Мобильная подпись — это цифровая подпись, созданная либо на мобильном телефоне, либо на SIM-карте мобильного телефона.
Термин впервые появился в статьях, представляющих mSign (сокращение от Mobile Electronic Signature Consortium). Он был основан в 1999 году и включал 35 компаний-членов. В октябре 2000 года консорциум опубликовал XML-интерфейс, определяющий протокол, позволяющий поставщикам услуг получать мобильную (цифровую) подпись от абонента мобильного телефона.
В 2001 году mSign получила всеобщее признание в отрасли, когда стало известно, что Brokat (одна из компаний-основателей) также получила в Германии патент на технологию использования мобильного телефона для генерации цифровых подписей.
Этот термин затем использовали Пол Гибсон (G&D) и Ромари Дюпюи ( France Telecom ) в своей работе по стандартизации в Европейском институте стандартов в области телекоммуникаций (ETSI) и опубликовали в техническом отчете ETSI TR 102 203.
Спецификации ETSI-MSS определяют интерфейс SOAP и роуминг мобильной подписи для систем, реализующих службы мобильной подписи. ETSI TS 102 204 и ETSI TS 102 207.
Мобильная подпись может иметь юридический эквивалент вашей собственной мокрой подписи, отсюда термин «Mobile Ink», коммерческий термин, введенный Swiss Sicap. Другие термины включают «Mobile ID», «Mobile Certificate» от круга доверия 3 финских операторов мобильной связи, внедряющих роуминговую инфраструктуру мобильной подписи Mobiilivarmenne и т. д.
Согласно директивам ЕС по электронным подписям [1], мобильная подпись может иметь тот же уровень защиты, что и собственноручная подпись, если все компоненты в цепочке создания подписи соответствующим образом сертифицированы. Руководящий стандарт для мобильных устройств создания подписи и эквивалента собственноручной подписи описан в Решении Комиссии 2003/511/EC от 14 июля 2003 года о публикации справочных номеров общепризнанных стандартов для продуктов электронной подписи в соответствии с Директивой об электронных подписях . [2] Если решение для подписи [ модное слово ] оценено по Общим критериям независимой стороной и имеет обозначение EAL4+, решение [ модное слово ] может создать то, что директива ЕС и последующие разъяснения называют квалифицированной электронной подписью . Действующий стандарт датируется 2002/2003 годом и находится в процессе обновления и публикации к концу 2012 года. [3] Большинство, если не все, реализованные на сегодняшний день мобильные подписи генерируют то, что Директива ЕС называет расширенной электронной подписью .
Наиболее успешные решения для мобильной подписи [ модное слово ] можно найти в Турции , [4] Литве , [5] Эстонии [6] и Финляндии [7] [8] с миллионами пользователей.
Технически мобильная подпись создается модулем безопасности, когда запрос на нее достигает устройства ( SIM-карты ), и после представления запроса пользователю с несколькими пояснительными подсказками устройство запрашивает секретный код, который должен знать только правильный пользователь. Обычно это PIN- код . Если секрет управления доступом был введен правильно, устройству предоставляется доступ к секретным данным, содержащим, например, закрытый ключ RSA , который затем используется для выполнения подписи или других операций, требуемых запросом.
Система PKI связывает открытый ключ, аналогичный секретному ключу, хранящемуся на защищенном устройстве, с набором атрибутов, содержащихся в структуре, называемой цифровым сертификатом . Выбор деталей процедуры регистрации во время определения атрибутов, включенных в этот цифровой сертификат, может использоваться для создания различных уровней обеспечения идентичности. От анонимной, но конкретной до высокостандартной реальной идентичности. Выполняя подпись, владелец защищенного устройства может заявить о своей идентичности.
Таким образом, мобильная подпись является уникальной функцией для:
См. [1].
ParsMSS в Иране
Проект Pars Mobile Signature Services (ParsMSS) был разработан и реализован в Иране впервые с 2011 года. Pars Mobile Signature Services (ParsMSS) может быть предоставлен двумя способами: на основе SIM-карты и без SIM-карты. Регистрационный орган (RA) подключается к этой услуге и выдает электронный сертификат лично или удаленно. С помощью этой услуги финансовые транзакции и документы могут быть подписаны в цифровом виде.
Mobile Ink [9] объединяет высокую безопасность и удобный доступ к цифровым сервисам, требующим строгой аутентификации и авторизации. Абоненты могут получить доступ к мобильной подписи, например, к м-банкингу или корпоративным приложениям. Mobile Ink — это коммерческий термин, связанный с решением мобильной подписи [ модное слово ] Sicap, построенным на платформе Kiuru MSSP [10] компанией Methics Oy. [11] [12]
Платформа допускает одновременное существование нескольких ключей и связанных с ними идентификаторов с различными процедурами регистрации. Это используется, например, в качестве замены ключей RSA SecurID с анонимной, но определенной идентификацией в корпоративных приложениях доступа.
Мобильный сертификат, то есть Mobiilivarmenne [13] на финском языке — это термин, используемый на финском рынке для описания решения для роуминговой мобильной подписи [ модное слово ], развернутого тремя операторами мобильной связи Elisa , Sonera и DNA .
Эта настройка была разработана в сотрудничестве всех трех операторов под руководством национальной координационной группы по телекоммуникационным технологиям FiCom, и это первая в мире система, в которой полностью функциональная кооперативная сетка роуминга ETSI TS 102 207 была создана в среде программного обеспечения от нескольких поставщиков. Еще одной национальной особенностью является то, что номера мобильных телефонов являются переносимыми между операторами, и, таким образом, префикс номера телефона не идентифицирует оператора. Чтобы упростить работу поставщиков приложений (см. ETSI TS 102 204), они могут приобретать услуги у любого поставщика услуг Acquiring Entity (операторов мобильной связи) и охватывать всех пользователей.
Частью предыстории было обновление национальных законов, позволяющих выдавать цифровые сертификаты личности (для использования Mobiilivarmenne) также иным сторонам, нежели официальные регистрационные органы через полицейские управления. Другая часть была соглашением о сотрудничестве между операторами по форме сертификатов, а также процедурами и практиками сертификации, производящими схожее содержание сертификатов с похожей прослеживаемостью выдачи удостоверений. Все они были рассмотрены и одобрены Финским органом регулирования связи, в задачи которого входит надзор за услугами регистрации удостоверений личности также в государственных реестрах.
В Украине проект Mobile ID стартовал в 2015 году, а позже был объявлен одним из приоритетов правительства Украины, поддержанных ЕС. В начале 2018 года украинские операторы сотовой связи оценивают предложения и тестируют платформы от различных местных и зарубежных разработчиков. После выбора платформы последует комплексный процесс сертификации. Список средств криптографической защиты информации [14] (и производителей), которые законодательно разрешены к использованию в Украине (по состоянию на 19 февраля 2018 года).
MPass
В Австрии мобильная подпись появилась в 2003 году как технология Bürgerkarte (которая включает в себя электронную подпись с помощью смарт-карт). Она была предоставлена mobilkom Austria , но прекратила свое существование в 2007 году. После перезапуска в 2009 году под названием Handy-Signatur она широко использовалась, к 2014 году более 300 000 человек, 5% взрослого населения, владеют зарегистрированной мобильной подписью. Она контролируется австрийским правительством, Национальным банком и Техническим университетом Граца. Она основана на TAN , отправляемом по SMS по запросу и подтверждаемом личным PIN-кодом. [15] Согласно 1999/93/EG, подпись Handy-Signature полностью эквивалентна рукописному автографу.
Valimo Wireless, компания Gemalto , была первой компанией в мире, которая представила решения мобильной подписи [ модное слово ] на рынке и создала термин Mobile ID. Первоначальное решение мобильной подписи [ модное слово ] в Турции от Turkcell использовало технологию Valimo для внедрения очень успешного решения мобильной подписи. [ модное слово ] [16] [17] В настоящее время Valimo Mobile ID используется в нескольких странах.
Methics Oy — частная финская технологическая компания с большим опытом в сфере услуг PKI и MSSP. Линейка продуктов Kiuru MSSP используется напрямую и как OEM-продукт несколькими поставщиками услуг и решений [ модное слово ] .
Платформа Mobile ID от Innovation Development HUB LLC — единственное решение электронной идентификации и мобильной подписи [ buzzword ] , уже прошедшее государственную сертификацию в Украине. Использует как постсоветские, так и европейские алгоритмы криптографии, что делает платформу подходящей для PKI стран СНГ и ЕС.
G&D SmartTrust — оригинальный поставщик WAP- браузеров с встроенными в SIM-карты плагинами шифрования, разработанными в конце 1990-х годов, он называется WIB (Wireless Internet Browser). Технология WIB лицензирована SmartTrust для многих производителей SIM-карт, и операторы мобильной связи могут использовать карты с возможностями WIB в своей обычной пользовательской базе, что немедленно позволяет им использовать услуги MSSP. Предложение MSSP от SmartTrust называется SmartLicentio.
Аутентификация все еще может быть уязвима для атак типа «человек посередине» и троянских коней, в зависимости от используемой схемы. [18] Такие схемы, как генераторы одноразовых паролей и двухфакторная аутентификация, не полностью устраняют атаки типа «человек посередине» в открытых сетях, таких как Интернет. [19] Однако поддержка аутентификации в Интернете с параллельной закрытой сетью, такой как мобильная связь/GSM, и SIM-картой с поддержкой цифровой подписи является сегодня наиболее безопасным методом против этого типа атак. Если поставщик приложения предоставляет подробное объяснение транзакции, которая должна быть подписана, как на своем интернет-сайте, так и в запросе на подпись оператору мобильной связи, атака может быть легко распознана человеком при сравнении обоих экранов. Поскольку операторы мобильной связи не позволяют приложениям отправлять запросы на подпись бесплатно, стоимость и техническая сложность вторжения между поставщиком приложения и оператором мобильной связи делают его маловероятной целью атаки. Тем не менее, были доказательства во многих местах, где произошла атака.
Когда мобильный пользователь создает sPIN (PIN-код подписи) и секретный ключ онлайн в защищенной SIM-карте во время процесса регистрации, это известно как «генерация бортового ключа». [20] Это требует немного большего взаимодействия со стороны пользователя при регистрации, но с другой стороны, это делает процесс взаимодействия в режиме безопасности знакомым и позволяет им практиковаться в использовании сервиса. Кроме того, когда пользователь забывает/блокирует PIN-код, связанный с сгенерированным ключом, можно просто сгенерировать новый ключ и назначить ему новый sPIN-код, уничтожив предыдущие версии, используя тот же процесс, что и при первоначальной регистрации, и, что самое важное: без необходимости замены SIM-карты. В этих системах обычно вообще нет вторичного кода разблокировки PIN-кода подписи (sPUK), поскольку раскрытие такого кода имеет те же требования к проверке личности запрашивающего лица, что и при регистрации личности первоначального лица. [21]
Сравните это со старой моделью «заводских ключей» для старых технологических SIM-карт, у которых было недостаточно вычислительной мощности для генерации ключей на борту. Завод SIM-карт запускал генерацию ключей с помощью специального аппаратного ускорителя и сохранял ключевой материал на карте вместе с начальными кодами sPIN и sPUK. Иногда фактическая генерация происходила внутри SIM-карты, работающей в специальном производственном режиме. После генерации возможность делать это вообще обычно отключалась путем перегорания специального контрольного предохранителя. Доставка, в частности, кодов sPUK создает значительные проблемы логистики информации о безопасности, которых можно полностью избежать с помощью бортовой генерации ключей.
Turkcell был первым провайдером, который развернул услугу мобильной подписи с функцией «On Board Key Generation», которая позволяет клиентам создавать пару ключей подписи и проверки после получения сим-карты. Таким образом, операторам GSM не нужно распространять подписные PIN-коды среди клиентов. Клиенты могут создать свой sPIN-код заново, самостоятельно. [22]
При внедрении финской службы Mobiilivarmenne [23] в 2010 году только один из трех операторов решил использовать эту встроенную возможность генерации ключей с взаимодействием с пользователем. Приведенные причины утверждали, что это слишком сложно для пользователя. Фактический опыт показал, что те, у кого ее не было, легко создавали нефункциональные регистрации без какой-либо онлайн-индикации статуса, в то время как использование встроенной генерации ключей всегда приводило к положительному указанию на успех, когда служба становилась полностью функциональной для пользователя. Кроме того, если версия мобильного телефона имела проблемы с протоколом SIM Application Toolkit , это становилось очевидным сразу во время процесса регистрации с использованием встроенной генерации ключей.