Торговые секции
Время сервера —

Обычная сим-карта как электронная цифровая подпись!

25 февраля 2014 Новости SETonline

Для многих цифровая или электронная подпись — абстрактное понятие, к реальной жизни неприменимое. В российской отрасли мобильной связи и информационной безопасности задались масштабной целью снабдить такой подписью всех и каждого, разместив ее на обычной сим-карте. Фактически речь идет об альтернативе универсальной электронной карте, за исключением ее платежных функций.

 

 «Песочница» в телефоне

 

Идею разместить и использовать средство цифровой подписи в мобильном телефоне многие эксперты по информационной безопасности считают откровенным бредом. Несть числа мобильным вредоносным программам, перехватывающим СМС-сообщения пользователя, «выдаивающим» его счет, маскирующимся под его приложения мобильного банкинга.

Гарантировать информационную безопасность может только доверенная среда, в которой человек и технические средства в момент взаимодействия защищены от посторонних вмешательств. Мобильный телефон сам по себе доверенной средой не является — пользователь может устанавливать свои приложения, пользуется им для доступа к Интернету, открывает присланные в СМС-сообщениях ссылки и т. д. Тем не менее внутри телефона доверенную среду все же можно найти. Точнее, в его сим-карте.

Сим-карта, как другие смарт-карты, представляет собой миниатюрный компьютер со своим процессором, памятью, операционной системой и приложениями (апплетами). Апплеты могут обращаться к аппаратным компонентам телефона. Но взаимодействие с операционной системой и приложениями самого телефона производится по особым защищенным интерфейсам, которые не позволяют приложениям вмешиваться в работу апплетов на сим-карте. Любой обладатель мобильного телефона может обращаться к некоторым апплетам своей сим-карты через сим-меню, правда, полезного там мало — разве что может пригодиться запрос баланса и сведений о совершенных платежах.

Производительностью процессор сим-карты не блещет (да ему и не надо), но сим-карта содержит криптографический сопроцессор, многократно ускоряющий процедуры шифрования и формирования электронной подписи. Таким образом, у каждого в кармане лежит доверенное средство криптографической защиты информации (СКЗИ), и его можно использовать для самых разных задач.

Сотрудники российской компании «Аладдин Р. Д.» разработали для сим-карты нового поколения три специальных апплета — коммуникационный, интерфейсный и криптографический, которые могут взаимодействовать друг с другом, с криптографическим сопроцессором, с радиомодемом, дисплеем и клавиатурой телефона независимо от операционной системы и приложений. В качестве канала связи используются зашифрованные СМС-сообщения. Эта технология работает на любом GSM-телефоне, выпущенном после 1995 года. Ни его производитель, ни модель, ни операционная система роли не играют.

Таким образом, формируется доверенная среда на мобильном устройстве — взаимодействие абонента через телефон с сим-картой отвечает всем критериям защиты от постороннего вмешательства. Это позволяет юридически признавать действие, совершенное с сим-карты, действием конкретного человека, совершенным в условиях защиты от посторонних.

 

Как это работает

 

По замыслу разработчиков проекта, пользоваться электронной подписью в сим-карте очень просто. При получении такой сим-карты в салоне связи или любой другой организации заполняется особый документ, в котором один сотрудник организации свидетельствует, что выдал эту сим-карту именно вам, а другой сотрудник удостоверяет это как свидетель. Для пользователя это не связано с дополнительными тратами времени или денег — он просто показывает паспорт и подписывает договор с оператором.

После этого обладатель сим-карты может установить ее в телефон и пользоваться как обычной сим-картой, для аутентификации в сети сотовой связи, пока ему не понадобится усиленная квалифицированная электронная подпись или надежная аутентификация в каком-нибудь сервисе через Интернет — например, на портале госуслуг, в личном кабинете банка или сети поликлиник.

Теперь, если пользователь — назовем его Иванов И. П. — хочет начать пользоваться криптографическими возможностями своей сим-карты, ему нужно привязать ее к платформе мобильной электронной подписи. Платформа обеспечит привязку его сим-карты к учетной записи интегрированного с платформой сервиса (например, такая привязка произойдет при заключении договора Иванова И. П. со своим банком N на онлайн-банкинг).

Далее, при попытке Иванова войти в личный кабинет онлайн-банка, банк запросит платформу, и система через специальный шлюз (разработанный компанией Signum для мобильного оператора) запросит мобильного оператора, кому принадлежит эта сим-карта. Если она принадлежит Иванову, на его телефон уйдет запрос на аутентификацию. Если это первое такое использование сим-карты и на ней еще нет электронной подписи Иванова И. П., на телефоне появится предложение Иванову придумать себе ПИН-код на создание подписи. Получив и сохранив в себе ПИН-код, сим-карта сгенерирует ключевую пару и обратится к удостоверяющему центру за сертификатом электронной подписи.

Получив сертификат, сим-карта по запросу банка попросит Иванова ввести ПИН-код и произведет взаимную аутентификацию с сервером платформы, и платформа подтвердит банку личность Иванова И. П. его сертификатом. Обе стороны — банк и Иванов — уверены в легитимности друг друга.

От компрометации канала передачи информации должно защитить разработанное «Аладдин Р. Д.» шифрование СМС-сообщений между платформой Signum и сим-картой согласно ГОСТу, и их передача по VPN (Virtual Private Network, виртуальные частные сети; позволяют обеспечить сетевые соединения поверх другой сети) между платформой и интегрированным с ней интернет-сервисом. Даже если злоумышленники подменят базовую станцию оператора (соту), вмешаться в обмен данными они не смогут.

Теперь пользователь на своем компьютере, планшете или смартфоне может спокойно сформировать нужный документ (например, платежку в своем интернет-банке) и отправить на подпись. Сервис отправляет реквизиты платежа или прочие важные данные (номер документа, название, дату и т. д.) на шлюз мобильного оператора, который серией зашифрованных СМС-сообщений передает их на телефон клиента.

При работе клиента банка с ДБО злоумышленники нередко проводят атаку типа «человек в браузере», подменяя реквизиты платежа, показывая пользователю правильные данные, а в банк отправляя свои, подмененные. Тут такой номер не пройдет — получив реквизиты, специальный апплет на сим-карте выведет их на экран телефона и запросит ПИН-код. Визуально проверив корректность реквизитов, пользователь вводит ПИН-код своей электронной подписи, подписывает их электронной подписью и отправляет обратно на шлюз, который передает информацию банку.

Генеральный директор «Аладдин Р. Д.» Сергей Груздев выделяет еще один способ применения технологии.

«Помимо аутентификации и подписания документов, разработанная система может использоваться для уведомления клиента банка об операциях с его счетом, что стало особенно актуальным в свете вступления в действие девятой статьи 163-ФЗ «О национальной платежной системе». В отличие от самого популярного на данный момент способа — СМС-информирования, в этом случае гарантируется банковская тайна (никто не сможет прочитать уведомления, ни заразив смартфон вирусом, ни даже подменив базовую станцию), и исключена подмена сообщений злоумышленниками».

Отметим, что утеря телефона с такой сим-картой может стать крайне серьезной проблемой, если у владельца есть привычка записывать ПИН-коды в заметках в самом телефоне. Злоумышленник, нашедший аппарат и узнавший ПИН-код электронной подписи абонента, сможет не просто потратить все деньги с мобильного счета, а подписать обязывающие абонента документы, скажем, купить себе дорогие часы в кредит, «повесив» его на владельца телефона или продав за гроши его собственность.

Эти риски предотвращаются на уровне системы и управления сервисом электронной подписи примерно так же, как и с платежными и кредитными картами: абонент может ограничить объем и содержание сделок, допустимых с сим-карты, отключать свою электронную подпись на время, пока не пользуется ею. При утрате телефона нужно будет позвонить своему оператору — сим-карта будет заблокирована, а сертификат электронной подписи отозван.

Так что бдительность гражданина никто не отменяет. Но инфраструктура сервиса мобильной электронной подписи позволяет сделать сим-карту даже более безопасным инструментом, чем кредитка.

 

Нацпроект, которого нет

 

Проработав технологическую сторону проекта, участники проекта поставили себе целью продвинуть новый сервис в массы. Но рынка для него пока просто не существует, и налицо классическая проблема яйца и курицы: сервисов, поддерживающих такие сим-карты, пока нет, но и покупать такие сим-карты без сервисов никто не будет.

Для начала необходимо распространить карты среди абонентов мобильной связи максимально широко и бесплатно. Инициаторы проекта рассудили, что технология способна многое поменять, упростить и ускорить в гражданском и административном обороте в России, поэтому было бы логично продвигать ее в рамках национального проекта. И обратились за государственной поддержкой.

В 2013 году протестированную в сети «МегаФон» концепцию сим-карты на Президентском совете по модернизации экономики и инновационному развитию России представил директор компании Signum, служившей удостоверяющим центром для Yota, Владимир Завитков.

Но среди операторов связи нашлись сторонники альтернативной технологии «облачной» электронной подписи, не создающей, по мнению инициаторов проекта, безопасной «доверенной среды». Конкуренты активно ставили проекту мобильной электронной подписи палки в колеса. Кроме того, замысел и направленность продукта не уникальны — например, УЭК нацелена на те же потребности рынка и государства.

Уникальны лишь простота получения и использования мобильной электронной подписи через инфраструктуру мобильного оператора и высокая степень безопасности решения, превращающего мобильный телефон в более широкое по возможностям подобие терминала для кредитной чип-карты с вводом ПИН-кода.

Так или иначе, господдержки проект пока не получил. Из мобильных операторов проект поддержал только «МегаФон», и в конце 2013 года было принято решение о выходе Signum из состава участников проекта электронной подписи на сим-карте.

Тем не менее проект не брошен — слишком многое было в него вложено. Так, Сергей Груздев говорит: «Три с половиной года работали, набивали шишки. Много времени потеряли из-за того, что задача новая, подсмотреть не у кого, было много шатаний и ошибок. Но любой опыт идет в копилку и приносит пользу команде».

Протестировав инновационное решение в своей сети, «МегаФон» и его дочерняя компания «МегаЛабс» последовательно развивают эту технологию, строят платформу для себя и с прицелом на взаимодействие с другими операторами.

Интерес к технологии проявили некоторые банки и страховые компании. Последним мобильная электронная подпись особенно выгодна, так как дает возможность дистанционной продажи страховых полисов. Когда сложится экосистема сервиса мобильной электронной подписи с участием банков, ведущие розничные российские банки смогут в своих офисах выдавать сим-карты своим клиентам, выполняя часть функций салона связи. Причем даже с сохранением прежнего телефонного номера клиента. Это стало возможным с января этого года, когда у россиян появилось право не менять номер телефона при смене оператора сотовой связи. «Аладдин Р. Д.» и «МегаФон» уже ведут работу с некоторыми банками по организации сервиса аутентификации клиента ДБО с помощью электронной подписи на сим-карте.

Если у инициаторов проекта получится задуманное, индустрия дистанционных услуг изменится радикально. Постепенно уйдут в прошлое старые ненадежные системы аутентификации — незачем передавать одноразовый пароль по открытым каналам, когда у каждого в кармане лежит защищенное криптографическое средство с электронной подписью. У клиентов появится реальная возможность ставить юридически значимую электронную подпись на документах как в офисе, так удаленно, не выходя из дома. Ситуация подделки подписи или выдачи кредита по копии паспорта станет практически невозможной.

Глава компании «Аладдин Р. Д.» на своих презентациях нередко упоминает Стива Джобса с его революционным планшетом, перевернувшим компьютерный рынок. Параллель вполне правомочная, но вот только Apple в 2010 году была уже не просто технологической компанией, а объектом культа, и это существенно облегчало задачу. К тому же на каждого Стива Джобса приходятся тысячи новаторов, чьи революционные проекты были прочно забыты еще до того, как смогли показать себя во всей красе.

 

Михаил ДЬЯКОВ

Текст взят с источника: Banki.ru