Як вони самі пишуть, це…
SmartID – це кваліфікований електронний підпис, що є аналогом вашого власноручного підпису.
Ви можете підписувати документи та звіти, підтверджувати особистість та отримувати послуги онлайн за допомогою свого смартфону – додаткових пристроїв і додатків для зберігання е-підпису не потрібно.
SmartID зберігається в захищеному хмарному сховищі, а використання е-підпису підтверджено Законом України «Про електронні довірчі послуги».
Тааак.
Нормальний софт для асиметричної криптографії — це OpenSSH, OpenSSL або GnuPG. Їх код читали кращі криптоаналітики всього світу, в них дійсно знаходили вразливості і виправляли. Я довіряю цьому софту.
Нормальні умови використання цього софту — це коли я генерую свої пари приватних/публічних ключей лише самостійно, на своєму комп’ютері, і мій приватний ключ ніколи, ні за яких умов не потрапляє у чужі руки та/або за межі мого комп’ютера. Звісно, при цьому я сам маю подбати про безпеку свого комп’ютера.
Якщо мій приватний ключ потрапив до когось (навіть «зашифрований паролем», лол), то він вважається скомпрометованим.
Якщо мій приватний ключ був згенерований софтом, до якого є питання, то він вважається недостатньо стійким та, відповідно, скомпрометованим.
Старий проприєтарний «крипто-плагін» теж не викликав у мене надто великої довіри. Але він хоча б робив вигляд, що «мій» приватний ключ генерується не банком.
Хмарні ключі — це ключі, які згенерував банк і які банк зберігає у себе.
Хмарні ключі скомпроментовані від народження.
А ще банк сам, через власний АЦСК, підтверджує правильність електронних підписів. Тобто банк сам створює хмарний ключ ЕЦП, сам видає на нього сертифікат, сам цей сертифікат перевіряє, молодець який, і все це без вашої участі.
Це пиздець. Сумно, блядь.