Цифровая подпись человека и другие электронные аналоги собственноручной подписи (АСП) имеют уязвимость, с которой через несколько лет придётся столкнуться. Дело в том, что подписание документа может быть автоматизировано. А его создание (генерация) автоматизировано уже давно: ведь для бюрократических бумаг тест Тьюринга не имеет смысла, там стандартные формулировки, и чем меньше мыслей, тем действеннее.
Наличие АСП под документом придаёт ему магические свойства. В правовом государстве такой документ обязательно должен быть рассмотрен, непременно человеком. И должно быть вынесено решение, тоже человеком, автоматическоепринятие решений формально запрещено.
Вот вам и условия для DoS-атаки – атакующий тратит много меньше ресурсов, чем жертва, а нарастить мощность очень просто. Один недобросовестный гражданин с одним компьютером своими запросами, жалобами, исками, обращениями и заявлениями может парализовать работу всего государства. Если, конечно, все чиновники станут соблюдать закон. А во многих странах это – обычное дело.
Когда отцы-основатели придумывали протокол SMTP, они не предвидели спам. После его появления – менять протокол было уже поздно. Так до сих пор и мучаемся. А при создании ЭП тоже никакого ограничения типа капчи не предусмотрели. Так что бездумное распространение офлайновых порядков на онлайн – приравнивание ЭП/АСП к собственноручной подписи гражданина – ещё аукнется.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
