¿Cómo evitar el robo de identidad en las partes clave de la firma?

Navega tus respuestas
3

Permítame comenzar distinguiendo dos tipos de robo de identidad:

  1. Robo de identidad convencional (p. ej., mediante el uso de credenciales de documentos de identidad, cuentas bancarias, etc., para cometer fraude o otra travesura ).
  2. Robo de identidad criptográfico (por ejemplo, mediante un certificado PGP (también conocido como "clave") para hacerse pasar por otro usuario de PGP / GPG sin su permiso).

Partes de firma clave (KSP) están destinadas a hacer más difícil el robo de identidad criptográfica, pero a medida que tıpicamente requieren que se expongan credenciales de documentos de identidad, facturas o similares emitidos por el gobierno a personas que normalmente no tendrían acceso a ellos, parece que Aumenta el riesgo de robo de identidad convencional.

Puedo pensar en un par de maneras de mitigar este aumento del riesgo:

  • Cubriendo números de pasaporte, fechas de nacimiento , < a href="http://manvsdebt.com/top-16-pieces-of-your-information-identity-thieves-crave/"> números de la licencia de conducir , etc., antes de mostrar el documento en un KSP;
  • Solo se deben firmar claves que pertenezcan a personas que se conozcan lo suficientemente bien como para que no sea necesario mostrar credenciales adicionales (por ejemplo, familiares o amigos cercanos de larga data), y esperar las mismas a cambio;

Sin embargo, el primero puede reducir la confianza, y el segundo parece hacer que los KSP sean innecesarios.

Por lo tanto, agradecería las opiniones de los demás sobre cómo las personas deberían obtener los beneficios de los KSP sin correr un mayor riesgo de robo de identidad convencional, y por los indicadores hacia cualquier investigación que haya abordado esto.

    
pregunta sampablokuper 20.12.2014 - 14:40
fuente

3 respuestas

3

Creo que el interlocutor está viviendo en un país como Suecia, donde cualquier persona que obtenga su número de seguro social, puede usarlo para ordenar cosas a su nombre y hacer que le envíen la factura en lugar de la entrega. diríjase, y luego se verá obligado a pagar la factura de los productos de otra persona.

La solución recomendada para esto es Notary Public . Un notario público es un tercero, a menudo empleado por el gobierno, que trabaja en un tribunal o una institución similar, lo que verifica las cosas de la manera que usted solicite. Si el notario está bien informado y sabe sobre PGP, el notario puede firmar su clave PGP desde el primer comienzo, sin temor al robo de identidad.

Pero si el notario no sabe nada sobre PGP, puede pedirle al notario que cree un documento de verificación de identidad, que contenga solo los detalles necesarios. Por ejemplo, su nombre, su apellido, el país de emisión y su edad actual, y luego colocar este documento con un período de validez de 6 meses (para asegurarse de que la edad se mantenga consistente con su edad real durante toda la validez del documento) período), y luego una foto.

Por supuesto, usted muestra su identificación al notario. El notario es generalmente una persona de confianza, básicamente tan confiable como un juez. El notario firma esto, a menudo un documento con marca de agua, y lo estampa con el sello oficial de notario en su país. El notario también puede cotejar los detalles verificados con los registros oficiales para incluso agregar un nivel de verificación.

Este documento es el que traes a KSPs. Un firmante de KSP puede verificar que el documento del notario es real y, en caso de duda, el verificador puede llamar al notario y el notario le asegurará que vio la tarjeta de identificación real. Esa es una solución que no se vuelve tan "sospechosa" como enmascarar los detalles en su tarjeta de identificación.

Por lo tanto, no revela más de lo necesario, y no hay riesgo de que alguien use su número de seguro social para conectarse en Internet con los sitios web de pedidos posteriores al pago.

También es posible que pueda hacer el proceso de identificación y que su clave PGP esté firmada por un ENotary , que puede evaluar su identidad de forma remota a través de una cámara web + conexión de sonido.

    
respondido por el sebastian nielsen 21.12.2014 - 03:55
fuente
4

En una fiesta de firma de claves, usted muestra documentos, no los entrega, ni existe la oportunidad de copiarlos. Alguien con una memoria eidética y un lado malo puede ser un riesgo. Sin embargo, la memoria eidética es rara en adultos. (Así es el mal, felizmente.)

Por lo tanto, consejos específicos en respuesta a su pregunta: una parte de firma de llaves debe tener invitados conocidos por el anfitrión, o invitados de "segunda orden", es decir, invitados conocidos por un invitado que también es conocido por el anfitrión. Además, el anfitrión necesariamente mantendrá una lista de los invitados para que el KSP funcione. Creo que el riesgo es pequeño.

    
respondido por el Bob Brown 20.12.2014 - 15:04
fuente
2

Robo de identidad

Si la gente que lee tus documentos teme el robo de identidad, no vayas a las partes clave para firmar. También es mejor no viajar, ya que es posible que tenga que mostrar su pasaporte en el aeropuerto (incluso al personal de la aerolínea). También consideraría no usar más las tarjetas de crédito, el cajero podría copiar la identificación de la tarjeta de crédito y, como he experimentado en los Estados Unidos, a menudo también tiene que mostrar un documento de identidad como su licencia de conducir. ¿Alguna vez has alquilado un coche? Incluso hacen copias de sus documentos ...

En las partes de firma clave

No creo que a nadie le importe un número de pasaporte cubierto, ya que de todos modos es difícil de verificar durante la firma de la clave. A la gente le le importará su fecha de nacimiento, ya que esto se puede usar para una verificación de plausibilidad. No recuerdo a nadie que haya mostrado tarjetas bancarias o de crédito en las firmas clave, por lo que su información no debe considerarse peligrosa.

Además, la atención en las cámaras es muy alta en las fiestas de firmas clave. No creo que alguien ni siquiera considere traer una cámara, o se le pida amablemente que la retire en cuestión de segundos.

Supongo que pagar por las compras (y otros lugares) es mucho más dudoso si consideramos el robo de identidad: estás revelando más documentos y las cámaras están mucho más extendidas y son generalmente aceptadas.     

respondido por el Jens Erat 20.12.2014 - 15:27
fuente

Lea otras preguntas en las etiquetas

¿Cómo funciona realmente una autenticación de contraseña a través de un protocolo TCP? ¿Debo usar más de 2048 bits en mi clave RSA SSH-2?