vstoykov, на снимката която си дал не ти ли прави впечатление че сайта ползва X509 сертификат, а не PGP.
Разпространението на публичния ключ може изобщо да не става чрез сайт.
За универсалните сертификати има законово изискване ключовете да се генерират на смарт карта или еквивалентно устройтво от което не може да бъде копиран частният ключ.
Освен това и при сегашната практика удостоверителят не генерира ключовете. Те се генерират на смарт картата и частният ключ никога не я напуска. Файл, от друга страна, прекалено лесно се копира, като може и никога да не разбереш, че някой си е направил копие. Ако ти изчезне картата, ще се сетиш по-лесно да си анулираш удостоверението.
Тъй като частният ключ никога не напуска картата, кражбата на пари от банката съвсем леко се усложнява. Крадецът ще трябва да си инсталира троянец на компютъра на жертвата.
Това, че ключът не може да бъде копират не усложнява много кражбата. Нали все пак е възможно да се ползва от потребителя. А след като потребителят може да го ползва и крадецът ще може.
Ако на компютъра има троянец потребителят как ще разбере това?
Представи си всичко е направено както смяташ че трябва да бъде и искаш да преведеш пари от банковата си сметка си по електронен път. Какво точно трябва да се разпише според твоите виждания и как става комуникацията?
При варианта с "умните" карти не ми е известно как точно става (многото софтуер, който се инсталира се грижи всичко да работи без потребителят да знае твърде много).
При варианта с OpenPGP си представям нещата така:
Потребителят се логва в сайта на банката с името и паролата си. Разбира се ползва се "https" връзка. Само с тях не може да прави преводи или други по-особени операции. Когато иска да направи някаква операция въвежда съответните данни, натиска големия бутон и софтуерът на банката му връща едни данни (форматирани подходящо за да може после да се обработят автоматично), които трябва да подпише. Потребителят ги подписва и ги връща обратно (ще трябва малко copy/paste). Може да се напише и плъгин за браузъра, който да прави това copy/paste. А може и вече браузърите да имат подобна функционалност - не съм ровил из документациите.
Възможно е даже този метод да се ползва и за логването в сайта - така се удостоверява, че логващият се е притежателят на частния ключ.
Разбира се частният ключ е криптиран с дълга парола, която може да се научи само с троянец или други специални разузнавателни средства (видеозапис,
звукозапис (да, наистина има и такива, които по звука от клавиатурата разшифроват написаното), keylogger на кабела на клавиатурата).