения безопасности нужно физическое отключение кабеля или хотя-бы физический выключатель. Чтобы включить его программно было невозможно.

И если компьютер или смартфон хотя-бы периодически бывают подключены к интернету, этого тоже достаточно, чтобы злоумышленник смог удаленно воспользоваться подключаемым к смартфону/компьютеру хранилищем приватного ключа.

Бывает, что интернета может и не быть, ктото воткнет китайский кабель с алиэкспресса в комп, а кабель окажется не совсем простой, а с хитрой микросхемкой в разъеме

А бывают и компьютеры, на которых нет злоумышшенников. Т.е. с этой стороны все ОК.

Если компьютер или смартфон подключен к инету, то можно считать что у злоумышленников с высокой долей вероятности имеется доступ к нему. А физический доступ им не нужен, достаточно подключения интернета.

Поэтому если за компьютером не сидит злоумышленник, это не значит что компьютер в это время не используется злоумышленником удаленно через интернет.

А сим-карты тут каким боком, вообще? -- это абсолютно другой класс устройств.

ну вы-же упомянули защищенные хранилища. Сим карта является одним из примеров устройства с защищенным хранилищем приватного ключа. По сути это маленький компьютер, который хранит в защиенном блоке памяти приватный ключ и использует его для формирования цифровой подписи и шифрования внутри себя. Т.е. приватный ключ при работе используется внутри сим-карты и не покидает её предлов. Тем самым приватный ключ защищается от утечки, т.к. сим карта не предоставляет возможности прочитать ключ, она предоставляет возможность только использовать ключ с помощью себя, требуя своего физического присутствия для операций требующих цифровой подписи и шифрования с приватным ключем.

А бывает и не подключен.

Да, бывает. Но будет ли работать Дия на смартфоне который не имеет подключения к инету?

И еще под вопросом - что именно вы понимаете под "бывает не подключен"? Если программное отключение, то это не считается. Для обеспечения безопасности нужно физическое отключение кабеля или хотя-бы физический выключатель. Чтобы включить его программно было невозможно.

И если компьютер или смартфон хотя-бы периодически бывают подключены к интернету, этого тоже достаточно, чтобы злоумышленник смог удаленно воспользоваться подключаемым к смартфону/компьютеру хранилищем приватного ключа.

А бывают и компьютеры, на которых нет злоумышшенников. Т.е. с этой стороны все ОК.

Если компьютер или смартфон подключен к инету, то можно считать что у злоумышленников с высокой долей вероятности имеется доступ к нему. А физический доступ им не нужен, достаточно подключения интернета.

Поэтому если за компьютером не сидит злоумышленник, это не значит что компьютер в это время не используется злоумышленником удаленно через интернет.

А сим-карты тут каким боком, вообще? -- это абсолютно другой класс устройств.

ну вы-же упомянули защищенные хранилища. Сим карта является одним из примеров устройства с защищенным хранилищем приватного ключа. По сути это маленький компьютер, который хранит в защиенном блоке памяти приватный ключ и использует его для формирования цифровой подписи и шифрования внутри себя. Т.е. приватный ключ при работе используется внутри сим-карты и не покидает её предлов. Тем самым приватный ключ защищается от утечки, т.к. сим карта не предоставляет возможности прочитать ключ, она предоставляет возможность только использовать ключ с помощью себя, требуя своего физического присутствия для операций требующих цифровой подписи и шифрования с приватным ключем.

Так мы про Дию или про подписи вообще? Если про Дию: заводим отдельный телефон "для банка"/Дии -- на который не ставим мусор -- и все: спать можно спокойно.

Я упомянул вполне конкретные хранилища -- для (к)ЭП. Так вообще можно "жетончики" для домофонов -- те, которые с защитой от копирования -- вспомнить -- и назвать их "защищенное хранилище".

Так мы про Дию или про подписи вообще? Если про Дию: заводим отдельный телефон "для банка"/Дии -- на который не ставим мусор -- и все: спать можно спокойно.

В какой-то мере это действительно поможет уменьшить риск от простых мошенников. Но зачастую в телефонах спайварь и трояны уже предустановлены производителем и часто даже без возможности удаления. Так что это не поможет.

Это при условии нормальной реализации защищенного хранилища. Я не знаком с реализацией в "защищенных хранилищах" для "ЭП". Но есть подозрение, что там наверняка тоже какая-то лажа с безопасностью

Я упомянул вполне конкретные хранилища -- для (к)ЭП.

Сим карта использует цифровую подпись для идентификации абонента, если вы не знали. Она мало чем отличается от других защищенных хранилищ приватных ключей. Электронные подписи от государства на аналогичных алгоритмах цифровой подписи основаны. Защита может быть хуже реализована, т.к. решение сырое.

В нормальном хранилище приватный ключ недоступен для чтения. Хранилище предоставляет только сервис для цифровой подписи и шифрования, но все операции с приватным ключем выполняется внутри хранилища, чтобы ключ не покидал его пределов. При хорошей защите есть механизмы защиты от вскрытия чипов для послойного спиливания и анализа под электронным микроскопом. Но и это не гарантия от копирования. Есть методики косвенного анализа процессов внутри чипа по колебаниям тока потребления чипа и его электромагнитных полей для восстановления структуры программного кода и данных в закрытом банке памяти.

Так вообще можно "жетончики" для домофонов -- те, которые с защитой от копирования -- вспомнить -- и назвать их "защищенное хранилище".

Нет. Жетончики от домофона на роль защищенного хранилища не подходят. В них нет приватного ключа и нет цифровой подписи Это грубо говоря память с зашитым кодом без возможности перезаписи. Но такой-же код можно прошить в китайские аналоги с возможностью записи

Т.е. "защита" эта работает только от честных людей.

Так мы про Дию или про подписи вообще? Если про Дию: заводим отдельный телефон "для банка"/Дии -- на который не ставим мусор -- и все: спать можно спокойно.

В какой-то мере это действительно поможет уменьшить риск от простых мошенников. Но зачастую в телефонах спайварь и трояны уже предустановлены производителем и часто даже без возможности удаления. Так что это не поможет.

Я не знаком с реализацией в "защищенных хранилищах" для "ЭП". Но есть подозрение, что там наверняка тоже какая-то лажа с безопасностью

Я упомянул вполне конкретные хранилища -- для (к)ЭП.

Сим карта использует цифровую подпись для идентификации абонента, если вы не знали. Она мало чем отличается от других защищенных хранилищ приватных ключей. Электронные подписи от государства на аналогичных алгоритмах цифровой подписи основаны. Защита может быть хуже реализована, т.к. решение сырое.

Так вообще можно "жетончики" для домофонов -- те, которые с защитой от копирования -- вспомнить -- и назвать их "защищенное хранилище".

Нет. Жетончики от домофона на роль защищенного хранилища не подходят. В них нет приватного ключа и нет цифровой подписи Это грубо говоря память с зашитым кодом без возможности перезаписи. Но такой-же код можно прошить в китайские аналоги с возможностью записи

Т.е. "защита" эта работает только от честных людей.

Так брать нужно продукцию А-брендов -- там с безопасностью все в порядке

Ясно-понятно: "не читал, но неодобряю"

Вот вообще пофиг
Ага: "мало чем отличается"... Правильнее сказать: у них мало что общего.

Так брать нужно продукцию А-брендов -- там с безопасностью все в порядке

Ясно-понятно: "не читал, но неодобряю"

Так я и рассуждаю исходя из того, что там сделано все профессионально. Но есть подозрения, что там может быть полная лажа с безопасностью. Как везде...

Ага: "мало чем отличается"... Правильнее сказать: у них мало что общего.

если мало что общего значит лажа. Потому как в сим картах все сделано как-раз как положено.

Ключ из карты прочитать нельзя. Можно только передать данные которые нужно зашифровать или получить хеш и карта это сделает сама. Т.е. ключ нельзя скопировать, перехватить и т.п., т.к. он не покидает пределов карты. Так это должно работать при правильной реализации.

Так брать нужно продукцию А-брендов -- там с безопасностью все в порядке

Ясно-понятно: "не читал, но неодобряю"

Так я и рассуждаю исходя из того, что там сделано все профессионально. Но есть подозрения, что там может быть полная лажа с безопасностью. Как везде...

Ага: "мало чем отличается"... Правильнее сказать: у них мало что общего.

если мало что общего значит лажа. Потому как в сим картах все сделано как-раз как положено.

Так и я про то же: о проблемах я не знаю, но мнение имею

Угу, только это "как-раз как положено" ломается поддельными базовыми станциями... -- которых в "электронных подписях" нет по-определению...

которых в "электронных подписях" нет по-определению...

Вместо базовых станций есть интернет, который подключен к машине на которой выполняется электронная подпись. Это еще хуже, т.к. базовую станцию нужно поближе к телефону подсунуть, а интернет доступен из любой точки мира.

Т.е. злоумышленник может сидеть где-то в Африке и удаленно использовать вашу ЭП на вашем-же компьютере для подписания каких-то документов, не имея физического доступа к вашему компьютеру и вообще находясь за тысячи километров от него. А вы этого даже не заметите.

которых в "электронных подписях" нет по-определению...

Т.е. злоумышленник может сидеть где-то в Африке и использовать вашу ЭП на вашем-же компьютере для подписания каких-то документов, не имея физического доступа к вашему компьютеру и вообще находясь за тысячи километров от него. А вы этого даже не заметите.

Вместо базовых станций есть интернет, который подключен к машине на которой выполняется электронная подпись. Это еще хуже, т.к. базовую станцию нужно поближе к телефону подсунуть, а интернет доступен из любой точки мира.

И именно с учетом "это еще хуже" механизмы и разрабатывались.

Мы опять с Дии переключились на подписи вообще?.. -- так все полностью аналогично: не пускаем злоумышленников из Африки на свой же компьютер для подписания каких-то документов -- и даже замечать ничего не нужно.