Мой адрес не дом и не улица…

На днях, министр связи и массовых коммуникаций России Игорь Щеголев внес предложение приравнять адрес электронной почты к идентификатору личности. Мой больной разум решил пофантанировать на эту тему.

«Зачем его приравнивать, если он уже приравнен 152-ФЗ, как информация, позволяющая идентифицировать личность?» — спросите вы. Ну или не спросите, не важно. Я напомню, что идентифицировать личность — это не обязательно значит узнать его ФИО и уровень дохода, а однозначно показать на него пальцем. Как опознание преступника.

Важно то, что этот, очень контекстный идентификатор, предложили использовать для идентификации в отрыве от всех остальных, без которых он теряет свои свойства.

Что есть адрес электронной почты? обратимся к википедии: обозначение, установленное RFC 2822, однозначно идентифицирующее почтовый ящик, в который следует доставить сообщение электронной почты. Видимо то, что ящик, в отличии от человека, который им воспользовался, идентифицирован — уже достаточно.

Теперь обратимся к угрозам:

1. Перехват доступа к почтовому ящику.  В зависимости от способа реализации процедуры аутентификации, эта задача может принимать различный уровень сложности. Тем не менее, она вполне решаемая, и перехватив или взломав логин и пароль от ящика, я в глазах государства перевоплощаюсь в совершенно другую личность. Реинкарнация отдыхает.

2. Подмена заголовка электронного письма. Любой желающий и имеющий минимальные знания в процедурах обмена электронными письмами может видоизменить заголовок письма и выдать сообщение, отправленное со своего почтового сервера за отправленное от другого человека. Только вот с получение ответа, если это необходимо, нужно будет поколдовать.

3. Тупо перехват электронного письма с целью прочитать или изменить содержание. Т.к. если я правильно понял министра, об речь не идет, то сделать это будет не трудно.

4. DOS-атака на почтовый сервер с целью не дать отправить/принять почтовое сообщение. Круг серверов, конечно в этом случае, очень и очень ограничен, но тем не менее…

Это только те, которые сразу пришли на ум. А ведь скромный довесок в виде ЭЦП позволили бы решить практически все проблемы. на почтовом сервере по сертификату, отправка в формате S/MIME, шифрование — все это даже не на гостовых алгоритмах существенно повысит защищенность. А с ГОСТом и сертифицированными средствами еще и сделает его юридически значимым. Особенно актуально в свете новой редакции закона «О ЭЦП», обещающей бесплатный сертификат каждому физику :).

В догонку к предложениям министра предложу и свое: адрес блога в глобальной сети приравнять к регистрации в паспорте. Встретимся у меня дома, на www.from37.ru!

Связанные записи

Метки: , , , , , , , , , ,