monobank

NFC для Дії необхідно, щоб упевнитися в наявності біометричного документу на руках...

Але ж і "Дія.підпис" функціонує схожим чином. Хоча нещодавно там відбулися зміни, і тепер підписати документ можна тільки за допомогою NFC, то може вони дійсно відмовилися від зберігання ключів в себе.

Это когда такое изменение было? У тех, что я читал, NFC добавили только на этап генерирования ключа. А на стадии, собственно, подписи, наоборот, убрали проверку по фото и оставили только ввод кода. Правда, код теперь стал шестицифренным. Может и действительно весь ключ только из этого кода и состоит теперь...

Але ж і "Дія.підпис" функціонує схожим чином. Хоча нещодавно там відбулися зміни, і тепер підписати документ можна тільки за допомогою NFC, то може вони дійсно відмовилися від зберігання ключів в себе.

Это когда такое изменение было? У тех, что я читал, NFC добавили только на этап генерирования ключа. А на стадии, собственно, подписи, наоборот, убрали проверку по фото и оставили только ввод кода. Правда, код теперь стал шестицифренным. Может и действительно весь ключ только из этого кода и состоит теперь...

Изменение было сделано недавно, не скажу когда именно.
Но точно знаю, что теперь дія.підпис на устройстве без NFC даже не запускается, в привычной манере не упоминая даже полслова о том, в чём, собственно, проблема.

Я не знаю, как там реализован процесс шифрования, но знаю, как должно быть.
Ключ шифрования для подписи должен храниться в документе, который прикладывается к NFC. Его чип и подписывает хеш документа, не отдавая ключ в телефон/планшет (откуда его можно украсть). В идеале в чипе вообще не должно быть механизма, позволяющего ключ шифрования оттуда считать. Поэтому никакой генерации ключа быть не должно, ключ генерируется и записывается в чип один раз при изготовлении документа.

Код на входе в программу - это просто парольная защита приложения, никакого отношения к подписи не имеет.

Я не знаю, как там реализован процесс шифрования, но знаю, как должно быть.
Ключ шифрования для подписи должен храниться в документе, который прикладывается к NFC. Его чип и подписывает хеш документа, не отдавая ключ в телефон/планшет (откуда его можно украсть). (...)

Абсолютно согласен. Но здесь нас поджидает очередная подстава.
Краем уха слышал, что при выдаче ИД-карты у неё дефолтный пин-код 2222, и поменять его нельзя. А это дополнительно ломает всю логику процесса эл.подписи. (тырим чужую ИД-карту, прикладываем, вводим известный пин-код, подписываем от имени левого чела)
(правда, слышал это до 2022. Может, что-то и поменялось. Может даже в лучшую сторону )

Изменение было сделано недавно, не скажу когда именно.
Но точно знаю, что теперь дія.підпис на устройстве без NFC даже не запускается, в привычной манере не упоминая даже полслова о том, в чём, собственно, проблема.

Видимо, совсем на днях. Две недели назад у меня на смартфоне без NFC ещё было так: https://diia.gov.ua/news/diiapidpys-nfc ... zruchnosti Т.е., если со старых времён сохранился ключ ("створений Дія.Підпис"), то всё запускается и подписывается, требуя только введения кода подписи. Потом этот ключ пролюбили, выйдя из Дии, и стало говорить, что для создания нового уже нужен NFC. Вполне внятно. Но это неделю назад было. Может сегодня уже и совсем не запускается.

Код на входе в программу - это просто парольная защита приложения, никакого отношения к подписи не имеет.

А он тут при чём? Тот для общей защиты приложения. Я про код, который вводится на этапе подписи. Который раньше был 5 цифр + фото, а теперь просто 6 цифр. Может и он к подписи не имеет и его спрашивают по приколу. Но если другой ключ не хранится, то только этот код для подписи и остаётся.

Ну так, воно з самого початку функціонує таким чином. Але річ у тому, що це нівелює саму ідею електронного підпису. Коли приватний ключ стає відомим третій особі, це називається компроментацією, і в загальному випадку такий ключ підлягяє негайному маркуванню як вилучений, і подальшому перевипуску. А тут ключ з самого початку відомий не просто третій особі, а саме тій особі, яка з великою ймовірністю може бути опонентом чи навіть відповідачем в спорах з шахрайства, пов'язаного з використанням електроних засобів доступу.

Саме так. Тому вважаю, слід подати запит в банк на наявність механізму відзиву свого ключа із монобанку. Або як мінімум дізнатись термін дії поточного ключа, який вони згенерували для вашого імені (а ключ 100% має expiry date), і тоді, якщо закрити рахунок вже зараз, буде впевненість, що після цієї дати ніхто нічого не підпише.
А взагалі, такими шарашкіними конторами взагалі треба перестати користуватись. Що з мого боку вже і зроблено. Але мільйони(!) людей все ще обожнюють цей бренд.

Я про код, который вводится на этапе подписи. Который раньше был 5 цифр + фото, а теперь просто 6 цифр. Может и он к подписи не имеет и его спрашивают по приколу.

Це лише пін-код, і дійсно, він до ключа не має жодного відношення. Ну, це лиш ширмочка до підпису, щоб уже геть зовсім нічого не лишати без вводу хоч якогось коду. Але це - не сам підпис. І це - кричуще невігластво! Або ж... так і було задумано? Така собі закладена бомба в майбутнє, якщо треба буде щось у громадян централізовано відібрати - ну там, сучасне розкуркулення запустять чи що (з влади станеться)...😠 Ключі фізосіб у банків та в держави (з дії) у руках. Все підпишуть за людей, і юридично все буде чисто.

Тому я принципово виступаю проти як дії, так і зашитих в різні банк.додатки ключів. Це нівелює саму суть електронного цифрового підпису. Більше того, це наче роблять із користувача інваліда: ну от уявіть, що це замість вас беруть ручку і підписують паперовий документ вашим підписом! Нечувано!

У підсумку: лише реальна наявність ЕЦП (КЕП) на руках дає контроль над тим, які документи дійсно підписані вами. Тому - ключ від Привату (або іншого джерела, яке вам доступне для генерації файлового ключа) маст хев для того, щоб бути впевненим у тому, що електронний підпис, який начебто належить вам (криптографічно), був поставлений на конкретний документ справді і безпосередньо вами.

Но это неделю назад было. Может сегодня уже и совсем не запускается.

Это и сейчас запускается. Чисто случайно создал новый Дию-підпис буквально за пару дней до обязательности NFC. Все работает. Чисто по коду (пину). Фотоверификацию не требует. Главное теперь я так понял из Дии на телефоне не выходить

Краем уха слышал, что при выдаче ИД-карты у неё дефолтный пин-код 2222, и поменять его нельзя.

В момент выдачи ID-карты сотрудник ДМС записывает PIN1, PIN2, PUK1, PUK2 коды. Обычно дают бумажку, чтобы на них ты записал эти коды и передал сотруднику. Но зачастую эти коды указывают стандартные.

Да, указанные коды обновить нельзя. Возможно, PIN1 и PIN2 можно изменить, если их заблокировать и потом разблокировать вводом PUK1 и PUK2.