"Мама, это я! - Нет, сынок, мама - это я..."

Все помнят анекдот, ключевая фраза которого в заголовке? Нет?

Ну, для начала - доброй всем пятницы. Неделя, мягко говоря, безумная. Помимо всеобщего безумия, все поняли о чём речь, были странные инциденты в области информационной безопасности. Как минимум один (возможно, что другой имеет ту же основу)

Если вкратце, выглядело так. Звонит мне давний знакомый - другом не назвать, скорее приятелем, но общаемся время от времени о разном, и первая фраза такая:

- Слышь, ты что там, с дуба рухнул?!

Память моя решительно противится - не вспоминается ни одно такое падение - и я попросту прошу пояснить, что происходит.

Выясняется, что знакомый получил письмо, якобы от меня, с очень убедительным аватаром меня же (фото, которое я использую, например, в Gravatar), где некто от моего имени требует срочно вернуть долг, а иначе... В общем, тут любой решит, что отправитель как минимум упал с того самого дуба.

По шагам разобрались, почему письмо поддельное, почему это не сразу можно понять - в общем, в итоге посмеялись. Заодно лишний раз прочёл человеку краткую лекцию о том, как легко в Интернете выдать себя за кого угодно.

Кто в теме - поймёт без долгих пояснений, а пока что на пальцах. Достаточно легко использовать
- электронные адреса
- любые фото, циркулирующие в Сети
- для убедительности - тот цифровой след, что мы все оставляем (вплоть до убедительных ссылок на документы - те же паспортные данные утекали всем желающим неоднократно)
- при помощи очень современных технологий, класса Deep Fake (от относительно безобидного FaceApp до вполне коммерческих и доступных, вида Deep Fakes Web), можно сформировать не только убедительное фото, но и видео (если есть образец записи голоса - то и голос)

Были бы средства и намерение, подделать можно чью угодно идентичность. Но человек, о котором речь, поступил логично: взял давно  известный контакт (телефон) и связался, чтобы выяснить подробности. Но что делать, если нет уверенности в надёжности канала?

Нужно что-то такое, что крайне трудно подделать и относительно легко проверить. Я обычно использую цифровые подписи PGP (GnuPG) - не скажу, что это осваивается влёт и без усилий, но если вам когда-нибудь нужно будет доказать свою личность, и вы убеждены на 200%, что секретный ключ и пароль к нему у вас и только у вас, то вот оно, решение.

Как выглядит ключ, можно посмотреть в конце страницы указанного в моём профиле сайта. Тем, кому интересно, поясню, что и страница эта сама подписана тем же ключом, и её подлинность можно проверить.

Ну и для примера, как выглядит подписанный текст (обрамление собственно текста занимает всегда примерно один и тот же объём, так что для больших файлов не так уж страшно). Здесь не позволяется разметка со шрифтом постоянной ширины, так что я убрал образец на тот же сайт.

Желающим могу оставить краткую инструкцию, как проверять подлинность подобных сообщений. Может, это и отнимет какое-то количество нервов и времени, но если, например, моё электронное письмо подписано таким образом, как минимум вы будете знать, что его содержание не изменилось по пути.

Будем здоровы и приятных, по возможности, выходных всем!