SlideShare a Scribd company logo

О мошенничестве с электронными подписями

Natasha Khramtsovsky
Natasha Khramtsovsky

Выступление Натальи Храмцовской «О мошенничестве с электронными подписями и о том, как доказывать неизменность (неподдельность) электронных документов в суде» 28 ноября 2013 года на конференции Anti-Fraud Russia 2013 в Москве. В докладе обращается внимание на то, что технология ЭЦП/УЭП и поддерживающая её инфраструктура открытых ключей (PKI), во-первых, не являются 100%-надёжными, и, во-вторых, что мошенникам проще не ломать алгоритмы, а использовать социальную инженерию, вирусные атаки, модифицированное оборудование, специально подготовленные файлы, способные менять своё визуальное отображение и т.д. Предлагаются некоторые правовые меры, помогающие усилить защиту от мошенничества. Видеозапись доклада доступна по адресу: https://www.youtube.com/watch?v=ZS6lkuThW-M Dr Natasha Khramtsovsky's presentation “Fraud and Digital Signatures” delivered at Anti-Fraud Russia 2013 conference in Moscow, on November 28, 2013. The author emphasizes that digital signature and PKI technologies are not bullet-proof and can be broken. However in most cases the perpetrators do not break the algorithms. They prefer to use social engineering, viruses, “modified” hardware and specially crafted documents which are changing their visual presentation over time. The author suggests some regulatory measures for mitigating the risk of the fraud. Video of the presentation is available at https://www.youtube.com/watch?v=ZS6lkuThW-M

Business
1 of 20
Download to read offline
О мошенничестве с электронными подписями и о том, как доказывать неизменность (неподдельность) электронных документов в суде Храмцовская Наталья Александровна к.и.н., ведущий эксперт по управлению документацией компании «Электронные Офисные Системы», эксперт ИСО, член Международного совета архивов 28 ноября 2013 года AntiFraud Russia – 2013 1
Технологии PKI и ЭЦП/УЭП     Технологии достаточно надёжные, но … Всё, что один человек создал, другой всегда сумеет сломать. Ранние алгоритмы ЭЦП уже взломаны Самое страшное – слепая вера общества и суда в непогрешимость какой-либо технологии. В результате люди, пострадавшие от нового вида мошенничества, могут сами быть заподозрены в мошенничестве и наказаны Законодательство России не учитывает возможность такого мошенничества и плохо защищает от него 28 ноября 2013 года AntiFraud Russia – 2013 2
Доказательство компрометации хэш-алгоритма MD5, 2007-2008 г.    Теоретическая возможность коллизий для алгоритма MD5 была доказана в 2004 г. (проф. Xiaoyun Wang и др.), но многие считали эту угрозу не имеющей практического значения В 2007 г. Группа голландских специалистов (Marc Stevens, Arjen Lenstra, Benne de Weger) пообещала предсказать итоги выборов в США 2008 г. и сообщила хэш-значение PDF-файла с предсказанием На деле группа подготовила 12 (!) документов (10 выложены в сети), имевших один и тот же MD5-хэш – на все возможные исходы выборов http://www.win.tue.nl/hashclash/Nostradamus/ 28 ноября 2013 года AntiFraud Russia – 2013 3
У всех документов один и тот же MD5-хэш: 3D515DEAD7AA16560ABA3E9DF05CBC80 Необходимые вычисления были выполнены на Sony PlayStation 3 28 ноября 2013 года AntiFraud Russia – 2013 4
ЭЦП нередко подобна стальной двери в непрочной стене…  28 ноября 2013 года AntiFraud Russia – 2013 … поэтому злоумышленники идут по пути наименьшего сопротивления 5
Некоторые виды мошенничества, не требующие взлома алгоритмов  Подписать подписью жертвы подложный документ или транзакцию. Несанкционированное списание денег через системы «клиент-банк» и интернет-банкинг приняло массовый характер – Небрежное отношение к хранению и уничтожению закрытых ключей – Вирусы, «модифицированное» оборудование – Подписание жертвой специально подготовленных документов, визуальное отображение которых может меняться  Создание подставных удостоверяющих центров, имеющих право выпускать УКЭП 28 ноября 2013 года AntiFraud Russia – 2013 6
Эксперимент: подписание PDF-файла, содержащего активный контент   28 ноября 2013 года AntiFraud Russia – 2013 Используется JavaScript, делающий документ нечитаемым по истечении 10 минут Используется функция цифровой подписи в Adobe Acrobat 7
Прошла 1 минута … Подпись верна 28 ноября 2013 года AntiFraud Russia – 2013 8
Прошло 11 минут … Подпись попрежнему верна, - хотя Acrobat и заметил, что что-то не совсем «чисто» 28 ноября 2013 года AntiFraud Russia – 2013 9
Австрийское законодательство  Указ Федерального канцлера об электронных подписях 2000 г. (в редакции 2004 г.) – детализирует положения австрийского Закона об электронных подписях (редакция 2004 г., параграф 4 п.1) «Подписываться электронной подписью могут документы только в тех форматах, что рекомендованы поставщиком сертификационных услуг. Описания таких форматов должны быть общедоступны. Структура формата должна гарантировать неизменный вид документа как во время подписания, так и во время проверки подписи. Если формат допускает кодирование динамических изменений, то не разрешается использовать его элементы, вызывающие динамические изменения.» 28 ноября 2013 года AntiFraud Russia – 2013 10
Декрет Совмина Италии от 13.01.2004 «Технические правила создания, передачи, хранения, воспроизведения, репродукции и проверки электронных документов»  «Электронные документы, подписанные цифровой подписью или усиленной электронной подписью иного вида, основанной на квалифицированном сертификате и созданной при помощи защищённого устройства для создания подписи, не создают эффекта, указанного в п.3 ст.10 [презумпция подлинности] сводного текста [Кодекса ЭП], если они включают макросы или исполняемый код, способные изменить представляемые документами акты, факты и данные.» 28 ноября 2013 года AntiFraud Russia – 2013 11
Декрет Совмина Италии от 30.03.2009 «Технические правила создания, наложения и проверки электронной цифровой подписи»  Ст.3 п.3: «Электронные документы, подписанные цифровой подписью или квалифицированной электронной подписью иного вида, не создают эффекта, предусмотренного п.2 ст.21 Кодекса [презумпция подлинности], если они включают макросы или исполняемый код, способные изменить представляемые документом акты, факты и данные.» 28 ноября 2013 года AntiFraud Russia – 2013 12
Словакия: Стандарт СБ устанавливает требования к файловым форматам   «При подписании и проверке подписанных усиленной электронной подписью документов, необходимо, помимо самого подписания и проверки подписи, обеспечить также однозначную визуализацию подписанных документов»  28 ноября 2013 года «Требования к содержанию и формальные спецификации форматов документов, подписываемых усиленной электронной подписью», версия 1, Государственная служба безопасности (NBU) Словакии, 2007 Документ специфицирует транспортный формат для подписанных документов, роль которого заключается в обеспечении четкой идентификации типа подписанных документов для целей визуализации AntiFraud Russia – 2013 13
Словакия: Требования СБ к форматам усиленной электронной подписи, 2009    28 ноября 2013 года Процедуры, обеспечивающие возможность долгосрочной проверки электронных подписей Вводится новая аккредитованная услуга «долговременное сохранение электронных документов, подписанных усиленной электронной подписью» С 2008 года не разрешается сертифицировать приложения для работы с усиленной электронной подписью, которые не обеспечивают сохранения в самой подписи сведений о файловом формате подписанного документа AntiFraud Russia – 2013 14
"Как спрятать документ на видном месте“ Андрей Подкин , 15 августа 2007 года http://www.directum-journal.ru/card.aspx?ContentID=1953831   В зависимости от расширения файла, виден или Word-документ, или электронная таблица.  28 ноября 2013 года Фирма NT Kernel Resources бесплатно распространяет программу Merge Streams, позволяющую слить в единое целое документ в формате Word и Excelтаблицу. Если подписать такой файл ЭЦП – под чем будет поставлена подпись? AntiFraud Russia – 2013 15
2008 год: Итальянские специалисты описали аналогичную атаку на статические форматы   проф. Буккафури 28 ноября 2013 года  Атака строится на 1) создании «полиморфных» файлов, которые показываются по-разному в зависимости от расширения, и 2) на том, что используемые ЭЦП не «покрывают» имя файла Франческо Буккафури (Francesco Buccafurri) в ряде публикаций описал атаку на форматы BMP, TIFF, PDF. Независимо сходные результаты опубликовал чешский специалист Петер Рыбар (Peter Rybar) Итальянское Национальное агентство по вопросам электронного правительства (CNIPA) признало уязвимость очень серьёзной, и собирается предусмотреть контрмеры в очередной редакции итальянских правил применения ЭЦП AntiFraud Russia – 2013 16
Проверка усиленных квалифицированный подписей  В «Перечень аккредитованных удостоверяющих центров», размещенный на сайте Минкомсвязи, на 22 ноября 2013 года внесено 324 удостоверяющих центров – больше, чем во всем остальном мире  – А хватит ли нам 350? Может быть, их нужно больше? – Как правильно организовать проверку подписей? – Нужна ли централизованная система проверки сертификатов? 28 ноября 2013 года AntiFraud Russia – 2013 17
Представление доказательств в суды    Необходимо разработать правила предоставления электронных документов в суды Обеспечение долговременной сохранности электронных документов без ущерба их юридической значимости и доказательной силы Неполнота законодательно-нормативной базы не мешает судам принимать электронные документы. Значение правоприменительной практики. 28 ноября 2013 года AntiFraud Russia – 2013 18
Выводы    Мы идем по целине Очень важно критически относиться к технологии и понимать, что любой инструмент может быть использован не по назначению Нужно совершенствовать законодательство 28 ноября 2013 года AntiFraud Russia – 2013 19
Приглашаю Вас на мой блог: http://rusrim.blogspot.com/ а также на мои каналы на Slideshare и YouTube 28 ноября 2013 года AntiFraud Russia – 2013 20

Recommended

Technologie Proche: Imagining the Archival Systems of Tomorrow With the Tools...
Technologie Proche: Imagining the Archival Systems of Tomorrow With the Tools...Technologie Proche: Imagining the Archival Systems of Tomorrow With the Tools...
Technologie Proche: Imagining the Archival Systems of Tomorrow With the Tools...
Artefactual Systems - AtoM
 
Reflecties Provinciaal Cultuurbeleid Voor Sociaal Cultureel Volwassenenwerk
Reflecties Provinciaal Cultuurbeleid Voor Sociaal Cultureel VolwassenenwerkReflecties Provinciaal Cultuurbeleid Voor Sociaal Cultureel Volwassenenwerk
Reflecties Provinciaal Cultuurbeleid Voor Sociaal Cultureel Volwassenenwerk
Socius - steunpunt sociaal-cultureel werk
 
Cuadros Que Nunca Pintare
Cuadros Que Nunca PintareCuadros Que Nunca Pintare
Cuadros Que Nunca Pintare
Amio Cajander
 
Estudio con estadisticas y estado de situacion del Comercio Electronico y los...
Estudio con estadisticas y estado de situacion del Comercio Electronico y los...Estudio con estadisticas y estado de situacion del Comercio Electronico y los...
Estudio con estadisticas y estado de situacion del Comercio Electronico y los...
Marcos Pueyrredon
 
Grails66 web service
Grails66 web serviceGrails66 web service
Grails66 web service
Somkiat Puisungnoen
 
Toekomstfabriek
ToekomstfabriekToekomstfabriek
Toekomstfabriek
Socius - steunpunt sociaal-cultureel werk
 
Final At Quicker Speed
Final At Quicker SpeedFinal At Quicker Speed
Final At Quicker Speed
jaspang
 
Arriba Bolivia
Arriba BoliviaArriba Bolivia
Arriba Bolivia
Socius - steunpunt sociaal-cultureel werk
 

Recommended

Technologie Proche: Imagining the Archival Systems of Tomorrow With the Tools...
Technologie Proche: Imagining the Archival Systems of Tomorrow With the Tools...Technologie Proche: Imagining the Archival Systems of Tomorrow With the Tools...
Technologie Proche: Imagining the Archival Systems of Tomorrow With the Tools...
Artefactual Systems - AtoM
 
Reflecties Provinciaal Cultuurbeleid Voor Sociaal Cultureel Volwassenenwerk
Reflecties Provinciaal Cultuurbeleid Voor Sociaal Cultureel VolwassenenwerkReflecties Provinciaal Cultuurbeleid Voor Sociaal Cultureel Volwassenenwerk
Reflecties Provinciaal Cultuurbeleid Voor Sociaal Cultureel Volwassenenwerk
Socius - steunpunt sociaal-cultureel werk
 
Cuadros Que Nunca Pintare
Cuadros Que Nunca PintareCuadros Que Nunca Pintare
Cuadros Que Nunca Pintare
Amio Cajander
 
Estudio con estadisticas y estado de situacion del Comercio Electronico y los...
Estudio con estadisticas y estado de situacion del Comercio Electronico y los...Estudio con estadisticas y estado de situacion del Comercio Electronico y los...
Estudio con estadisticas y estado de situacion del Comercio Electronico y los...
Marcos Pueyrredon
 
Grails66 web service
Grails66 web serviceGrails66 web service
Grails66 web service
Somkiat Puisungnoen
 
Toekomstfabriek
ToekomstfabriekToekomstfabriek
Toekomstfabriek
Socius - steunpunt sociaal-cultureel werk
 
Final At Quicker Speed
Final At Quicker SpeedFinal At Quicker Speed
Final At Quicker Speed
jaspang
 
Arriba Bolivia
Arriba BoliviaArriba Bolivia
Arriba Bolivia
Socius - steunpunt sociaal-cultureel werk
 
Planificació 2
Planificació 2Planificació 2
Planificació 2
guest788572
 
Transformation Priority Premise (TPP)
Transformation Priority Premise (TPP)Transformation Priority Premise (TPP)
Transformation Priority Premise (TPP)
Somkiat Puisungnoen
 
機器人
機器人機器人
機器人
qwer1
 
Руководство NARA по управлению документами в электронной почте
Руководство NARA по управлению документами в электронной почтеРуководство NARA по управлению документами в электронной почте
Руководство NARA по управлению документами в электронной почте
Natasha Khramtsovsky
 
PROEXPOSURE Photos: Ethiopia
PROEXPOSURE Photos: EthiopiaPROEXPOSURE Photos: Ethiopia
PROEXPOSURE Photos: Ethiopia
PROEXPOSURE CIC
 
Настоящее и будущее делопроизводства и архивного дела
Настоящее и будущее делопроизводства и архивного делаНастоящее и будущее делопроизводства и архивного дела
Настоящее и будущее делопроизводства и архивного дела
Natasha Khramtsovsky
 
Brandon
BrandonBrandon
Brandon
mrounds5
 
Sociaal beleid en innovatie - Hans van Ewijk
Sociaal beleid en innovatie - Hans van EwijkSociaal beleid en innovatie - Hans van Ewijk
Sociaal beleid en innovatie - Hans van Ewijk
Socius - steunpunt sociaal-cultureel werk
 
Ontwikkeling en solidariteit
Ontwikkeling en solidariteitOntwikkeling en solidariteit
Ontwikkeling en solidariteit
Socius - steunpunt sociaal-cultureel werk
 
Happyshop
HappyshopHappyshop
Happyshop
Marcos Pueyrredon
 
Athletic club
Athletic clubAthletic club
Athletic club
javierherrera
 
Library Liaison Ver. 2.x
Library Liaison Ver. 2.xLibrary Liaison Ver. 2.x
Library Liaison Ver. 2.x
Bruce Gilbert
 
soc_03 Moore Meghan.ppt
soc_03 Moore Meghan.pptsoc_03 Moore Meghan.ppt
soc_03 Moore Meghan.ppt
Moorem7
 
Koch's Feb08 LibLiaison Slideshow
Koch's Feb08 LibLiaison Slideshow Koch's Feb08 LibLiaison Slideshow
Koch's Feb08 LibLiaison Slideshow
Bruce Gilbert
 
Erasmus+ - volwasseneneducatie
Erasmus+ - volwasseneneducatieErasmus+ - volwasseneneducatie
Erasmus+ - volwasseneneducatie
Socius - steunpunt sociaal-cultureel werk
 
hhsaplit5bs
hhsaplit5bshhsaplit5bs
hhsaplit5bs
bsisco
 
Microsoft UX: What Just Happened
Microsoft UX: What Just HappenedMicrosoft UX: What Just Happened
Microsoft UX: What Just Happened
None None
 
Carbon Currency
Carbon CurrencyCarbon Currency
Carbon Currency
Somnath Jaju
 
Международный опыт организации межведомственного электронного документооборота
Международный опыт организации межведомственного электронного документооборотаМеждународный опыт организации межведомственного электронного документооборота
Международный опыт организации межведомственного электронного документооборота
Natasha Khramtsovsky
 
Цифровая трансформация архивной отрасли
Цифровая трансформация архивной отраслиЦифровая трансформация архивной отрасли
Цифровая трансформация архивной отрасли
Natasha Khramtsovsky
 
Новости международной стандартизации технологии блокчейна и распределённых ре...
Новости международной стандартизации технологии блокчейна и распределённых ре...Новости международной стандартизации технологии блокчейна и распределённых ре...
Новости международной стандартизации технологии блокчейна и распределённых ре...
Natasha Khramtsovsky
 
Основные проблемы и риски мошеннических действий, связанные с изменениями в з...
Основные проблемы и риски мошеннических действий, связанные с изменениями в з...Основные проблемы и риски мошеннических действий, связанные с изменениями в з...
Основные проблемы и риски мошеннических действий, связанные с изменениями в з...
Natasha Khramtsovsky
 

More Related Content

Viewers also liked

機器人
機器人機器人
機器人
qwer1
 
Руководство NARA по управлению документами в электронной почте
Руководство NARA по управлению документами в электронной почтеРуководство NARA по управлению документами в электронной почте
Руководство NARA по управлению документами в электронной почте
Natasha Khramtsovsky
 
Настоящее и будущее делопроизводства и архивного дела
Настоящее и будущее делопроизводства и архивного делаНастоящее и будущее делопроизводства и архивного дела
Настоящее и будущее делопроизводства и архивного дела
Natasha Khramtsovsky
 
Sociaal beleid en innovatie - Hans van Ewijk
Sociaal beleid en innovatie - Hans van EwijkSociaal beleid en innovatie - Hans van Ewijk
Sociaal beleid en innovatie - Hans van Ewijk
Socius - steunpunt sociaal-cultureel werk
 
Ontwikkeling en solidariteit
Ontwikkeling en solidariteitOntwikkeling en solidariteit
Ontwikkeling en solidariteit
Socius - steunpunt sociaal-cultureel werk
 
Library Liaison Ver. 2.x
Library Liaison Ver. 2.xLibrary Liaison Ver. 2.x
Library Liaison Ver. 2.x
Bruce Gilbert
 
soc_03 Moore Meghan.ppt
soc_03 Moore Meghan.pptsoc_03 Moore Meghan.ppt
soc_03 Moore Meghan.ppt
Moorem7
 
Koch's Feb08 LibLiaison Slideshow
Koch's Feb08 LibLiaison Slideshow Koch's Feb08 LibLiaison Slideshow
Koch's Feb08 LibLiaison Slideshow
Bruce Gilbert
 
hhsaplit5bs
hhsaplit5bshhsaplit5bs
hhsaplit5bs
bsisco
 
Международный опыт организации межведомственного электронного документооборота
Международный опыт организации межведомственного электронного документооборотаМеждународный опыт организации межведомственного электронного документооборота
Международный опыт организации межведомственного электронного документооборота
Natasha Khramtsovsky
 

Viewers also liked (19)

Planificació 2
Planificació 2Planificació 2
Planificació 2
 
Transformation Priority Premise (TPP)
Transformation Priority Premise (TPP)Transformation Priority Premise (TPP)
Transformation Priority Premise (TPP)
 
機器人
機器人機器人
機器人
 
Руководство NARA по управлению документами в электронной почте
Руководство NARA по управлению документами в электронной почтеРуководство NARA по управлению документами в электронной почте
Руководство NARA по управлению документами в электронной почте
 
PROEXPOSURE Photos: Ethiopia
PROEXPOSURE Photos: EthiopiaPROEXPOSURE Photos: Ethiopia
PROEXPOSURE Photos: Ethiopia
 
Настоящее и будущее делопроизводства и архивного дела
Настоящее и будущее делопроизводства и архивного делаНастоящее и будущее делопроизводства и архивного дела
Настоящее и будущее делопроизводства и архивного дела
 
Brandon
BrandonBrandon
Brandon
 
Sociaal beleid en innovatie - Hans van Ewijk
Sociaal beleid en innovatie - Hans van EwijkSociaal beleid en innovatie - Hans van Ewijk
Sociaal beleid en innovatie - Hans van Ewijk
 
Ontwikkeling en solidariteit
Ontwikkeling en solidariteitOntwikkeling en solidariteit
Ontwikkeling en solidariteit
 
Happyshop
HappyshopHappyshop
Happyshop
 
Athletic club
Athletic clubAthletic club
Athletic club
 
Library Liaison Ver. 2.x
Library Liaison Ver. 2.xLibrary Liaison Ver. 2.x
Library Liaison Ver. 2.x
 
soc_03 Moore Meghan.ppt
soc_03 Moore Meghan.pptsoc_03 Moore Meghan.ppt
soc_03 Moore Meghan.ppt
 
Koch's Feb08 LibLiaison Slideshow
Koch's Feb08 LibLiaison Slideshow Koch's Feb08 LibLiaison Slideshow
Koch's Feb08 LibLiaison Slideshow
 
Erasmus+ - volwasseneneducatie
Erasmus+ - volwasseneneducatieErasmus+ - volwasseneneducatie
Erasmus+ - volwasseneneducatie
 
hhsaplit5bs
hhsaplit5bshhsaplit5bs
hhsaplit5bs
 
Microsoft UX: What Just Happened
Microsoft UX: What Just HappenedMicrosoft UX: What Just Happened
Microsoft UX: What Just Happened
 
Carbon Currency
Carbon CurrencyCarbon Currency
Carbon Currency
 
Международный опыт организации межведомственного электронного документооборота
Международный опыт организации межведомственного электронного документооборотаМеждународный опыт организации межведомственного электронного документооборота
Международный опыт организации межведомственного электронного документооборота
 

More from Natasha Khramtsovsky

Новости международной стандартизации технологии блокчейна и распределённых ре...
Новости международной стандартизации технологии блокчейна и распределённых ре...Новости международной стандартизации технологии блокчейна и распределённых ре...
Новости международной стандартизации технологии блокчейна и распределённых ре...
Natasha Khramtsovsky
 
Революционные изменения в управлении НТД на примере реестра объектов капиталь...
Революционные изменения в управлении НТД на примере реестра объектов капиталь...Революционные изменения в управлении НТД на примере реестра объектов капиталь...
Революционные изменения в управлении НТД на примере реестра объектов капиталь...
Natasha Khramtsovsky
 
Сумеет ли архивная отрасль выжить и сохранить свое значение для условиях гло...
Сумеет ли архивная отрасль выжить и сохранить свое значение для условиях гло...Сумеет ли архивная отрасль выжить и сохранить свое значение для условиях гло...
Сумеет ли архивная отрасль выжить и сохранить свое значение для условиях гло...
Natasha Khramtsovsky
 
Семинар «Мошенничество с электронной подписью. Юридическая и судебная практика»
Семинар «Мошенничество с электронной подписью. Юридическая и судебная практика»Семинар «Мошенничество с электронной подписью. Юридическая и судебная практика»
Семинар «Мошенничество с электронной подписью. Юридическая и судебная практика»
Natasha Khramtsovsky
 
Судьба бумажных архивов в условиях цифровой трансформации
Судьба бумажных архивов в условиях цифровой трансформацииСудьба бумажных архивов в условиях цифровой трансформации
Судьба бумажных архивов в условиях цифровой трансформации
Natasha Khramtsovsky
 
Текущие тенденции развития законодательства в области управления информацией ...
Текущие тенденции развития законодательства в области управления информацией ...Текущие тенденции развития законодательства в области управления информацией ...
Текущие тенденции развития законодательства в области управления информацией ...
Natasha Khramtsovsky
 
Использование усиленной квалифицированной электронной подписи без ведома влад...
Использование усиленной квалифицированной электронной подписи без ведома влад...Использование усиленной квалифицированной электронной подписи без ведома влад...
Использование усиленной квалифицированной электронной подписи без ведома влад...
Natasha Khramtsovsky
 
Трансформация архивной отрасли: важнейшие проблемы и задачи
Трансформация архивной отрасли: важнейшие проблемы и задачиТрансформация архивной отрасли: важнейшие проблемы и задачи
Трансформация архивной отрасли: важнейшие проблемы и задачи
Natasha Khramtsovsky
 
Нарождающиеся технологии: проблемы управления информацией и роль специалистов...
Нарождающиеся технологии: проблемы управления информацией и роль специалистов...Нарождающиеся технологии: проблемы управления информацией и роль специалистов...
Нарождающиеся технологии: проблемы управления информацией и роль специалистов...
Natasha Khramtsovsky
 
Возрождение архивной науки как одно из условий успеха национальной программы ...
Возрождение архивной науки как одно из условий успеха национальной программы ...Возрождение архивной науки как одно из условий успеха национальной программы ...
Возрождение архивной науки как одно из условий успеха национальной программы ...
Natasha Khramtsovsky
 
Импортозамещение в управлении документами: От замещения технологий к замещени...
Импортозамещение в управлении документами: От замещения технологий к замещени...Импортозамещение в управлении документами: От замещения технологий к замещени...
Импортозамещение в управлении документами: От замещения технологий к замещени...
Natasha Khramtsovsky
 
Организация хранения э-документов как самое слабое звено национального проект...
Организация хранения э-документов как самое слабое звено национального проект...Организация хранения э-документов как самое слабое звено национального проект...
Организация хранения э-документов как самое слабое звено национального проект...
Natasha Khramtsovsky
 
Законодательные инициативы программы «Цифровая экономика» в области управлени...
Законодательные инициативы программы «Цифровая экономика» в области управлени...Законодательные инициативы программы «Цифровая экономика» в области управлени...
Законодательные инициативы программы «Цифровая экономика» в области управлени...
Natasha Khramtsovsky
 
Итоги первого года реализации программы «Цифровая Экономика»
Итоги первого года реализации программы «Цифровая Экономика»Итоги первого года реализации программы «Цифровая Экономика»
Итоги первого года реализации программы «Цифровая Экономика»
Natasha Khramtsovsky
 

More from Natasha Khramtsovsky (20)

Цифровая трансформация архивной отрасли
Цифровая трансформация архивной отраслиЦифровая трансформация архивной отрасли
Цифровая трансформация архивной отрасли
 
Новости международной стандартизации технологии блокчейна и распределённых ре...
Новости международной стандартизации технологии блокчейна и распределённых ре...Новости международной стандартизации технологии блокчейна и распределённых ре...
Новости международной стандартизации технологии блокчейна и распределённых ре...
 
Основные проблемы и риски мошеннических действий, связанные с изменениями в з...
Основные проблемы и риски мошеннических действий, связанные с изменениями в з...Основные проблемы и риски мошеннических действий, связанные с изменениями в з...
Основные проблемы и риски мошеннических действий, связанные с изменениями в з...
 
Переход на электронный кадровый документооборот, и как он повлияет на деятель...
Переход на электронный кадровый документооборот, и как он повлияет на деятель...Переход на электронный кадровый документооборот, и как он повлияет на деятель...
Переход на электронный кадровый документооборот, и как он повлияет на деятель...
 
Революционные изменения в управлении НТД на примере реестра объектов капиталь...
Революционные изменения в управлении НТД на примере реестра объектов капиталь...Революционные изменения в управлении НТД на примере реестра объектов капиталь...
Революционные изменения в управлении НТД на примере реестра объектов капиталь...
 
Сумеет ли архивная отрасль выжить и сохранить свое значение для условиях гло...
Сумеет ли архивная отрасль выжить и сохранить свое значение для условиях гло...Сумеет ли архивная отрасль выжить и сохранить свое значение для условиях гло...
Сумеет ли архивная отрасль выжить и сохранить свое значение для условиях гло...
 
Новые требования к профессии документоведа и архивиста в условиях экспансии ...
Новые требования к профессии документоведа и архивиста в условиях экспансии ...Новые требования к профессии документоведа и архивиста в условиях экспансии ...
Новые требования к профессии документоведа и архивиста в условиях экспансии ...
 
Искусственный интеллект и управление документами: основные риски
Искусственный интеллект и управление документами: основные рискиИскусственный интеллект и управление документами: основные риски
Искусственный интеллект и управление документами: основные риски
 
Семинар «Мошенничество с электронной подписью. Юридическая и судебная практика»
Семинар «Мошенничество с электронной подписью. Юридическая и судебная практика»Семинар «Мошенничество с электронной подписью. Юридическая и судебная практика»
Семинар «Мошенничество с электронной подписью. Юридическая и судебная практика»
 
Судьба бумажных архивов в условиях цифровой трансформации
Судьба бумажных архивов в условиях цифровой трансформацииСудьба бумажных архивов в условиях цифровой трансформации
Судьба бумажных архивов в условиях цифровой трансформации
 
Злоупотребления с электронными подписями: Дыра в заборе или отсутствие забора?
Злоупотребления с электронными подписями: Дыра в заборе или отсутствие забора?Злоупотребления с электронными подписями: Дыра в заборе или отсутствие забора?
Злоупотребления с электронными подписями: Дыра в заборе или отсутствие забора?
 
Текущие тенденции развития законодательства в области управления информацией ...
Текущие тенденции развития законодательства в области управления информацией ...Текущие тенденции развития законодательства в области управления информацией ...
Текущие тенденции развития законодательства в области управления информацией ...
 
Использование усиленной квалифицированной электронной подписи без ведома влад...
Использование усиленной квалифицированной электронной подписи без ведома влад...Использование усиленной квалифицированной электронной подписи без ведома влад...
Использование усиленной квалифицированной электронной подписи без ведома влад...
 
Трансформация архивной отрасли: важнейшие проблемы и задачи
Трансформация архивной отрасли: важнейшие проблемы и задачиТрансформация архивной отрасли: важнейшие проблемы и задачи
Трансформация архивной отрасли: важнейшие проблемы и задачи
 
Нарождающиеся технологии: проблемы управления информацией и роль специалистов...
Нарождающиеся технологии: проблемы управления информацией и роль специалистов...Нарождающиеся технологии: проблемы управления информацией и роль специалистов...
Нарождающиеся технологии: проблемы управления информацией и роль специалистов...
 
Возрождение архивной науки как одно из условий успеха национальной программы ...
Возрождение архивной науки как одно из условий успеха национальной программы ...Возрождение архивной науки как одно из условий успеха национальной программы ...
Возрождение архивной науки как одно из условий успеха национальной программы ...
 
Импортозамещение в управлении документами: От замещения технологий к замещени...
Импортозамещение в управлении документами: От замещения технологий к замещени...Импортозамещение в управлении документами: От замещения технологий к замещени...
Импортозамещение в управлении документами: От замещения технологий к замещени...
 
Организация хранения э-документов как самое слабое звено национального проект...
Организация хранения э-документов как самое слабое звено национального проект...Организация хранения э-документов как самое слабое звено национального проект...
Организация хранения э-документов как самое слабое звено национального проект...
 
Законодательные инициативы программы «Цифровая экономика» в области управлени...
Законодательные инициативы программы «Цифровая экономика» в области управлени...Законодательные инициативы программы «Цифровая экономика» в области управлени...
Законодательные инициативы программы «Цифровая экономика» в области управлени...
 
Итоги первого года реализации программы «Цифровая Экономика»
Итоги первого года реализации программы «Цифровая Экономика»Итоги первого года реализации программы «Цифровая Экономика»
Итоги первого года реализации программы «Цифровая Экономика»
 

О мошенничестве с электронными подписями

  • 1. О мошенничестве с электронными подписями и о том, как доказывать неизменность (неподдельность) электронных документов в суде Храмцовская Наталья Александровна к.и.н., ведущий эксперт по управлению документацией компании «Электронные Офисные Системы», эксперт ИСО, член Международного совета архивов 28 ноября 2013 года AntiFraud Russia – 2013 1
  • 2. Технологии PKI и ЭЦП/УЭП     Технологии достаточно надёжные, но … Всё, что один человек создал, другой всегда сумеет сломать. Ранние алгоритмы ЭЦП уже взломаны Самое страшное – слепая вера общества и суда в непогрешимость какой-либо технологии. В результате люди, пострадавшие от нового вида мошенничества, могут сами быть заподозрены в мошенничестве и наказаны Законодательство России не учитывает возможность такого мошенничества и плохо защищает от него 28 ноября 2013 года AntiFraud Russia – 2013 2
  • 3. Доказательство компрометации хэш-алгоритма MD5, 2007-2008 г.    Теоретическая возможность коллизий для алгоритма MD5 была доказана в 2004 г. (проф. Xiaoyun Wang и др.), но многие считали эту угрозу не имеющей практического значения В 2007 г. Группа голландских специалистов (Marc Stevens, Arjen Lenstra, Benne de Weger) пообещала предсказать итоги выборов в США 2008 г. и сообщила хэш-значение PDF-файла с предсказанием На деле группа подготовила 12 (!) документов (10 выложены в сети), имевших один и тот же MD5-хэш – на все возможные исходы выборов http://www.win.tue.nl/hashclash/Nostradamus/ 28 ноября 2013 года AntiFraud Russia – 2013 3
  • 4. У всех документов один и тот же MD5-хэш: 3D515DEAD7AA16560ABA3E9DF05CBC80 Необходимые вычисления были выполнены на Sony PlayStation 3 28 ноября 2013 года AntiFraud Russia – 2013 4
  • 5. ЭЦП нередко подобна стальной двери в непрочной стене…  28 ноября 2013 года AntiFraud Russia – 2013 … поэтому злоумышленники идут по пути наименьшего сопротивления 5
  • 6. Некоторые виды мошенничества, не требующие взлома алгоритмов  Подписать подписью жертвы подложный документ или транзакцию. Несанкционированное списание денег через системы «клиент-банк» и интернет-банкинг приняло массовый характер – Небрежное отношение к хранению и уничтожению закрытых ключей – Вирусы, «модифицированное» оборудование – Подписание жертвой специально подготовленных документов, визуальное отображение которых может меняться  Создание подставных удостоверяющих центров, имеющих право выпускать УКЭП 28 ноября 2013 года AntiFraud Russia – 2013 6
  • 7. Эксперимент: подписание PDF-файла, содержащего активный контент   28 ноября 2013 года AntiFraud Russia – 2013 Используется JavaScript, делающий документ нечитаемым по истечении 10 минут Используется функция цифровой подписи в Adobe Acrobat 7
  • 8. Прошла 1 минута … Подпись верна 28 ноября 2013 года AntiFraud Russia – 2013 8
  • 9. Прошло 11 минут … Подпись попрежнему верна, - хотя Acrobat и заметил, что что-то не совсем «чисто» 28 ноября 2013 года AntiFraud Russia – 2013 9
  • 10. Австрийское законодательство  Указ Федерального канцлера об электронных подписях 2000 г. (в редакции 2004 г.) – детализирует положения австрийского Закона об электронных подписях (редакция 2004 г., параграф 4 п.1) «Подписываться электронной подписью могут документы только в тех форматах, что рекомендованы поставщиком сертификационных услуг. Описания таких форматов должны быть общедоступны. Структура формата должна гарантировать неизменный вид документа как во время подписания, так и во время проверки подписи. Если формат допускает кодирование динамических изменений, то не разрешается использовать его элементы, вызывающие динамические изменения.» 28 ноября 2013 года AntiFraud Russia – 2013 10
  • 11. Декрет Совмина Италии от 13.01.2004 «Технические правила создания, передачи, хранения, воспроизведения, репродукции и проверки электронных документов»  «Электронные документы, подписанные цифровой подписью или усиленной электронной подписью иного вида, основанной на квалифицированном сертификате и созданной при помощи защищённого устройства для создания подписи, не создают эффекта, указанного в п.3 ст.10 [презумпция подлинности] сводного текста [Кодекса ЭП], если они включают макросы или исполняемый код, способные изменить представляемые документами акты, факты и данные.» 28 ноября 2013 года AntiFraud Russia – 2013 11
  • 12. Декрет Совмина Италии от 30.03.2009 «Технические правила создания, наложения и проверки электронной цифровой подписи»  Ст.3 п.3: «Электронные документы, подписанные цифровой подписью или квалифицированной электронной подписью иного вида, не создают эффекта, предусмотренного п.2 ст.21 Кодекса [презумпция подлинности], если они включают макросы или исполняемый код, способные изменить представляемые документом акты, факты и данные.» 28 ноября 2013 года AntiFraud Russia – 2013 12
  • 13. Словакия: Стандарт СБ устанавливает требования к файловым форматам   «При подписании и проверке подписанных усиленной электронной подписью документов, необходимо, помимо самого подписания и проверки подписи, обеспечить также однозначную визуализацию подписанных документов»  28 ноября 2013 года «Требования к содержанию и формальные спецификации форматов документов, подписываемых усиленной электронной подписью», версия 1, Государственная служба безопасности (NBU) Словакии, 2007 Документ специфицирует транспортный формат для подписанных документов, роль которого заключается в обеспечении четкой идентификации типа подписанных документов для целей визуализации AntiFraud Russia – 2013 13
  • 14. Словакия: Требования СБ к форматам усиленной электронной подписи, 2009    28 ноября 2013 года Процедуры, обеспечивающие возможность долгосрочной проверки электронных подписей Вводится новая аккредитованная услуга «долговременное сохранение электронных документов, подписанных усиленной электронной подписью» С 2008 года не разрешается сертифицировать приложения для работы с усиленной электронной подписью, которые не обеспечивают сохранения в самой подписи сведений о файловом формате подписанного документа AntiFraud Russia – 2013 14
  • 15. "Как спрятать документ на видном месте“ Андрей Подкин , 15 августа 2007 года http://www.directum-journal.ru/card.aspx?ContentID=1953831   В зависимости от расширения файла, виден или Word-документ, или электронная таблица.  28 ноября 2013 года Фирма NT Kernel Resources бесплатно распространяет программу Merge Streams, позволяющую слить в единое целое документ в формате Word и Excelтаблицу. Если подписать такой файл ЭЦП – под чем будет поставлена подпись? AntiFraud Russia – 2013 15
  • 16. 2008 год: Итальянские специалисты описали аналогичную атаку на статические форматы   проф. Буккафури 28 ноября 2013 года  Атака строится на 1) создании «полиморфных» файлов, которые показываются по-разному в зависимости от расширения, и 2) на том, что используемые ЭЦП не «покрывают» имя файла Франческо Буккафури (Francesco Buccafurri) в ряде публикаций описал атаку на форматы BMP, TIFF, PDF. Независимо сходные результаты опубликовал чешский специалист Петер Рыбар (Peter Rybar) Итальянское Национальное агентство по вопросам электронного правительства (CNIPA) признало уязвимость очень серьёзной, и собирается предусмотреть контрмеры в очередной редакции итальянских правил применения ЭЦП AntiFraud Russia – 2013 16
  • 17. Проверка усиленных квалифицированный подписей  В «Перечень аккредитованных удостоверяющих центров», размещенный на сайте Минкомсвязи, на 22 ноября 2013 года внесено 324 удостоверяющих центров – больше, чем во всем остальном мире  – А хватит ли нам 350? Может быть, их нужно больше? – Как правильно организовать проверку подписей? – Нужна ли централизованная система проверки сертификатов? 28 ноября 2013 года AntiFraud Russia – 2013 17
  • 18. Представление доказательств в суды    Необходимо разработать правила предоставления электронных документов в суды Обеспечение долговременной сохранности электронных документов без ущерба их юридической значимости и доказательной силы Неполнота законодательно-нормативной базы не мешает судам принимать электронные документы. Значение правоприменительной практики. 28 ноября 2013 года AntiFraud Russia – 2013 18
  • 19. Выводы    Мы идем по целине Очень важно критически относиться к технологии и понимать, что любой инструмент может быть использован не по назначению Нужно совершенствовать законодательство 28 ноября 2013 года AntiFraud Russia – 2013 19
  • 20. Приглашаю Вас на мой блог: http://rusrim.blogspot.com/ а также на мои каналы на Slideshare и YouTube 28 ноября 2013 года AntiFraud Russia – 2013 20