Potencialne zlorabe sigen-ca osebnega potrdila

Kakšni so najhujši teoretični scenariji, ki si jih lahko zamislite kot posledico kraje osebnega digitalnega potrdila sigen-ca?

Zadnjič sem nekomu rekel da mora malo bolje skrbet za to zadevo pa je rekel nekaj v stilu "eh, kaj če bit" ...

kaj lahko naredi z certifikatom tudi če ga pobere iz tvojega računalnika če nima gesla. Seveda je faj če za geslo nimaš "geslo" :)

Če je sigen-ca certifikat ukraden s strani ruskih/kitajskih/korejskih/... hackerjev, si ti z njim ne bodo mogli bogvedi kaj pomagati.

Bolj problematično postane pri načrtni kraji, ko si nekomu trn v peti in ti želi na vsak način škodovati. Če se taka oseba dokoplje do tvojega certifikata, ti lahko na e-davki in podobnih portalih oddaja raznorazne vloge. Lahko ti odda vlogo za ugodnosti, do katerih nisi upravičen, pri tem pa navaja lažne podatke. Odgovarjaš pa ti, češ da si skušal goljufati.
Lahko ti dopolni napoved dohodnine...kar ugotoviš šele, ko ti pride položnica za doplačilo...
Lahko jo dopolni v drugo smer, da prijavi neke lažne olajšave. Spet si ti tisti, ki ga bo FURS povabil na razgovor....

Ni ravno hec, kar si lahko nekdo privošči, če se enkrat dokoplje do tvojega certifikata. Marsikje sicer potrebuješ še geslo - ampak s pomočjo kakšnega dobrega starega keyloggerja tudi do tega prideš. Ali pa ga imaš celo shranjenega v brskalniku? V tem primeru je na voljo dovolj orodij za ekstrakcijo teh gesel...

večji problem je če ti ukradejo certifikat za banko, ampak kot sem prej povedal, vsi certifikati so zaščiteni z geslom tako da je krivica na samem uporabniku če izbere kakšno debilno in enostavno geslo.

barakus je 17. jan 2018 ob 17:57 izjavil:

Ali ne velja to potrdilo enako kot lastnoročni podpis? Lahko z njim podpiše razna pooblastila ali pogodbe v imenu lastnika potrdila?

Velja, kjer ta certifikat priznavajo.

Sigen-CA v svetu ne velja za ravno hudo cenjenega izdajatelja certifikatov, posledično je tudi njegova uporabnost dokaj omejena na našo državno upravo. V okviru te pa dejansko velja praktično enako kot lastnoročni podpis.

Vse okoli certifikatov se vrti okoli zaupanja. Nek američan bo rekel 'kdo za vraga je Sigen-CA? Noben od mojih sistemov nima njihovega izvornega certifikata, potem že ne more biti kaj dosti zaupanja vreden'. Posledično se lahko 100x podpišeš s tem certifikatom, pa ne bo podpis kaj dosti veljal.
Nasprotno pa naša državna uprava 100% zaupa Sigen-CA. Zato tudi ima podpis z njim toliko večjo veljavo.

Odvisno kaj imaš vezano na to potrdilo. Poleg tega kar je opisal SeMiNeSanja imam jaz na Sigenco vezano še banko. Sicer imam za večje zneske potrditev prek telefona ... ampak, če lahko nekdo pride do mojega certifikata, potem predpostavljam, da lahko pride tudi do katere koli datoteke, s keyloggerjem pa do vsakega gesla. S tem pa praktično do vseh mojih osebnih podatkov.

Prek google playa lahko poljubno namešča programe na moj telefon, ki ga pri storitvah uporabljam za 2FA.
In če nekdo kliče na banko se predstavi v mojem imenu in poda vse moje podatke, je spet vprašanje ali bo uslužbenka na banki dovolila spremembo GSM cifre?!

To komu brskalnik zaupa ni relevantno. Gre se za to kdo zaupa sigenci. Primer ene zlorabe bi bil delavska hranilnica. Če ti nekdo ukrade sigenca potrdilo + geslo ti lahko verjetno pobere nekaj denarja, mogoče tudi vse...
Kaj pa pogodbe in pooblastila? Lahko kdo podpiše kakšno pogodbo s tem, kjer bi imel finančno korist? Prodaja avta? Kaj pa pooblastilo za prodajo nečesa?

Večina 'resnih' pogodb (avto, nepremičnine,...) se še vedno mora overiti pri notarju.

S tem je potem tudi uporabnost digitalnega potrdila v takem primeru nična - moraš se kar osebno pojaviti in izkazati z veljavnim osebnim dokumentom.