Коментари - Експерти: Ако електронен подпис е изтекъл от НАП, може да се изтегли кредит на чуждо име | Днес.dir.bg

Може да са купили пръскачки, които са трудни за хакване, с тях.

Значи това работи така Отиваш в една организация и ти си показваш личната карта. Те ти пускат данните в една програма, която генерира двойка ключове - частен и публичен. На теб ти дават частния а те си вземат публичния(?). Когато искаш да подпишеш даден документ, се пресмята хеша, лепва се накрая на документа и се криптира с частния ключ и се слагат метаданни, които да насочат към алгоритъма на криптиране и къде да се намери публичния ключ. Като се декриптира се декриптира с публичния ключ, пресмята се хеша и всички сме сигурни вече, че си ти. Да ама ако никой не ти съхранява частния ключ никъде, което въобще не е сигурно щото отнякъде трябва да го вземеш, от някоя оторизирана организация, ползваща се с доверие от всички (и като ми тръгна една карта ..... пусни си го в гугъла ) .....

Частния ти ключ е на смарткартата която е четеца. Той не излиза от там.

е доста некоректно твърдение. Самият факт, че алгоритъмът за криптиране го чете за да "подпише" документа, тоест да го криптира значи, че той излиза от там. Чете се от компютъра.Това първо, второ преди да влезе в смарт картата е бил генериран от друга програма. Какво ти гарантира, че организацията, която е създала двойката ключове не е издънена? Или че специалистите там са добронамерени и няма да се възползват от ситуацията да събират информация нерегламентирано? Което между другото масово се практикува в световен мащаб

отде си чак толкова уверен в това?

Цифровите сертификати, включително и този на дир.бг имат две части - публичен и частен ключ. Публичния е известен на всички, частния се съхранява само при получателя. Изпращача кодира съобщението с публичния клюя, но НЕ МОЖЕ да декриптира информацията обратно. За това е необходим частния ключ. Аналогията за публичен ключ е отключен катинар - всеки може да го използва и да го заключи, но само притежателя на ключа (частния ключ) може да го отключи. А за сертификата на дир.бг - ако сте с Chrome натискате на катинара до адреса -> Certificate -> Details -> Public key: 30 82 01 0a 02 82 01 01 00 b5 86 39 f7 81 d8 bc 68 47 66 20 f6 9c f0 4d b8 e1 bd 09 52 a1 38 64 7b 7a db 46 ad 69 7a 3a 79 0a 20 5b b0 af eb 8c 2e cb 90 97 d6 0e a9 3e 7d 68 d4 9a 17 89 3a a8 96 4f 10 77 86 1e e6 28 29 cf 8a 7a e6 07 9e 21 58 76 5a 49 fb 0c 35 fd 0f a4 69 6f b0 0e f1 26 c0 7f b9 2f e5 85 65 71 a1 2f e8 a4 1e 27 b1 dc 46 d9 02 e2 15 e4 81 da 5b 4d 5c 26 c6 1e 65 ea 8e 15 85 3d ed 41 6e 06 4a 97 64 59 94 7d ca 0a 67 79 23 2d 4f d4 63 53 8f 44 57 c2 80 a0 ba b0 a4 6f 45 ce 72 9b 3b 3f a6 98 9e cb 6c 50 d5 1d 89 78 92 fa 32 80 68 b9 c4 c7 d7 73 08 66 17 ed fa a1 54 c3 24 84 a7 df f8 6d 84 7b 9c 67 c6 e2 d5 68 4d 5a 85 ec 47 64 a8 2e e7 10 db 08 5a 0c f5 60 06 9b 6c af fa aa e6 66 5a bf d4 b2 52 26 5a 96 6b d3 92 fc 22 29 eb c3 4c 57 17 83 c7 1e 47 8b 74 e5 a6 ea 27 fb 45 02 03 01 00 01

От куде НАП имат секретните ключове от подписите? Как са изтекли? От Информационно обслужване, Борика, другаде?

Понеже се прокрадна новината за участие на бопаджиите и възможността вредите да надхвърлят очакваното, сега вече ще настъпи апокалипсис в системата ако електронните подписи плъзнат из ефира. Онова, което медиите пробутаха първоначално или е било грозна лъжа подадена от полицията или е истина, която издава жестока злокачествена тъпотия. Така или иначе младият умник заради тази работа заедно с шефовете си трябва да получи максимална присъда, защото поражението ще надмине очакванията. Започнат ли злоупотреби , системата ще преживее грозен скандален колапс. Тогава всичките тия умни ай-ти специалисти трябва да бъдат подложени на много щателни разпити относно дейността си. Защото в нашия разграден двор се извършва икономическа диверсия и няма никакво оправдание защо се търпи? Им толкова генерали и експерти по национална сигурност, че всичките трябва да си хвърлят дипломите и да идат да се скрият, а УНИБИТ да се разруши , защото отглежда тъпанари.

Да ви имам експертите ... Няма начин електронния ви подпис да изтече от НАП, при тях имат само публичния ключ, който да проверява подписаните от вас неща. Хайде стига вече глупости и паника.

Уби си го написал, ся кажи от къде да си дръпна кредитче с електронен подпис

Съвсем коректно си е :) подписването става от самата смарт карта, не от софтуера, който подготвя хеш сумата за подпис :)

В Дира май само " експерти" виреят - кеф ти цифров подпис , кеф ти чума по свинете . Този сайт е позор на нацията

Еспертът е ескперт, получил своята експертиза от самозвани експерти. :)

Който не иска да мисли и да чете книги, накрая го хакват и си гризе задните части.

бях се нагласил да ги храня и аз , ама гледам че има 10 преди мен

да не коментираме изтеклите електронни подписи... това е пълна дивотия и няма как да стане. А искате ли да коментираме "удостоверителите" на електронни подписи? които са 3-4 български фирми, на КОИТО НИКОЙ В СВЕТА НЕ ВЯРВА. и понеже никой не вярва, техните публични ключове не присъстват в нито един браузър. Единственият начин да направите купеният от вас "електронен подпис" да работи, е да си ХАКНЕТЕ БРАУЗЪРА, като добавите този недостоверен ключ на издателя към списака издатели ня които вашия браузър вярва. ОТ там нататък... аз лично напуснах българия хахахаха кой по дяволите застави всички български граждани ползващи "електронен подпис" да плащат за това което описах по-горе ?!?! ей това ако някой ми обясни ? защо за да ви ползвам глупавия ключ, трябва да платя пари, след това да си хакна браузъра ????

Никой не е длъжен да чете умни книги и да си напряга мозъка, само за да постигне същия резултат, който примерно дядо му преди е постигал с по-прости средства. Като принуждава човека да ползва новите технологии, властта насажда недоверие и омраза към тях. След това се чудим откъде се вземат лудитите, и откъде на автори като Франк Хърбърт им идват идеи като тази за революция срещу роботите.

Голям си наивник, ако сериозно смяташ, че браузърът ти не пристига при теб вече хакнат, чрез присъствието в него на доверени публични сертификати на Symantec, GoDaddy и кой ли още не, които са само малко по-заслужаващи доверие от нашите удостоверители, и ще клекнат с удоволствие на американските агенции ако те го поискат, и ти няма дори да разбереш за това.

дотолкова съм наивник, че от майкрософт и гугъл не се крия. Не само не се крия, ами всичката ми частна и лична информация е там. Знам че могат да ми я четат, и съм ОК с това. Знам че няма да си я загубя, и знам че не съм интересен на ЦРУ. А една от тези 5 "удостоверителни" компании в българия дори не знаеха ка да си пуснат OCSP Validation и се наложи да ги обучавам... ех спомени... и плащате на тези ?

Така е, ама всеки ден сме тук...

Единственият вариант е от издателя на сертификата.

Освен ако издателят на сертификата не е предоставил любезно частния ключ на НАП/ДАНС/БОП/КНКОМПОТ. Но не, това не е възможно.

Тоя "експерт" Николова явно сутрин дава на компютъра банички, да не я ухапе ...

Това сигурно са "експерти" със лява ориентация. Електронният подпис в НАП садържа само публичната част от ключа която не би триабвало дори да е тайна но не може да се използва за правене на каквото и да е от нечие име. Ама нали трябва да има паника и дезинформациа по почина на съветското информбюро...

Ако някой ти има данните може да ти навреди и без да има електронен подпис (той трябва само ако се ползва Интернет, но измама може да се извърши и без да се ползва мрежата)!

Ами системата работи в рамките на България, без особени проблеми засега. Защо да не плащаме?

И най-вече от кога НАП е издател на електронни подписи? Кой глупак си държи частния ключ в НАП? Издателят подписва публичния ключ, не му трябва да знае частния.

Абе какви са тия "експерти", дето изобщо нямат представа как работи публичната криптография?! И не знаят, че частният ключ на електронния подпис, който служи за подписване, изобщо не се съхранява в НАП или в някоя друга институция, а на "флашката" на собственика на подписа? Но, да, съществува известна опасност, само че при следните условия: - дръжите електронния си подпис постоянно включен в компютъра, или го забравяте включен и компютърът ви работи без надзор, или просто го държите необосновано дълго време включен - някой хакне компютъра ви, така че да има достъп до него, и успее да прихване пин-кода на електронния ви подпис - този някой разполага с личните ви данни - което в днешно време е най-лесната част. Тогава същият този някой може да подпише документи от ваше име. Дали с тези документи ще успее да изтегли кредит от ваше име? Тук вече ще трябва да разчитате, че разните там фирми за бързи кредити и/или институции си вършат работата качествено и съвестно. Което в България не е много достоверно, нали? Затова изводът е - включвайте електронния си подпис само за няколко секунди, колкото да подпишете каквото ви трябва, и веднага го изваждайте. И, разбира се, пазете си компютрите и внимавайте да не кликате по съмнителни линкове. Така вероятността за проблеми се свежда до разумно малки проценти.

Изтекли са през пръскачките пред Народното събрание. От там е и дипломата на изказалите се "експерти".

И какво искате да ни кажете, че трябва да се бръкнем и за подновяване на подписа ли сега????? Ами то от такъв ''проспериращ'' живот освен да вземеш някой заем да си човек седмица и след това да броиш стотинки година друго не остава на българите...

Надеждата умира последна:(((((все се надяваме нещо да се прочете реално практично независимо от плащанията за него...

Публичният ключ може И се съхранява на много места. Задължително се съхранява в хранилището на доставчика на удостоверителни услуги издал съответния цифров сертификат (т.нар. "електронен подпис") заедно със списък на оттеглените сертификати (CRL - Certificate Revocation List). Бъдете сигурни, че НАП не съхраняват публичните ви ключове (на тях не им трябват), НО и че не проверяват сертификатите Ви в CRL-a.

Спокойно, и в другите държави има местни издатели на електронни подписи, на които цял свят, включително у нас, никой не вярва. Обратното би било все едно да си издадеш български документ за самоличност в Колумбия. А онези, на които всички вярват, са ориентирани към сървърни сертификати, на които трябва всички да вярват.

Ако не сме ние, кой ще допринася за позора?

Този експерт, след като е издойл овцете и ги е изкарал на паша, по време на сутрешната почивка е решил да се изкаже, за да даде своя принос в развитето на обществения живот в страната ни.

До goose: Глупости. Глупости на квадрат. Смарт-картата в USB четеца за смарт-карти е само хранилище, криптирано хранилище за данни с отвратително малък капацитет (64KB, 128KB до към 512KB). Да бе да е прав почти 99.5%. Частният ти ключ е достъпен за една камара "софтуер" писан от "ВЕЛИКИ" програмисти като Информационно обслужване (едновремешните ActiveX контроли на НАП, сегашното им външно Java приложение за подписване), Java аплети-те на НСИ и ТР за подписване и прочие код, който ползваме на сляпо.