потому что "дыра" обыватеьский термин. Можно дверь закрыть на замое, а калитку на щеколду позабыть, и вот, заходи бери кто что хочет.
Вот точка зрения обывателя.
Я генерирую сертификат в интернет ехпловере, через интернет при этом браузер запускает внешний софт и в итоге без УЦ сертификата не будет. Вы можете сколь угодно мне рассказывать про алгоримты, можете аргументировано объяснять, что в самой математической модели проблем нет — это дыра, у меня веры в такой серт нет никакого. В оригинале, напомню, выход в интернет не нужен совсем, проблема только в случайных числах.

проблема в каком случае? Такое бывает и нередко, в основном подделывают на фирмы и делают значимые действия.
Тут проблема в том, что любой серт на самом деле делает оператор УЦ.

Вы так договоритесь что доверенности всякие тоже одна большая дыра. Паспортные данные место работы - всё в наличии. И всё в соответствии с законодательством.

вот это другой вопрос, с которым я согласен. Есть закон, нам сказали работать так, мы так работаем. А мусолить что это не правильно можно в чатиках в телеграмме. Но работе это мешать не должно.
Также ПД в ЭП есть, но нам пофиг, законы не мы придумали, не мы исполняем. Уж тем более на безопасность этого ЭП.

Мне больше было интересно про "алгоритм шифрования". Если нет доверия уц, то схема в принципе нерабочая.

я же наоборот в математику стараюсь не лезть. Например первый взятый мной сертификат ЭП по ГОСТ Р 34.11-2012/34.10-2012 256 бит
а в gpg мне доступны
С открытым ключом: RSA, ELG, DSA, ECDH, ECDSA, EDDSA
Симметричные шифры: IDEA, 3DES, CAST5, BLOWFISH,
                   AES, AES192, AES256, TWOFISH, CAMELLIA128,
                   CAMELLIA192, CAMELLIA256
Хеш-функции: SHA1, RIPEMD160, SHA256, SHA384, SHA512,
            SHA224

Не, я имел в виду, что может быть есть какие-то нюансы, связанные с уц - приватные ключи у них создаются и передаются клиенту или что-то еще. Своим вопросом я просто уточнил. Никаких подвохов в вопросе не было.

нет, в теории закрытая часть сертифката создаются у вас. Через ие запускается внешний софт.

Доверие к уц pki основано на том, что есть известные правила, периодический аудит должен подтверждать работу по правилам. Для уц эцп есть похожие правила и аудиты?

не знаю, но догадываюсь, что регламентирована их работа целиком и полностью. Это же РФ у нас бюрократия в кубе.

Теоретически, должны. Есть статьи и в КОаП и в УК

Вы совершенно напрасно замесили в одну кучу понятия ЭП, алгоримов шифрования, инфраструктуры PKI и исполнения регламентов работы российских УЦ их сотрудниками.
Насколько я понимаю, речь, в основном, о последнем предмете

Нет такого понятия, закрытая часть сертификата. В лучшем случае, что может создаваться на стороне пользователя, это пара ключей и запрос на сертификат

Изначально речь шла о наличии ПД "где-то". Единственное место, где это возможно - это сертификат. Ни в закрытой части ключа, ни в Эп персданных нет.

Если подходить строго, при технической реализации ЭП, отдельные форматы её формирования, подразумевают, что помимо самой ЭЦП (зашифрованного закрытым ключом хэша), так же"вкладывается" сертификат откр ключа пользователя. В этом случае, уместно говорить, что при передаче ЭП передаются и ПДн пользователя.

Опять же, это сертификат. Просто прицепленный к ЭП, чтобы два раза не вставать при проверке

Совершенно верно. Поэтому и надо четко объяснять о чем идет речь

Причем, для квалифицированной ЭП, можно утверждать, что в сертификате ЭП указаны обшедоступные ПДн

я создаю закрытую часть ключа и запрос в УЦ.
По остальному согласен, каждое слово выверять не буду. Мнение — есть закон, я исполняю.

мне кажется что в другой ситуации, если я буду продавать базу с инн, снилс и фио — в суде мне скажут, что я персональные данные продавал.