Comments 33
демократезировать
От слова демократЕя? Или кратер?
(обычно в личку пишу, но тут не удержался, простите)
Edit:
подписать его электронной подписью с каждой стороны
Вы бы хоть попробовали прочитать этот бред, а?
Выглядит как попытка изобрести кейсервер. https://keyserver.pgp.com/vkd/GetWelcomeScreen.event видели?
Все же идея у ребят несколько шире, на сколько я понял из оригинальной статьи. Не только хранилище ключенй, но и публичная идентификация их не только по e-mail.
Web of trust куда тоньшее, включая непубличное доверие.
Не понял чем шире.
В децентрализованной системе можно такой третей стороной фактически
может выступать вообще кто угодно. Например, если Чарли лично знакома с
Алисой, она легко может подтвердить валидность приватных данных, и при
этом достаточно авторитетна для Боба.
Это ведь обычный chain of trust. Условно говоря, и майкрософт, и эппл, могут подписать свои апдейты ключами, зарегистрироваными в одном корневом хранилище. При этом для айфона ключ эппла авторитетен, а ключ майкрософта нет.
Насчёт анонимности и публичной идентификации тоже не понял. Например Пупкин Василий зарегистрировался как КриптоКотик99 с хэшем 0xDEADBEEF в вашей системе. Я прошу Василия подписать договор аренды, и вижу что какой-то КриптоКотик99 подписался под этим. Если я могу проверить что это Василий, требуя его личные данные и вычисляя хэш, я могу легко сбрутить хэши интересующих меня людей. Если я не могу этого однозначно проверить (хэш посолили), Василий разгромит мне хату и потом скажет что никакого договора он не подписывал.
Если же у нас есть общая знакомая Галя, которой я доверяю, и она говорит что КриптоКотик99 это и есть Вася Пупкин, то она выступает в роли корневого хранилища и непонятно зачем здесь хэш и блокчейн.
Я думаю, что в этом случае не стоит доверять пользователю подписывать договор в тот момент, когда он идентифицировал себя как КриптоКотик99. А подписывать договор ровно тогда, когда он зарегистрируется таким образом, чтобы хэш генерировался от данных "Пупкин Василий" – и вот тогда я скорее всего смогу доказать, что это был имннно этот персонаж.
А теперь представьте, что КриптоКотик99 взял данные Василия Пушкина и зарегистрировал без его ведома хеш
После разгромленной квартиры вы приходите к Василию, а он ни сном ни духом
И опять все упирается в ответственность третьего лица и доверие к нему
В случае с государством ответственность декларируется законодательством. А в случае анонимуса из интернетов по имени Галя - её ответственность базируется на чём?
Ну в теории, ответственность Гали базируется только на ее внутреннем моральном законе и, иногда, ожидании последствий.
Искренне верю, что некоторые Гали поответственнее иных государств.
Но в остальном все верно - доверие к ответственности Гали - это просто доверие к человеку.
Доверие же к "государству" - это доверие к большим сообществам, которые проактивно обеспечивают ту самую ответственность и обратную связь - через институты полиции, судов, общественное порицание, репутацию и т.д.
Конечно это перевод, но сути идеи не понял. Где сказано что в подписи должна быть личная информация? Где гарантия что в хэш будет взят от реальной личной информации клиента? А в этом и есть новшество.
берутся приватные данные от контрагента, хэшируются и сравниваются с "публичным хэшем" для этого адреса – если хэши равны, то приватные данные соответвуют этому аккаунту(пубичному ключу), разве нет?
Чтобы ЭЦП что-то значила юридически ее все равно надо получать в госорганах. Или в аккредитованных ими организациях. Все остальное мусор. Можете сами генерировать любые ЭЦП за кого угодно и подписывать ими что угодно. Это даже нарушением закона не будет, если на основе этого мошенничсвом не начать заниматься.
И зачем тогда все остальное вы навертели? ЭЦП валидируется сама по себе без проблем вообще. Она содержит в себе всю необходимую информация для верификации того кто подписал документ и верификации самой подписи.
Я верю подписи мейнтейнеров Debian больше, чем подписи от госорганов. Доверие - эта такая интересная штука, законодательно его не сделать.
Вы поверите этой подписи на документе о продаже вам дома?
Отраслевые подписи это очень узкий кейс. Там хватает самых простых решений.
Вы задали потрясающе правильный вопрос. Поверю ли я цифровой подписи о продаже дома?
Нет. Вне зависимости от того, чьё правительство эту подпись выпустит. При покупке квартиры я видел как организовано хранение документов в land registry. Толстые чёрные папки с готичным шрифтом на котором написано 1968 и т.д. И это вселило в меня уверенность.
А вот если бы это был цифровой сертификат, подписанный 512-битной RSA (вполне была "устойчивой" в 1993), то... спасибо, не надо.
Я планирую владеть домом (с учётом наследников) не менее 100 лет. Какой, говорите, шифроалгоритм, обещает устойчивость против новых атак на 100 лет?
Или, сформулируем задачу иначе: какой шифроалгоритм из 1980 с длинами ключей тех лет, всё ещё не взломан?
Так что ответ, НЕЕЕТ. Никаких цифровых подписей. Гербовая бумага, печати, готичный шрифт на папочках и т.д.
Какой, говорите, шифроалгоритм, обещает устойчивость против новых атак на 100 лет?
Какой бумажный документ совсем невозможно подделать? ;)
Решение стойкости шифров чисто административное - регулярный перевыпуск сертификатов, например. С бумагой то же самое - архивы, бланки строгой отчётности, хитрая полиграфия.. С бумажными документами решения уже выработаны, с электронными - в процессе.
Вот такие гербовые бумаги и толстые папочки, заведенные в 196.. году иногда пропадали и сотни и тысячи граждан, "собственность" которых так была подтверждена остались ни с чем.
На руках остаются документы, договора.
Я повторю, аутентичность бумаги 1980 года с лёгкостью можно проверить. Чем проверить подпись 1980 года? сравнить md5?
По какой-то причине владельцы криптовалют верят, что они владют именно таким количеством токенов. Т.е. в разное время доказательства бывают разные – почему бы сейчас не стать доверять цифровой подписи в качестве доказательства.
И еще вопрос: когда-то люди в качестве меры ценности использовали монеты из благородных металлов, потом выпустили обеспеченные бумажки и верили, что эти бумажки что-то стоят. Сейчас мы верим, что циферка в мобильном приложении банка гарантирует, что у нас на счету именно такое количество денег, которые мы можем потратить на получение услуги или сервиса. Но ведь эта циферка - это ведь всего лишь запись в соответвующей БД. Тогда почему бы тоже самое не сделать с подписями на докуемнтах?
а чем ЭЦП от гос. органов технически отличается от любой другой ЭЦП? Только тем, что перед выдачей некий орган проверил кому выдается эта подпись. Т.е. фактически ставит в соответствие конкретную подпись с конкретным человеком (или юр. лицом).
Чтобы подпись начала иметь юридическую значимость (это вообще отдельный вопрос) – можно вообще в частном договоре прописать, что, например, все документы, подписанные вот такими подписями в рамках этого договора, считаются юридически значимыми и все - они стали значимыми в рамках этого договора между данными контрагентами.
Чтобы подпись начала иметь юридическую значимость (это вообще отдельный вопрос) – можно вообще в частном договоре прописать, что, например, все документы, подписанные вот такими подписями в рамках этого договора, считаются юридически значимыми и все - они стали значимыми в рамках этого договора между данными контрагентами.
Неа. Вас любой суд завернет с таким.
Почему? Если это договорённости между двумя контрагентами?
Законы такие. Электронной подписью является только подпись выданная официальным УЦ и ничто иное. Все что в любом договоре противоречит закону явлется ничтожным.
http://pravo.gov.ru/proxy/ips/?docbody=&nd=102146610
Смысл в этом есть на самом деле. Подписи и сейчас стоят не так много и можно сделать еще дешевле при необходимости вплоть до бесплатности. А запрет любых неофициальных подписей закрывает прилично дыр для возможного мошенничества.
Смею предположить, что авторы оригинальной статьи не вдавались в детали именно Российского законодательства - это с одной стороны. А с другой стороны – есть такое понятие как оферта, и если одна из сторон принимает оферту другой, то дальше их взаимоотношения регулируется офертой.
Смею предположить, что авторы оригинальной статьи не вдавались в детали именно Российского законодательства - это с одной стороны.
Рискну предположить что в большей части стран законы в этом месте примерно такие же. И мотивация их принятия такая же.
Признание любых ЭЦП дает слишком большой простор мошенникам и при этом не дает никаких плюсов обычным людям и организациям. И зачем?
А с другой стороны – есть такое понятие как оферта, и если одна из сторон принимает оферту другой, то дальше их взаимоотношения регулируется офертой.
Все что в любом договоре противоречит закону явлется ничтожным.
Вы в оферте можете написать что любой входящий в ваш магазин передает своего первенца директору магазина в рабство. Или любую другую глупость. И этот пункт будет ничтожным.
Осталось только показать такую оферту клиенту и как-то получить подтверждение, что он с ней согласен, чтобы потом предъявлять претензии по ней :)
Оферта это то что не требует явного подтверждения от второй стороны. Прятать ее нельзя, но явно показывать каждому клиенту и требовать согласия тоже не надо. Меню с ценами на стене кафе это оферта, например. Клиент имеет полное право не обратить на нее внимания и заказать словами у официанта.
И она конечно же не дает возможности нарушать законы.
не понял а как это сейчас работает?
тоесть получается когда ты подключаешься метамаском и посылаешь запрос на сервер , можно "через дебагер" изменить адрес кошелька ? И то что ты залогинился в метамаске с правильным паролем\сидфразов ничего не дает?
Вот придумали ж клятий блокчейн себе на голову, к чему б его теперь прикрутить...
В этом случае, если Боб или Алиса точно хотят убедиться, что данная электронная подпись действительно принадлежат контрактанту — ему достаточно валидировать приватные данные друг друга в децентрализованном хранилище и дальше спокойно вести дела друг с другом. Никакие централизованные органы для этого не нужны. И подписывать этой подписью можно что угодно, когда угодно, сколько угодно раз.
Ничего не понятно.
Вот есть я, и есть некий контрагент, где-то там далеко.
Нам нужно подписаться под документом, при этом я должен быть уверен, что данный контрагент уполномочен на подписание таких документов.
Что я должен увидеть в блокчейне, что меня сразу успокоит, и я буду уверен в легитимности подписания?
В случае обычной электронной подписи я вижу сертификат, в нем атрибуты юрлица, физлица, кто и когда выдал сертификат, и прочее, что я могу использовать для проверки в реальном мире. А что я увижу в блокчейне, и почему я должен этому доверять?
Как демократизировать цифровую подпись с помощью технологии блокчейн