Беларускія распрацоўшчыкі атрымалі перамогу ў конкурсе сацыяльных праектаў — і за прызавыя 5000 еўра (плюс 20 000 сваіх) зрабілі бясплатны інструмент для бяспечнай рэгістрацыі на мерапрыемствы.
Беларускія распрацоўшчыкі атрымалі перамогу ў конкурсе сацыяльных праектаў — і за прызавыя 5000 еўра (плюс 20 000 сваіх) зрабілі бясплатны інструмент для бяспечнай рэгістрацыі на мерапрыемствы.
Прадукт быў распрацаваны ў рамках праекта ImagineY пры частковай фінансавай падтрымцы Еўрапейскага Саюза. Распрацоўшчыкі з Comdev group запітчылі ідэю — і ў выніку забралі прыз.
Ідэя была ў тым, што сучасныя карыстальнікі пастаянна рэгіструюцца на розныя анлайн- і афлайн-івэнты, пакідаюць свае кантактныя даныя і іншую адчувальную інфармацыю — але не ведаюць, хто мае доступ да гэтых даных і як яны захоўваюцца.
Беларуская каманда прапанавала сваё рашэнне — вэб-сэрвіс, які забяспечваў бы надзейную абарону асабістых даных усіх удзельнікаў.
ROY.PASS рэалізавалі за паўгода. Прадукт працуе так: збірае інфармацыю, неабходную для рэгістрацыі на анлайн-мерапрыемстве, шыфруе яе асіметрычным шыфраваннем — і адпраўляе адзін з ключоў шыфравання ў выглядзе QR-кода непасрэдна ўдзельніку мерапрыемства. Другі ж ключ знаходзіцца ў адміністратара і выкарыстоўваецца для верыфікацыі ўдзельнікаў на ўваходзе.
Аўтары кажуць, што зрабілі нават «звыш задуманага» — дадалі праграмкі для адміністратара, каб апрувіць заяўкі на ўдзел ад карыстальнікаў з тэлефона і сканаваць квіткі на ўваходзе.
Паводле слоў распрацоўшчыкаў, ROY.PASS — вельмі просты сэрвіс з інтуітыўна зразумелым інтэрфейсам. Працэс рэгістрацыі з ім займае ўсяго некалькі хвілін. Плюс прадукт інтэграваны з тэлеграмам і платформай ROY.TEAM (распрацаваная для дапамогі кам’юніці-менеджарам у кіраванні і маштабаванні супольнасцяў — заўв. рэд.).
Асноўныя перавагі ROY.PASS, паводле слоў распрацоўшчыкаў сэрвісу:
Распрацоўшчыкі з Comdev group даўно працуюць як каманда — робяць лічбавыя інструменты і навучальныя курсы для кам’юніці-менеджараў. Адкрылі юрыдычную асобу ў Літве.
Рэлацыраваліся? Цяпер вы можаце каментаваць без верыфікацыі акаўнта.
И кто мешает этот QR код перед отправкой сохринить и или слить третьим лицам?
Давно уже изобретён Diffie-Hellman, который позволяет сгенерировать общий ключ не раскрывая секретов третьей, прослушивающей стороне.
Но нет же, надо на коленке что то кривое склепать.
"Зато своё!" (tm)
Тоже, к слову, неидеально. Самый опасный момент - первичный обмен ключами. Третья сторона может подменить публичные ключи своими при первом обмене. Мы как-то делали небольшой мессенджер и всё же не нашли как безопасно производить первичный обмен ключами удалённо без участия третьей доверенной стороны. В любом случае требуется какой-то публичный ключ от доверенного третьего, зашитый на уровне приложения или протокола, чтобы при первом обмене ключами гарантировать, что на этом этапе не вклинился "гук".
Ничто не идеально, ну разишо кроме one-time-pad :)))
Но всяко лучше чем то, что они навелосипедили
Согласен, изобретать велосипед - это вообще фигня. Там уже про маркетинг, а в этом плане любой стартап нагнут очень быстро. Можно, конечно, будет что-то заработать, но очень мало. Хотелось бы уже как-то увидеть QUIC вместо WebRTC и что-то ещё на уровне защиты первичного обмена ключами. Странно почему в эти "велосипеды" вообще инвестируют. Ту же эллиптику не заменяют на PQC-алгоритмы, а "третьего доверенного" всё ещё держат на уровне хранилищ цифровых сертификатов. Пока ещё, видимо, выгодно именно так. Или ещё не догнали чем это выгодно заменить. Хотя NIST ([Часть комментария скрыта за нарушение правил общения. Вот они, их всего пять: https://devby.io/news/comments-2024]) давно же ужё всё сделали, бери матбазу - пиши не хочу. Ну, за исключением первого обмена ключами :)
Карыстальнік адрэдагаваў каментарый 18 жніўня 2024, 21:44
А в чем инновация: зумеры узнали про асимметричное шифрование с публичным и приватным ключами?
При этом ещё и очевидно не до конца поняли как это должно работать и что такое на самом деле пиватный ключ и почему он называется именно приватным.