Все же идея у ребят несколько шире, на сколько я понял из оригинальной статьи. Не только хранилище ключенй, но и публичная идентификация их не только по e-mail.

amarao Feb 11 2022 at 18:32

Web of trust куда тоньшее, включая непубличное доверие.

count_enable Feb 11 2022 at 18:40

Не понял чем шире.

В децентрализованной системе можно такой третей стороной фактически
может выступать вообще кто угодно. Например, если Чарли лично знакома с
Алисой, она легко может подтвердить валидность приватных данных, и при
этом достаточно авторитетна для Боба.

Это ведь обычный chain of trust. Условно говоря, и майкрософт, и эппл, могут подписать свои апдейты ключами, зарегистрироваными в одном корневом хранилище. При этом для айфона ключ эппла авторитетен, а ключ майкрософта нет.

Насчёт анонимности и публичной идентификации тоже не понял. Например Пупкин Василий зарегистрировался как КриптоКотик99 с хэшем 0xDEADBEEF в вашей системе. Я прошу Василия подписать договор аренды, и вижу что какой-то КриптоКотик99 подписался под этим. Если я могу проверить что это Василий, требуя его личные данные и вычисляя хэш, я могу легко сбрутить хэши интересующих меня людей. Если я не могу этого однозначно проверить (хэш посолили), Василий разгромит мне хату и потом скажет что никакого договора он не подписывал.

Если же у нас есть общая знакомая Галя, которой я доверяю, и она говорит что КриптоКотик99 это и есть Вася Пупкин, то она выступает в роли корневого хранилища и непонятно зачем здесь хэш и блокчейн.

theioberry Feb 11 2022 at 19:36

Я думаю, что в этом случае не стоит доверять пользователю подписывать договор в тот момент, когда он идентифицировал себя как КриптоКотик99. А подписывать договор ровно тогда, когда он зарегистрируется таким образом, чтобы хэш генерировался от данных "Пупкин Василий" – и вот тогда я скорее всего смогу доказать, что это был имннно этот персонаж.

SadOcean Feb 11 2022 at 20:07

А теперь представьте, что КриптоКотик99 взял данные Василия Пушкина и зарегистрировал без его ведома хеш

После разгромленной квартиры вы приходите к Василию, а он ни сном ни духом

И опять все упирается в ответственность третьего лица и доверие к нему

unsignedchar Feb 11 2022 at 20:57

В случае с государством ответственность декларируется законодательством. А в случае анонимуса из интернетов по имени Галя - её ответственность базируется на чём?

SadOcean Feb 14 2022 at 00:59

Ну в теории, ответственность Гали базируется только на ее внутреннем моральном законе и, иногда, ожидании последствий.
Искренне верю, что некоторые Гали поответственнее иных государств.

Но в остальном все верно - доверие к ответственности Гали - это просто доверие к человеку.
Доверие же к "государству" - это доверие к большим сообществам, которые проактивно обеспечивают ту самую ответственность и обратную связь - через институты полиции, судов, общественное порицание, репутацию и т.д.

apapacy Feb 11 2022 at 18:09

Конечно это перевод, но сути идеи не понял. Где сказано что в подписи должна быть личная информация? Где гарантия что в хэш будет взят от реальной личной информации клиента? А в этом и есть новшество.

theioberry Feb 11 2022 at 18:17

берутся приватные данные от контрагента, хэшируются и сравниваются с "публичным хэшем" для этого адреса – если хэши равны, то приватные данные соответвуют этому аккаунту(пубичному ключу), разве нет?

NTDLL Feb 11 2022 at 18:39

Прикол в том, что необходимость подписи сертификатов в УЦ отпадает. Для нужд TLS/SSL тоже нужно подтверждать сертификат сайта, но УЦ для этого необязателен. И вот для таких случаев создана описанная в статье технология.

BugM Feb 11 2022 at 18:30

Чтобы ЭЦП что-то значила юридически ее все равно надо получать в госорганах. Или в аккредитованных ими организациях. Все остальное мусор. Можете сами генерировать любые ЭЦП за кого угодно и подписывать ими что угодно. Это даже нарушением закона не будет, если на основе этого мошенничсвом не начать заниматься.

И зачем тогда все остальное вы навертели? ЭЦП валидируется сама по себе без проблем вообще. Она содержит в себе всю необходимую информация для верификации того кто подписал документ и верификации самой подписи.

amarao Feb 11 2022 at 18:33

Я верю подписи мейнтейнеров Debian больше, чем подписи от госорганов. Доверие - эта такая интересная штука, законодательно его не сделать.

BugM Feb 11 2022 at 18:46

Вы поверите этой подписи на документе о продаже вам дома?

Отраслевые подписи это очень узкий кейс. Там хватает самых простых решений.

amarao Feb 12 2022 at 13:13

Вы задали потрясающе правильный вопрос. Поверю ли я цифровой подписи о продаже дома?

Нет. Вне зависимости от того, чьё правительство эту подпись выпустит. При покупке квартиры я видел как организовано хранение документов в land registry. Толстые чёрные папки с готичным шрифтом на котором написано 1968 и т.д. И это вселило в меня уверенность.

А вот если бы это был цифровой сертификат, подписанный 512-битной RSA (вполне была "устойчивой" в 1993), то... спасибо, не надо.

Я планирую владеть домом (с учётом наследников) не менее 100 лет. Какой, говорите, шифроалгоритм, обещает устойчивость против новых атак на 100 лет?

Или, сформулируем задачу иначе: какой шифроалгоритм из 1980 с длинами ключей тех лет, всё ещё не взломан?

Так что ответ, НЕЕЕТ. Никаких цифровых подписей. Гербовая бумага, печати, готичный шрифт на папочках и т.д.

unsignedchar Feb 12 2022 at 14:26

Какой, говорите, шифроалгоритм, обещает устойчивость против новых атак на 100 лет?

Какой бумажный документ совсем невозможно подделать? ;)

Решение стойкости шифров чисто административное - регулярный перевыпуск сертификатов, например. С бумагой то же самое - архивы, бланки строгой отчётности, хитрая полиграфия.. С бумажными документами решения уже выработаны, с электронными - в процессе.

Ukaru Feb 14 2022 at 03:28

Вот такие гербовые бумаги и толстые папочки, заведенные в 196.. году иногда пропадали и сотни и тысячи граждан, "собственность" которых так была подтверждена остались ни с чем.

amarao Feb 14 2022 at 15:01

На руках остаются документы, договора.

Я повторю, аутентичность бумаги 1980 года с лёгкостью можно проверить. Чем проверить подпись 1980 года? сравнить md5?

theioberry Feb 14 2022 at 15:14

По какой-то причине владельцы криптовалют верят, что они владют именно таким количеством токенов. Т.е. в разное время доказательства бывают разные – почему бы сейчас не стать доверять цифровой подписи в качестве доказательства.

И еще вопрос: когда-то люди в качестве меры ценности использовали монеты из благородных металлов, потом выпустили обеспеченные бумажки и верили, что эти бумажки что-то стоят. Сейчас мы верим, что циферка в мобильном приложении банка гарантирует, что у нас на счету именно такое количество денег, которые мы можем потратить на получение услуги или сервиса. Но ведь эта циферка - это ведь всего лишь запись в соответвующей БД. Тогда почему бы тоже самое не сделать с подписями на докуемнтах?

amarao Feb 14 2022 at 17:45

Я не видел ни одного владельца крипты, который бы владел токеном хотя бы лет 30. Я видел титулы на недвижимость, которые были выписаны в 1960. Если бы биткоин запустили в 1993, он бы был построен на md5. И как бы вы определяли, кому именно принадлежат монеты?

theioberry Feb 11 2022 at 18:39

а чем ЭЦП от гос. органов технически отличается от любой другой ЭЦП? Только тем, что перед выдачей некий орган проверил кому выдается эта подпись. Т.е. фактически ставит в соответствие конкретную подпись с конкретным человеком (или юр. лицом).

Чтобы подпись начала иметь юридическую значимость (это вообще отдельный вопрос) – можно вообще в частном договоре прописать, что, например, все документы, подписанные вот такими подписями в рамках этого договора, считаются юридически значимыми и все - они стали значимыми в рамках этого договора между данными контрагентами.

BugM Feb 11 2022 at 18:49

Чтобы подпись начала иметь юридическую значимость (это вообще отдельный вопрос) – можно вообще в частном договоре прописать, что, например, все документы, подписанные вот такими подписями в рамках этого договора, считаются юридически значимыми и все - они стали значимыми в рамках этого договора между данными контрагентами.

Неа. Вас любой суд завернет с таким.

theioberry Feb 11 2022 at 19:04

Почему? Если это договорённости между двумя контрагентами?

BugM Feb 11 2022 at 19:14

Законы такие. Электронной подписью является только подпись выданная официальным УЦ и ничто иное. Все что в любом договоре противоречит закону явлется ничтожным.

http://pravo.gov.ru/proxy/ips/?docbody=&nd=102146610

Смысл в этом есть на самом деле. Подписи и сейчас стоят не так много и можно сделать еще дешевле при необходимости вплоть до бесплатности. А запрет любых неофициальных подписей закрывает прилично дыр для возможного мошенничества.

theioberry Feb 11 2022 at 19:33

Смею предположить, что авторы оригинальной статьи не вдавались в детали именно Российского законодательства - это с одной стороны. А с другой стороны – есть такое понятие как оферта, и если одна из сторон принимает оферту другой, то дальше их взаимоотношения регулируется офертой.

BugM Feb 11 2022 at 19:41

Смею предположить, что авторы оригинальной статьи не вдавались в детали именно Российского законодательства - это с одной стороны.

Рискну предположить что в большей части стран законы в этом месте примерно такие же. И мотивация их принятия такая же.

Признание любых ЭЦП дает слишком большой простор мошенникам и при этом не дает никаких плюсов обычным людям и организациям. И зачем?

А с другой стороны – есть такое понятие как оферта, и если одна из сторон принимает оферту другой, то дальше их взаимоотношения регулируется офертой.

Все что в любом договоре противоречит закону явлется ничтожным.

Вы в оферте можете написать что любой входящий в ваш магазин передает своего первенца директору магазина в рабство. Или любую другую глупость. И этот пункт будет ничтожным.

theioberry Feb 11 2022 at 19:56

Осталось только показать такую оферту клиенту и как-то получить подтверждение, что он с ней согласен, чтобы потом предъявлять претензии по ней :)

BugM Feb 11 2022 at 19:59

Оферта это то что не требует явного подтверждения от второй стороны. Прятать ее нельзя, но явно показывать каждому клиенту и требовать согласия тоже не надо. Меню с ценами на стене кафе это оферта, например. Клиент имеет полное право не обратить на нее внимания и заказать словами у официанта.

И она конечно же не дает возможности нарушать законы.

kawena54 Feb 11 2022 at 18:57

не понял а как это сейчас работает?

тоесть получается когда ты подключаешься метамаском и посылаешь запрос на сервер , можно "через дебагер" изменить адрес кошелька ? И то что ты залогинился в метамаске с правильным паролем\сидфразов ничего не дает?

mbamber Feb 13 2022 at 21:03

Вот придумали ж клятий блокчейн себе на голову, к чему б его теперь прикрутить...

ggo Feb 14 2022 at 11:29

В этом случае, если Боб или Алиса точно хотят убедиться, что данная электронная подпись действительно принадлежат контрактанту — ему достаточно валидировать приватные данные друг друга в децентрализованном хранилище и дальше спокойно вести дела друг с другом. Никакие централизованные органы для этого не нужны. И подписывать этой подписью можно что угодно, когда угодно, сколько угодно раз.

Ничего не понятно.

Вот есть я, и есть некий контрагент, где-то там далеко.
Нам нужно подписаться под документом, при этом я должен быть уверен, что данный контрагент уполномочен на подписание таких документов.
Что я должен увидеть в блокчейне, что меня сразу успокоит, и я буду уверен в легитимности подписания?

В случае обычной электронной подписи я вижу сертификат, в нем атрибуты юрлица, физлица, кто и когда выдал сертификат, и прочее, что я могу использовать для проверки в реальном мире. А что я увижу в блокчейне, и почему я должен этому доверять?

Show the best of all time