е-банкиране БЕЗ ел. подпис?

[garnet]

Re: От: е-банкиране БЕЗ ел. подпис?

В БГ всичко е една порнография при банките. Мога да напиша книга.
Как е в УК? Име/парола и произволни 3 символа от поне 10 символа тайна фраза. Има значение реда на 3те символа т.е. 123 не е 213!!!
Това ми дава да правя преводи и всичко без проблем на лична сметка.
За фирмената сметка е картата на фирмата се слага в една пишка и генерира код при превод само. Пишката е безплатна.

 

[happyslacker]

От: е-банкиране БЕЗ ел. подпис?

Има си и хранилища на тия неща, и аз лично ги чух от преди 15 години, да речем. Технологията е дръта на Библия, и досега няма и помен от пробив.
Ама си е за цяла отделна тема.

За публичните PGP key servers ли става въпрос?

https://pgp.mit.edu/
http://keyserver.pgp.com/vkd/GetWelcomeScreen.event

Електронните подписи, които предлагат фирмите в България, са също толкова сигурни, колкото и подписа, който си генерираш сам с GnuPG или там каквато имплементация на OpenPGP ползваш. Лицето, което продава услугата няма достъп до частния ключ (или поне така твърди). Той е записан на памет, от която не може да бъде прочетен (може само да се подават данни и те да се подписват).

Това, което всъщност предлагат фирмите, които предлагат „електронен подпис“, е да удостовери самоличността на носителя му. публичните PGP key servers не го могат това. Потребителите биха могли да си подписват един на друг ключовете, обаче това има редица недостатъци и ограничения.

Тема: Ползвате ли PGP/OpenPGP/GnuPG/Gpg4win?

 

[jkminkov]

От: От: е-банкиране БЕЗ ел. подпис?

Разликата между DIY OpenPGP ключ и "електронен подпис" е, че във втория случай едни частни бюрократи гарантират, че ти си притежателя на частния ключ (докато не ти го откраднат)

частния ключ ти е на картата, която би трябвало да ти е джоба/сейфа, а пин кода/16 символа/ ти е в главата

 

[mvmrik]

От: е-банкиране БЕЗ ел. подпис?

В ЦКБ вече стана още по-сложно. Освен електронен подпис добавиха и потвърждение с SMS код, който дори се бави и го чаках около 5 минути.

 

[happyslacker]

От: От: е-банкиране БЕЗ ел. подпис?

частния ключ ти е на картата, която би трябвало да ти е джоба/сейфа, а пин кода/16 символа/ ти е в главата

Всички електронни подписи ли изискват ПИН код?

Ако имаш троянец на компютъра (достатъчно добре направен и е заменил браузъра с модифициран) - електронния подпис няма да те спаси. Вкарваш си електронния подпис в USB порта на компютъра, въвеждаш пин кода и вместо да преведеш пари на НАП се оказва, че си превел парите на някой продавач на камъни (мулето може да ти се обади по телефона за да ти благодари, че работиш с фирмата му за търговия с камъни - това е по действителен случай, тъпотата на мулетата е безгранична).

 

[jkminkov]

От: е-банкиране БЕЗ ел. подпис?

включваш картата(флашката), подписваш с ПИН, след това изваждаш картата, а за по-сигурно затваряш браузера.

с кей логер могат да ти хванат пина, но като извадиш флашката, не могат да подпишат

 

[¦•••SHERIFA•••¦]

От: е-банкиране БЕЗ ел. подпис?

16.10.2014: DSK @ Token за бизнес users @ 24 марки.

 

[Rabin]

От: е-банкиране БЕЗ ел. подпис?

включваш картата(флашката), подписваш с ПИН, след това изваждаш картата, а за по-сигурно затваряш браузера.
с кей логер могат да ти хванат пина, но като извадиш флашката, не могат да подпишат

ПИН, парола и т.н. не би трябвало да се считат за сигурен канал.

Всички електронни подписи ли изискват ПИН код?
Ако имаш троянец на компютъра (достатъчно добре направен и е заменил браузъра с модифициран) - електронния подпис няма да те спаси. Вкарваш си електронния подпис в USB порта на компютъра, въвеждаш пин кода и вместо да преведеш пари на НАП се оказва, че си превел парите на някой продавач на камъни (мулето може да ти се обади по телефона за да ти благодари, че работиш с фирмата му за търговия с камъни - това е по действителен случай, тъпотата на мулетата е безгранична).

По принцип PGP може да гарантира, че само те (НАП) могат да получат инфо, генерирано само от теб. Някакъв токен да речем.

За публичните PGP key servers ли става въпрос?

https://pgp.mit.edu/
http://keyserver.pgp.com/vkd/GetWelcomeScreen.event

Електронните подписи, които предлагат фирмите в България, са също толкова сигурни, колкото и подписа, който си генерираш сам с GnuPG или там каквато имплементация на OpenPGP ползваш. Лицето, което продава услугата няма достъп до частния ключ (или поне така твърди). Той е записан на памет, от която не може да бъде прочетен (може само да се подават данни и те да се подписват).

Това, което всъщност предлагат фирмите, които предлагат „електронен подпис“, е да удостовери самоличността на носителя му. публичните PGP key servers не го могат това. Потребителите биха могли да си подписват един на друг ключовете, обаче това има редица недостатъци и ограничения.

Тема: Ползвате ли PGP/OpenPGP/GnuPG/Gpg4win?

Ами да, държавната агитка ти го подписва, след като чинно, лично и надлежно се наредиш на опашка и си платиш да кажат едно нещо. Че тоя подпис отговаря на тая лична карта.
п.с. Дори не гарантират, че електронният подпис е мой, а само, че са припознали личната ми карта.

Дори програмистите, дето имплементират подписите в услугите на администрацията - не са наясно баш какво става в тая флашка. Лично се убедих.

 

[Вискяр Градинаров]

От: От: е-банкиране БЕЗ ел. подпис?

ПИН, парола и т.н. не би трябвало да се считат за сигурен канал.

По принцип PGP може да гарантира, че само те (НАП) могат да получат инфо, генерирано само от теб. Някакъв токен да речем.


Ами да, държавната агитка ти го подписва, след като чинно, лично и надлежно се наредиш на опашка и си платиш да кажат едно нещо. Че тоя подпис отговаря на тая лична карта.
п.с. Дори не гарантират, че електронният подпис е мой, а само, че са припознали личната ми карта.

Дори програмистите, дето имплементират подписите в услугите на администрацията - не са наясно баш какво става в тая флашка. Лично се убедих.

Българската държава - съвременната, е построена на прибиране и усвояване.
Не очаквайте нормалност и разумност.

 

[Rabin]

От: е-банкиране БЕЗ ел. подпис?

Понеже ме питаха за флашката.
Значи, електрическите сертификати са в джоба на всеки. Картата за метрото, контрола за достъп на работа, картата на сателитната ТВ, електронният подпис, ключа на колата (съвременните), кредитната карта... правят едно и също нещо. Вътре в изброените има дребен микропроцесор и малко флаш за програмката му, както и за самия секретен ключ. Това е поредица от 64 до 4096 байта, с това и мерят силата на криптирането. На тоя чип отвън му се подава информация, генерирана през секретния ключ на НАП да речем, и публичния на електронния ти подпис. Математиката е такава, че само тоя чип вътре разполага със секретния ключ, и на база на него връща модифициран отговор на входните данни. Т.е. през кръстосването на чуждия секретен, с който е подписано съобщението, и твоя публичен - е безспорен и непробиваем начин да се гарантира, че само ти може да го отвориш, и точно НАП ти го изпраща.

 

[happyslacker]

От: е-банкиране БЕЗ ел. подпис?

включваш картата(флашката), подписваш с ПИН, след това изваждаш картата, а за по-сигурно затваряш браузера.

с кей логер могат да ти хванат пина, но като извадиш флашката, не могат да подпишат

Значи въвеждаш пин кода на клавиатурата на компютъра? Докато въвеждаш пин кода и докато флашката е вътре, няма никакъв проблем (ако троянеца е достатъчно „умен“) да ползват електронния подпис за да подпишат транзакция, която не искаш да нареждаш. Ти виждаш на екрана, че си плащаш данъка, обаче всъщност купуваш камъни. Това, което виждаш на екрана се контролира от троянеца - може да видиш и слон да лети.

 

[happyslacker]

От: От: е-банкиране БЕЗ ел. подпис?

Ами да, държавната агитка ти го подписва, след като чинно, лично и надлежно се наредиш на опашка и си платиш да кажат едно нещо. Че тоя подпис отговаря на тая лична карта.

А частникът как ще печели при това положение? Сега системата е такава, че се редиш на опашка при частника. Той ти взима парите и удостоверява, че частния ключ, който съответства на едикойси публичен ключ, е даден на едикого си.

По принцип няма проблем НАП да бъде CA - обаче така ще умре бизнеса на частниците (защото масово електронния подпис се ползва за достъп до услугите на НАП). Много банки (примерно Токуда) дават възможност на клиента да не се набутва с „квалифициран електронен подпис“, а дават сертификат на клиента, като банката е CA (трябва да си носите флашка когато си активирате електронното банкиране - иначе няма начин да си получите сертификата).

После ако трябва да упълномощиш някой друг да ти подава документите към НАП от твое име, трябва да се редиш на опашка при НАП за да им дадеш една бумага, на която пише, че упълномощаваш едикойси да подписва декларациите от твое име. (Така може да нямаш електронен подпис - само упълномощеното лице трябва да има.)

 

[Rabin]

От: От: е-банкиране БЕЗ ел. подпис?

...
По принцип няма проблем НАП да бъде CA - обаче така ще умре бизнеса на частниците (защото масово електронния подпис се ползва за достъп до услугите на НАП). Много банки (примерно Токуда) дават възможност на клиента да не се набутва с „квалифициран електронен подпис“, а дават сертификат на клиента, като банката е CA (трябва да си носите флашка когато си активирате електронното банкиране - иначе няма начин да си получите сертификата).
...

Ето, че сам потвърждаваш! Съществува напълно сигурна, безплатна и независима система от електронни тръстове, дето са си истински електронни подписи. Ама що да намаляваме товара на няма и двата милиона работещи, дето носят на гърба си останалите 5?
Всяка лична карта може да е електронен подпис. Чиповете са центове, само един безконтактен reader трябва да си купиш, и се удостоверяваш в нета без компромиси със сигурността. Ама 800 те хиляди на държавна ясла няма да го допуснат. Те си знаят, че иначе на свободния пазар стават само за чистачки и строители. А сега ни събират по 20 лева годишно, за нещо, дето работи автоматично.

 

[happyslacker]

От: е-банкиране БЕЗ ел. подпис?

Маргиналната цена да се сложат чипове на личните карти е нищожна. Обаче ако го направят, продавачите на „Удостоверения за Квалифициран Eлектронен Подпис“ ще станат излишни.

Същата технология може да замени монополистите MasterCard и Visa.

Даже в Нигерия MasterCard действаха изпреварващо - интегрираха си картата с личните карти.

http://newsroom.mastercard.com/press-releases/mastercard-to-power-nigerian-identity-card-program/

За сега в африканските държави. Скоро и в Европа.

Тези карти обаче са неприложими за ATM, защото никой не би рискувал да си пъха личната карта в разни тесни процепи, тъй като рискува да остане без лична карта (а без лична карта не можеш да правиш много неща).

Трябва да направят банкоматите така, че да не се пъха цялата карта, само предната част (както се пъха в ПОС терминал). Иначе никой няма да рискува да си ползва личната карта на банкомат.

 

[Rabin]

От: е-банкиране БЕЗ ел. подпис?

Не е задължително картата да е с контакти. Спокойно може да е безжична. Май Булбанк беше - пуснали са безжични кредитни. Тоя чип не струва повече от картата за метрото. И може просто да го приближиш до банкомата.

Държ. администрация е паразитна система, с единствена задача - да си отстоява рекетите. Над половината от паричния оборот отива при тях, и за още и още извиват ръце!

 

[happyslacker]

От: е-банкиране БЕЗ ел. подпис?

По въпроса за рекета: Кратка история на българския рекет (относно автора).

[video=youtube;N6uVV2Dcqt0]http://www.youtube.com/watch?v=N6uVV2Dcqt0[/video]

 

[jkminkov]

От: От: е-банкиране БЕЗ ел. подпис?

А частникът как ще печели при това положение? Сега системата е такава, че се редиш на опашка при частника. Той ти взима парите и удостоверява, че частния ключ, който съответства на едикойси публичен ключ, е даден на едикого си. По принцип няма проблем НАП да бъде CA - обаче така ще умре бизнеса на частниците (защото масово електронния подпис се ползва за достъп до услугите на НАП). Много банки (примерно Токуда) дават възможност на клиента да не се набутва с „квалифициран електронен подпис“, а дават сертификат на клиента, като банката е CA (трябва да си носите флашка когато си активирате електронното банкиране - иначе няма начин да си получите сертификата). После ако трябва да упълномощиш някой друг да ти подава документите към НАП от твое име, трябва да се редиш на опашка при НАП за да им дадеш една бумага, на която пише, че упълномощаваш едикойси да подписва декларациите от твое име. (Така може да нямаш електронен подпис - само упълномощеното лице трябва да има.)

нито НАП, нито МВР могат да бъдат CA защото това не им влиза в задълженията, пак ще се повторя - направете CA и продавайте КЕП за 5 лева...

 

[happyslacker]

От: е-банкиране БЕЗ ел. подпис?

Не става да се продава за 5 лева, защото CA има разходи, които превишават 5 лева много пъти.

Не съм чел законите, но вероятно има специални изисквания кои фирми да могат да бъдат CA. Не се съмнявам, че са сложили достатъчно високи бариери.

 

[jkminkov]

От: е-банкиране БЕЗ ел. подпис?

Не става да се продава за 5 лева, защото CA има разходи, които превишават 5 лева много пъти. Не съм чел законите, но вероятно има специални изисквания кои фирми да могат да бъдат CA. Не се съмнявам, че са сложили достатъчно високи бариери.

извинявам се, но...законите са публични, ако не са ти ясни може да питаш регулатора - КРС за разяснение...

 

[VMiloykov]

От: е-банкиране БЕЗ ел. подпис?

Да питам за Уникредит Булбанк, там нещата как са? Понеже искам да се махна от ДСК, а в Уникредит всичко ми изглежда много по-добре. С таксите как са, искат ли ел. подпис или токен?