Даже усиленную электронную подпись можно украсть

Интернет подарил нам большие возможности. При помощи него можно узнать любую информацию, купить авиабилет, оплатить коммунальные платежи и налоги, заключить торговый контракт, продать/купить имущество, осуществлять операции на биржах и т. д. Бумажные документы и паспорта заменены электронными версиями. Несказанный прогресс и большое удобство. Но как все более выясняется, и огромная опасность. Не только мы узнаем все из интернета, но и интернет узнает о нас все.

Жулики за годы существования сети непрерывно совершенствовали свои схемы, используя все методы: игру на доверчивости, кражу паролей, переписки, взломы компьютеров и пр. Однако недавно стало происходить нечто принципиально новое. Без ведома собственников при помощи электронных документов и электронной подписи стали похищать квартиры. На днях в Москве произошла электронная кража недвижимости по улице Тверской. Как такое могло произойти, и почему электронная подпись, призванная максимально защитить документ, оказалась бессильной?

Электронная кража квартир: новинки криминального бизнеса

Предыстория

Владелец жилья (назовем его Р.) случайно обнаружил не свою фамилию в платежной квитанции и бросился в Росреестр. Там ему объяснили, что он…подарил свою квартиру уфимцу И. (машинисту по специальности). Последний, естественно, даже и не догадывался, что стал обладателем очень дорогой столичной недвижимости.

Все документы были правильно оформлены через интернет на сайте ЕГРН и подписаны электронной подписью. Так как преступники обычно используют многоступенчатые продажи, через какое-то время квартиру наверняка продали бы другому человеку, и вернуть ее стало бы проблематично. К тому же в таких “сделках” от бывших хозяев многомиллионного жилья стараются поскорее избавиться. Так что Р.  еще “повезло”, что его не убрали раньше, чем он обнаружил эту аферу.

Вернут ли украденную квартиру

Это зависит от решения нового собственника: если он откажется от “дарения”, жилье будет возвращено законному собственнику. А если нет? Права собственников, у которых отбирают жилье, у нас ведь не защищены. Р. должен доказать:

  • что он не дарил квартиру;
  • не оформлял договор дарения на сайте Росреестра;
  • никогда не получал сертификат цифровой подписи (!).

Но как доказать, что электронные документы и подписи подделаны, если все с точки зрения Росреестра оформлено идеально? И каковы вообще критерии подлинности ЭД и ЭП существуют? Ведь явно, что истерики и обмороки ограбленных владельцев к ним не относятся.

Но как получилось, что электронная подпись в руках аферистов стала опасным оружием? В чем же ее уязвимость?

Что такое электронная подпись

Электронная подпись (ЭП) – средство, подтверждающее связь непосредственно с электронным документом (ЭД) и его автором. Это не подпись в привычном виде, которая существует физически и которую можно подделать или скопировать. Электронная цифровая подпись (ЭЦП) является реквизитом ЭД, его шифрованным хешем, полученным методом криптографии.

Виды ЭП

Электронная подпись бывает:

  • простой: подтверждается кодами и паролями;
  • усиленной неквалифицированной:
    • создается при помощи криптографии;
    • идентифицирует подписанта;
    • обнаруживает изменение ЭД после подписи;
    • создается с использованием ср-в, входящих в состав ЭП.
  • усиленной квалифицированной ЭП: обладает всеми свойствами квалифицированной ЭП плюс ко всему:
    • выдается квалифицированный сертификат с указанием открытого ключа;
    • ср-ва для получения и проверки должны соответствовать требованиям ФЗ № 63.

Алгоритм шифрования ЭЦП

Шифрование происходит по асимметричной схеме, в которой генерируются два ключа – открытый и закрытый: открытый служит для шифрования, закрытый – для расшифровки. Однако алгоритм создания ЭЦП обратный:

  • закрытый служит для создания подписи и подписания документа;
  • открытый – для проверки подлинности подписи.

Составляющие электронной подписи

ЭЦП состоит из трех элементов:

  • средство создания ЭЦП:
    • криптопровайдер (КП), устанавливается прямо на ПК;
    • токен со встроенным КП, защищенный паролем;
    • облачное хранилище;
  • пара ключей (закрытый и привязанный к нему открытый);
  • сертификат, привязывающий ЭЦП к ее владельцу.

Хранение ключей

Закрытый ключ (ЗК) известен только владельцу и должен тщательно им охраняться, так владение им даст возможность злоумышленнику подписать любой документ. Хранить ключ на ПК, гаджете или флеш-карте – не лучшее решение. Лучше использовать для этого съемные носители смарт-карты, флеш-брелоки, “таблетки” с памятью. Все это приобретаются в центрах сертификации. Также можно использовать для хранения реестр ПК.

При потере закрытого ключа он не восстанавливается – о потере надо сообщить в удостоверяющий центр.

В России скоро карты и брелоки для хранения электронной подписи заменят облачным хранилищем, что даст возможность подписывать электронные документы не только на ПК, но и на любом гаджете. Однако минус в том, защита облачной подписи более уязвима, чем на смарт-карте.

Способы подделки электронной подписи

Злоумышленник может получить взломать закрытый ключ:

  • используя открытый;
  • анализируя полученные или выбранные им электронные документы;
  • взломав подпись и получив закрытый ключ;
  • найдя алгоритм, похожий на алгоритм ЭП, дающий возможность подписывать любые или выборочные документы;
  • используя существующий (не избранный) ЭД.

Наибольшую опасность представляет подделка электронной подписи на основе конкретных выбранных документов, которая называется адаптивной атакой.

Подделка электронной подписи – очень сложная задача для криптоаналитика, поэтому чаще всего подделывают не ЭП, а сами электронные документы.

Способы подделки электронных документов

Способ 1. Подбор документа к готовой подписи:

Технически сложная задача, так как нужно сохранить форму, формат и смысл текста. Аферистов спасает обилие документов с готовой служебной формой, где нужно просто заполнять поля.

Способ 2. Изготовление двух документов с одинаковой ЭП и замена в нужный час одного ЭД другим:

Такого рода атака используется чаще. Требует сложных вычислений, использует бреши в хешировании, слабом алгоритме самой электронной подписи.

Способ 3 (социальный). Не взлом, а получение готовых ключей:

  • кража ключа с ПК, устройства хранения ЭП;
  • получение ключа при помощи протокола слепой подписи (пользователь подписывает документ, не зная его содержание);
  • подмена чужого открытого ключа на свой с присвоением себе чужого имени.

Чем подделка подписи отличается от махинации

Чтобы подделать подпись, то есть взломать закрытый включ, нужно все же знать криптографию и обладать аналитическим умом. Работа криптоаналитика-хакера наверняка стоит недешево. Куда проще преступнику идти по проторенной дорожке, имея “свои” кадры:

  • в страховых пенсионных фондах;
  • органах, регистрирующих недвижимость;
  • центрах, выдающих сертификаты ЭП и т. д.

Для махинаторов большого ума не надо, а достаточно:

  • повторно использовать чью-то ЭП, если уже существует документ с ней:
    • таким образом крадется недвижимость;
    • путем подделки заявлений с использованием ЭП массово были фактически украдены деньги со счета ПФР под видом перевода денег в НПФ (некоммерческие пенсионные фонды);
  • украсть чью-то подпись: особенно при удаленном способе получения и хранения;
  • просто изготовить ЭП без ведома самого гражданина и осуществлять все сделки вместо него, как это случилось с жителем столицы Р.

Как защититься в интернете?

Илоны маски криминального разлива не сидят на месте, а выходят на свою новую, высокую, но только черную орбиту. Это те убогие, которые вечно будут использовать любой прогресс и достижения, чтобы еще больше воровать, жиреть и богатеть. И самое ужасное, что от этих тварей, уже проникших в учреждения Росреестра, ЕСИА, а теперь по всей видимости взявших еще один бастион – центры сертификации, нет защиты. К черту антивирусы, смарт-карты, токены, сложный алгоритм шифрования ЭП! Ничего это не поможет:

  • если честность самого удостоверяющего центра может быть под сомнением;
  • если информация о каждом гражданине, который хоть раз пользовался сайтом госуслуги и другими информационными системами, свободно есть в интернете;
  • если можно воспользоваться чьими-то персональными данными и сведениями об имуществе, которым обладает данное лицо;
  • если можно создать электронную подпись без ведома самого человека;
  • если не создать действительно надежную систему идентификации обладателя ЭП;
  • если не искоренить саму возможность подобных преступлений.

Пока все эти “если” не будут разрешены, можно дать советы, которые могут предотвратить электронную кражу:

  • Берегите ваши личные персональные данные.
  • Создавайте электронную подпись на токене с паролем.
  • Ключ храните не на компьютере, не на флешке, а на смарт-карте.
  • Не подписывайте документы в интернете вслепую.
  • Избегайте облачных хранилищ для создания и хранения ЭП.

Но самый верный способ вот:

Нужно заявить в ЕГРН (Росреестр) об отказе от сделок с недвижимостью с использованием электронной подписи. В этом случае без личного присутствия заявителя сделка будет признана незаконной, и электронная кража станет невозможной.

https://youtu.be/vsXjCzIIoBI

Оцените статью
Сайт о жилищном и гражданском законодательстве