"Дія" із сюрпризом. Чому "електронний паспорт" від Мінцифри робить з вас здобич кібершахраїв
Розроблений Мінцифри "електронний паспорт громадянина України" таїть у собі безліч підводних каменів і небезпек для персональних даних громадян, роблячи їх легкою здобиччю кібершахраїв.
Я бачу в стрічці неабияку ажитацію з приводу того, що Україна стала "першою країною у світі з електронними паспортами". Я так вважаю, за стійкістю державних інститутів, доходами і хайтеком ми вже обігнали Європу, а Штати просто мовчки плачуть, кусають лікті і заздрять небаченому прогресу в наших Нью-Васюках.
Я нагадаю, що таке паспорт. Це, сюрприз, захищений документ, зроблений так, щоб його важко було скопіювати або використовувати комусь ще (і ці властивості разюче відрізняються від мобільних телефонів).
Існує він сам по собі, без хитро схованих на місцях "форм 1" (ті форми — децентралізований реєстр, зроблений так, щоб максимально ускладнити доступ до нього з боку чиновників та інших бандитів, у першу чергу. І це зовсім не випадково). Ускладнити, не спростити. Потрібна "форма 1" не для того, щоб на неї QR-коди кидати.
Модель з реєстром — це китайський варіант. У ній досить просто записати номер паспорта на серветці або посміхнутися в камеру великого брата. ID-карти, попри всю недосконалість технології, підсилюють і продовжують паперовий тренд. А ось токен, він цілком вилучається з "дірявого" телефону.
Тепер, щоб життя медом не здавалося, Мінцифри, замість того, щоб видати е-документ: "Такий-то отримав дані паспорта такого-то тоді-то. З повагою ваша Дія, підпис", збирається ввести пермалінки замість ефемерних QR-кодів, що, без сумніву, дуже прискорить і полегшить шахрайство.
З приводу static QR. Ви ж розумієте, що буквально через кілька місяців з'явиться сервіс "підбери собі паспорт за фото", доларів за 5-10? І ці статичні коди будуть витікати з усіх щілин — готелі та банки — у першу чергу.
Якщо не зроблять, то десь через рік будуть продаватися токени від Дії. Або навіть доступи для тунелювання ідентичності. (Чорний ринок просто теж консервативний і йому потрібен час на освоєння технологій).
І так уже тисячі людей тицяють злоДІЮ, що рано чи пізно закінчиться supply-chain атакою, а те, що заплановано — повний алес.
Ідентифікація — не в карті, не в мобілці, не в книжечці і не в цифровому підписі. Ідентифікація відбувається, коли у вас є "артефакт", який важко скопіювати, і ви самі (скопіювати ще складніше).
Проблема ще в тому, що, хоч телефон та імейл зручно використовувати для того, щоб відрізняти одну людину від іншої, вони ніколи не замислювалися як ідентифікатори. Відрізнити одного від іншого, і довести що ти — це ти, це дві дуже різні речі.
ВажливоСуть ідентифікації за паспортом полягає в тому, що оригінал цього документа існує в однині, а його підробка нещадно карається законом.
ID-карта (на відміну від Дії) якраз підсилює унікальність, а не розмиває її. (ID теж не цукор, там є свої особливості і потенційні боки, але виграш, який дає цифровий підпис, їх перекриває). При цьому цифровий підпис поліграфкомбінату охороняється, як зіниця ока (я сподіваюся на це), і нікого не ідентифікує (про цю помилку варто поговорити окремо) і не лежить у теці "Downloads" на телефоні.
Я не знаю, наскільки потрібно бути розумово відсталим "хіпстером-жижеталізатором", щоб не розуміти елементарних речей. Якщо ви хочете, щоб Україна посіла перше місце у світі з identity theft, тоді радійте, звичайно, хто ж вам заборонить.
Публікується з дозволу автора.