Беларусы сделали сервис для безопасной регистрации на мероприятия
Беларусские разработчики одержали победу в конкурсе социальных проектов — и за призовые 5000 евро (плюс 20 000 своих) сделали бесплатный инструмент для безопасной регистрации на мероприятия.
Продукт был разработан в рамках проекта ImagineY при частичной финансовой поддержке Европейского Союза. Ребята из Comdev group запитчили идею — и в итоге забрали приз.
Идея была в том, что современные пользователи постоянно регистрируются на разные онлайн- и оффлайн-ивенты, оставляют свои контактные данные и другую чувствительную информацию — но не знают, кто имеет доступ к этим данным и как они хранятся.
Беларусская команда предложила своё решение — веб-сервис, который обеспечивал бы надёжную защиту личных данных всех участников.
ROY.PASS реализовали за полгода. Продукт работает так: собирает информацию, необходимую для регистрации на онлайн-мероприятии, шифрует её ассиметричным шифрованием — и отправляет один из ключей шифрования в виде QR-кода непосредственно участнику мероприятия. Второй же ключ находится у администратора и используется для верификации участников на входе.
Ребята говорят, что сделали даже «сверх намеченного» — добавили аппки для администратора, чтобы апрувить заявки на участие от пользователей с телефона и сканировать билеты на входе.
По словам разработчиков, ROY.PASS — очень простой сервис с интуитивно понятным интерфейсом. Процесс регистрации с ним занимает всего несколько минут. Плюс продукт интегрирован с телеграмом и платформой ROY.TEAM (разработана для помощи комьюнити-менеджерам в управлении и масштабировании сообществ — прим. ред.).
Основные преимущества ROY.PASS, по словам разработчиков сервиса:
шифрование данных: личная информация участников надежно зашифрована и не хранится в открытом виде;
быстрая и удобная регистрация. Участники получают QR-код, который можно легко и быстро проверить отсканировав на входе.
отсутствие списков и анкет: данные участников хранятся в зашифрованном виде, а ключ хранится отдельно, на устройстве каждого участника, что исключает любую возможность утечки информации.
исключение случайных людей: доступ к мероприятию получают только зарегистрированные участники.
Разработчики из Comdev group давно работают как команда — делают цифровые инструменты и обучающие курсы для комьюнити-менеджеров. Открыли юрлицо в Литве.
шифрует её ассиметричным шифрованием — и отправляет один из ключей шифрования в виде QR-кода непосредственно участнику мероприятия.
И кто мешает этот QR код перед отправкой сохринить и или слить третьим лицам?
Anonymous
15 августа 2024, 02:57
3
Давно уже изобретён Diffie-Hellman, который позволяет сгенерировать общий ключ не раскрывая секретов третьей, прослушивающей стороне.
Но нет же, надо на коленке что то кривое склепать.
"Зато своё!" (tm)
Zhan Chubukou
B2B Contractor (AI Solution Manager) в Worldwide Market
17 августа 2024, 11:05
0
Тоже, к слову, неидеально. Самый опасный момент - первичный обмен ключами. Третья сторона может подменить публичные ключи своими при первом обмене. Мы как-то делали небольшой мессенджер и всё же не нашли как безопасно производить первичный обмен ключами удалённо без участия третьей доверенной стороны. В любом случае требуется какой-то публичный ключ от доверенного третьего, зашитый на уровне приложения или протокола, чтобы при первом обмене ключами гарантировать, что на этом этапе не вклинился "гук".
Anonymous
18 августа 2024, 05:08
1
Ничто не идеально, ну разишо кроме one-time-pad :)))
Но всяко лучше чем то, что они навелосипедили
Zhan Chubukou
B2B Contractor (AI Solution Manager) в Worldwide Market
18 августа 2024, 21:44
0
Согласен, изобретать велосипед - это вообще фигня. Там уже про маркетинг, а в этом плане любой стартап нагнут очень быстро. Можно, конечно, будет что-то заработать, но очень мало. Хотелось бы уже как-то увидеть QUIC вместо WebRTC и что-то ещё на уровне защиты первичного обмена ключами. Странно почему в эти "велосипеды" вообще инвестируют. Ту же эллиптику не заменяют на PQC-алгоритмы, а "третьего доверенного" всё ещё держат на уровне хранилищ цифровых сертификатов. Пока ещё, видимо, выгодно именно так. Или ещё не догнали чем это выгодно заменить. Хотя NIST ([Часть комментария скрыта за нарушение правил общения. Вот они, их всего пять: https://mstagmanager.com/news/comments-2024]) давно же ужё всё сделали, бери матбазу - пиши не хочу. Ну, за исключением первого обмена ключами :)
Пользователь отредактировал комментарий 18 августа 2024, 21:44
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.
И кто мешает этот QR код перед отправкой сохринить и или слить третьим лицам?
Давно уже изобретён Diffie-Hellman, который позволяет сгенерировать общий ключ не раскрывая секретов третьей, прослушивающей стороне.
Но нет же, надо на коленке что то кривое склепать.
"Зато своё!" (tm)
Тоже, к слову, неидеально. Самый опасный момент - первичный обмен ключами. Третья сторона может подменить публичные ключи своими при первом обмене. Мы как-то делали небольшой мессенджер и всё же не нашли как безопасно производить первичный обмен ключами удалённо без участия третьей доверенной стороны. В любом случае требуется какой-то публичный ключ от доверенного третьего, зашитый на уровне приложения или протокола, чтобы при первом обмене ключами гарантировать, что на этом этапе не вклинился "гук".
Ничто не идеально, ну разишо кроме one-time-pad :)))
Но всяко лучше чем то, что они навелосипедили
Согласен, изобретать велосипед - это вообще фигня. Там уже про маркетинг, а в этом плане любой стартап нагнут очень быстро. Можно, конечно, будет что-то заработать, но очень мало. Хотелось бы уже как-то увидеть QUIC вместо WebRTC и что-то ещё на уровне защиты первичного обмена ключами. Странно почему в эти "велосипеды" вообще инвестируют. Ту же эллиптику не заменяют на PQC-алгоритмы, а "третьего доверенного" всё ещё держат на уровне хранилищ цифровых сертификатов. Пока ещё, видимо, выгодно именно так. Или ещё не догнали чем это выгодно заменить. Хотя NIST ([Часть комментария скрыта за нарушение правил общения. Вот они, их всего пять: https://mstagmanager.com/news/comments-2024]) давно же ужё всё сделали, бери матбазу - пиши не хочу. Ну, за исключением первого обмена ключами :)
Пользователь отредактировал комментарий 18 августа 2024, 21:44
А в чем инновация: зумеры узнали про асимметричное шифрование с публичным и приватным ключами?
При этом ещё и очевидно не до конца поняли как это должно работать и что такое на самом деле пиватный ключ и почему он называется именно приватным.