Домены .RU: идентификация по паспорту и доверие

Между прочим, у действующей с осени прошлого года странной схеме с идентификацией администраторов доменов .RU по сканам паспортов есть ещё одна неприятная особенность, о которой постоянно забывают.

В схеме (по правилам), администратор домена отправляет скан паспорта регистратору через Интернет (как один из способов, который, наверняка, наиболее распространён). Но администратор не получает гарантий, что его скан был получен и принят (с учётом даты и времени получения). То есть, при возникновении спорной ситуации, недобросовестный регистратор может заявить, что скана вообще не получал. При этом у администратора домена нет возможности как-то доказать, что скан передавался.

Со своей стороны, если потребуется, регистратор всегда может доказать, что обладает сканом – просто предъявив его. Такой вот перекос доверия. Конечно, это стандартная проблема с “односторонней аутентификацией”, встречающаяся много где ещё: в электронных аукционах, в сетях GSM. Бороться можно очевидным способом: требуя документального подтверждения передачи скана паспорта.

Реализовать подтверждение можно и чисто электронными средствами: электронный скан подписывается закрытым ключом регистратора и возвращается подавшему его администратору.

()

Похожие записки:



Далее - мнения и дискуссии

(Сообщения ниже добавляются читателями сайта, через форму, расположенную в конце страницы.)

Комментарии читателей блога: 12

  • 1. 7th July 2010, 00:31 // Читатель jno написал:

    Ну, можно и “подтверждение получения” электрического письма задействовать… Утбого, конечно.

  • 2. 7th July 2010, 10:26 // Александр Венедюхин ответил:

    Такое подтверждение можно легко подделать.

  • 3. 7th July 2010, 12:10 // Читатель sarin написал:

    мне кажется, что у проблемы нет надёжного технического решения. не ответить на полученную информацию можно абсолютно всегда. это лишь вопрос наглости вопрошаемого. разумеется технически можно повысить порог (чтобы только очень наглый регистратор мог говорить что ничего не получал). но кстати всегда когда нет личного контакта данный порог будет ниже, а когда общение идёт лишь в письменной форме он будет даже ниже, чем при телефонном разговоре.

    в принципе, проведя расследование можно доказать факт получения сканов.

    кстати вот мысль пришла в голову, что подтвердить факт передачи может провайдер, а если передача состоялась, то дальнейшая ответственность целиком на регистраторе.

  • 4. 7th July 2010, 12:20 // Александр Венедюхин ответил:

    К сожалению, провайдер не обладает возможностями тут что-либо подтвердить. Ну что там он может доказать? Наш smtp-сервер отправил сообщение? А что там в этом сообщении? Как доказать, что отправил успешно и так далее.

    А решение есть – просто нужно получать официальный документ, подтверждающий получение именно этого скана. В бумажном случае, как мне подсказывают, это официальная записка о получении, с печатью и датой, подшивается к копии (либо можно прямо на копии удостоверяющую надпись сделать). В электронном варианте – ЭЦП на файле (+дата) вполне сработает.

    Тут же фокус в том, что такие документы обладают силой, равной силе других документов, генерируемых юр.лицом. То есть, официальный отказ от факта получения скана – он, что называется, “блокируется” предъявлением официального же подтверждения получения, ведь оно выдано тем же лицом.

  • 5. 7th July 2010, 14:48 // Читатель sarin написал:

    я ничего не понял.

    вот представьте такой вариант: Вы приходите лично в компанию-регистратор со сканом паспорта, заполняете заявление и даёте это заявление вместе со сканом милой улыбающейся девушке которая принимает документы. она берёт все эти бумаги, смотрит и отправляет в шредер (ведь она тайный агент который не должен допустить выдачу Вам доменного имени, или выдачу запрошенного доменного имени вообще) и продолжает мило улыбаться. вместо того, чтобы выдать официальный документ. у Вас никаких доказательств!

    возможный вариант защиты выглядит так: Вы приходите вместе с доверенным лицом, которое сможет потом выступить свидетелем и подтвердить, что документы Вы передали как подобает. ещё более надёжный вариант: отдавать документы в запечатанном конверте содержимое которого предварительно описано. тогда регистратор будет вынужден подтвердить получение конверта не зная кто и какой домен регистрирует.

    я не могу себе представить надёжную схему подтверждения в которой участвует лишь регистратор и регистрируемый.

    или речь о том, чтобы уже после получения домена иметь возможность подтвердить право собственности на него?

  • 6. 7th July 2010, 16:23 // Читатель jno написал:

    “Электронные” средства – все убогие имманентно.

    Для того, чтобы доверять “электронному” документу, надо его подписывать ЭЦП, которая удостоверена “хорошим” центром.

    А так – пейпер трак рулит!
    Относишь бумажную копию паспорта, забираешь бумажную квитанцию…

  • 7. 7th July 2010, 19:39 // Александр Венедюхин ответил:

    я ничего не понял.

    Ну речь не о подтверждении прав на домен, а о процедуре верификации администратора, которую ввели дополнительно в прошлом году. Там предлагается передавать сканы паспортов с целью, типа, подтверждения достоверности указанных данных.

    Проблема же с доверием вот в чём: в спорной ситуации (например, снимают домен с делегирования) администратор домена говорит: “я передавал скан, как положено”, а регистратор: “нет, ничего мы не получали!”. Доказывать свою правоту должен администратор (он обвиняет регистратора в нарушении), а доказательств-то и нет никаких.

  • 8. 7th July 2010, 19:41 // Александр Венедюхин ответил:

    Относишь бумажную копию паспорта, забираешь бумажную квитанцию?

    Просто квитанция не работает: как доказать, что была передана именно та, верная, копия?

  • 9. 8th July 2010, 00:40 // Читатель sarin написал:

    домен и есть доказательство.

    почему снимают домен с делегирования? ведь если мы получили домен, значит регистратор получил скан? иначе как он дал домен? если домен у нас увели и пытаются доказать, что скан не получали то значит у них есть сканы паспорта того человека который давал скан. иначе не получил бы он. а значит нужно человека найти и по-пацански с ним всё мирно обсудить.

  • 10. 8th July 2010, 09:03 // Александр Венедюхин ответил:

    Не, домен можно было зарегистрировать (продлить регистрацию) без скана паспорта. Просто у домена тогда другой статус.

  • 11. 8th July 2010, 11:01 // Читатель sarin написал:

    аа, вот теперь ясно. такой подход безусловно создаёт проблемы.

  • 12. 8th July 2010, 13:16 // Читатель jno написал:

    > Просто квитанция не работает: как доказать,
    > что была передана именно та, верная, копия?

    А зачем? Квитанция доказывает, что была подана *нужная* копия, по которой были произведены действия.

    А “у прынципе” ничто не мешает выписвыать квитанцию на копии с той копии…