Войти
A Мобильная подпись - это цифровая подпись, созданная либо на мобильном телефоне, либо на SIM-карта в мобильном телефоне.
Термин первый появились в статьях, посвященных mSign (сокращение от Mobile Electronic Signature Consortium). Он был основан в 1999 году и насчитывал 35 компаний-членов. В октябре 2000 года консорциум опубликовал XML-интерфейс, определяющий протокол, позволяющий поставщикам услуг получать мобильную (цифровую) подпись от абонента мобильного телефона.
В 2001 году mSign получила широкое распространение в отрасли, когда стало очевидно, что Brokat (одна из компаний-основателей) также получила патент на процесс в Германии на использование мобильного телефона для создания цифровых подписей..
Затем этот термин использовался Полом Гибсоном (GD) и Ромэри Дюпюи (France Telecom ) в их работе по стандартизации в Европейской Институт стандартов электросвязи (ETSI) и опубликован в техническом отчете ETSI TR 102 203.
Спецификации ETSI-MSS определяют интерфейс SOAP и роуминг мобильной подписи для систем, реализующих услуги мобильной подписи. ETSI TS 102 204 и ETSI TS 102 207.
Мобильная подпись может иметь юридический эквивалент вашей собственной влажной подписи, отсюда и термин «Mobile Ink», коммерческий термин, придуманный Швейцарский Сикап. Другие термины включают «Mobile ID» от Valimo Wireless, «Мобильный сертификат» от круга доверия трех финских операторов мобильной связи, реализующих платформу мобильной подписи в роуминге Mobiilivarmenne и т. Д.
Согласно Директивы ЕС для электронных подписей мобильная подпись может иметь тот же уровень защиты, что и собственноручная подпись, если все компоненты в цепочке создания подписи надлежащим образом сертифицированы. Управляющий стандарт для мобильных устройств создания подписи и эквивалент собственноручной подписи описан в Решении Комиссии 2003/511 / EC от 14 июля 2003 г. о публикации ссылочных номеров общепризнанных стандартов для продуктов электронной подписи в соответствии с Директива об электронных подписях. Если решение для подписи Common Criteria оценено независимой стороной и ему присвоено обозначение EAL4 +, решение может создать то, что в директиве ЕС и последующих пояснениях называется квалифицированной электронной подписью. Текущий стандарт восходит к 2002/2003 году и находится в процессе обновления и публикации к концу 2012 года. Большинство, если не все, реализации мобильной подписи на сегодняшний день генерируют то, что Директива ЕС называет усовершенствованной электронной подписью.
Наиболее успешные решения для мобильной подписи можно найти в Турции, Литве, Эстонии и Финляндии с миллионами пользователей.
Технически мобильная подпись создается модулем безопасности, когда запрос на нее достигает устройства (SIM-карта ), и после представления запроса пользователю с несколькими подсказками с объяснением устройство запрашивает секретный код, который должен знать только правильный пользователь. Обычно это код PIN. Если секрет управления доступом был введен правильно, устройство получает доступ к секретным данным, содержащим, например, RSA закрытый ключ, который затем используется для выполнения подписи или других операций, которые запрос разыскивается.
Система PKI связывает копию открытого ключа секретного ключа, хранящегося на защищенном устройстве, с набором атрибутов, содержащихся в структуре, называемой цифровым сертификатом. Выбор деталей процедуры регистрации во время определения атрибутов, включенных в этот цифровой сертификат, может использоваться для обеспечения различных уровней гарантии идентичности. Все, что угодно, от анонимного, но специфического, до высококлассного подлинного имени. Сделав подпись, владелец защищенного устройства может заявить об этом удостоверении.
Таким образом, мобильная подпись является уникальной функцией для:
См. [2].
Mobile Ink объединяет высокий уровень безопасности и удобный доступ к цифровым сервисам, требующим строгой аутентификации и авторизации.. Абоненты могут, например, получить доступ с помощью мобильной подписи к мобильному банкингу или корпоративным приложениям. Mobile Ink - это коммерческий термин, связанный с решением для мобильной подписи Sicap, построенным на платформе Kiuru MSSP от Methics Oy.
. Платформа допускает одновременное существование нескольких ключей и связанных идентификаторов с различными процедурами регистрации. Это используется, например, в качестве замены ключей RSA SecureID с анонимной, но определенной идентификацией в приложениях корпоративного доступа.
Мобильный сертификат, т.е. Mobiilivarmenne по-фински - это термин, используемый на финском рынке для описания решения мобильной подписи в роуминге, развернутого тремя операторами мобильной сети Elisa, Sonera и DNA.
Эта установка была разработана в сотрудничестве всех трех операторов в рамках национальной координационной группы телекоммуникационных технологий FiCom, и это первая в мире система, в которой полностью функционирует совместная работа. Операционная сеть роуминговых услуг ETSI TS 102 207 была создана в среде программного обеспечения различных производителей. Другая национальная особенность заключается в том, что номера мобильных телефонов переносимы между операторами, и поэтому префикс телефонного номера не идентифицирует оператора. Чтобы упростить работу поставщиков приложений (см. ETSI TS 102 204), они могут приобретать услуги у любого из поставщиков услуг организации-получателя (операторов мобильной сети) и охватывать всех пользователей.
Частью предыстории было обновление национального законодательства, позволяющее выдавать цифровые удостоверения личности (для использования Mobiilivarmenne) также другими сторонами, помимо официальных органов регистрации, через отделения полиции. Другой частью было соглашение о сотрудничестве между операторами в отношении формы сертификатов, а также процедур и практик сертификации, обеспечивающих аналогичное содержание сертификатов с аналогичной отслеживаемостью выдачи удостоверений. Все они были рассмотрены и одобрены Управлением по регулированию связи Финляндии, в задачи которого входит надзор за службами регистрации личности также в государственных реестрах.
Поставщики программного обеспечения MSSP в сервисной сети: Methics Oy и Valimo Wireless. Обе финские компании.
В Украине проект Mobile ID стартовал в 2015 году и позже объявлен одним из приоритетов Правительства Украины, поддерживаемых ЕВРОСОЮЗ. В начале 2018 года украинские сотовые операторы оценивают предложения и тестовые платформы от различных местных и зарубежных разработчиков. За выбором платформы последует комплексный процесс сертификации. Список средств криптографической защиты информации (и производителей), разрешенных законом для использования в Украине (по состоянию на 19 февраля 2018 г.).
MPass [5]
Австрия запустила мобильную подпись к 2003 году как технологию (которая включает электронную подпись с помощью смарт-карт). Он был предоставлен mobilkom Austria, но закончился в 2007 году. После перезапуска в 2009 году под названием Handy-Signatur он широко используется, к 2014 году более 300 000 человек, 5% взрослого населения, имеют зарегистрированный мобильная подпись. Он контролируется правительством Австрии, Национальным банком и Технологическим университетом Граца. Он основан на TAN, отправленном в SMS по запросу и подтвержденном личным PIN-кодом. Согласно 1999/93 / EG подписание Handy-Signature полностью эквивалентно собственноручному автографу.
, компания Gemalto, была первой компанией в мире, которая представила на рынке решения для мобильной подписи и создала термин Mobile ID. Первоначальное решение для мобильной подписи в Турции от Turkcell использовало технологию Valimo для реализации очень успешного решения для мобильной подписи. В настоящее время Valimo Mobile ID используется в нескольких странах.
- это частная финская технологическая компания, обладающая обширным опытом в сфере услуг PKI и MSSP. Линия продуктов Kiuru MSSP используется напрямую и как OEM-продукт несколькими поставщиками услуг и решений.
Платформа Mobile ID от Innovation Development HUB LLC - единственное решение для электронной идентификации и мобильной подписи, уже прошедшее государственную сертификацию в Украине. Использует как постсоветские, так и европейские алгоритмы криптографии, что делает платформу подходящей для PKI стран СНГ и ЕС.
является оригинальным поставщиком SIM-карты встроенных WAP браузеров с плагинами шифрования, разработанными в конце 1990-х годов, это называется WIB (Wireless Интернет-браузер.) [6] Технология WIB лицензирована SmartTrust для многих производителей SIM-карт, и операторы мобильных сетей могут выбрать использование карт с возможностями WIB в своей обычной пользовательской базе, сразу же позволяя им использовать услуг MSSP. Предложение SmartTrust MSSP называется SmartLicentio.
Аутентификация по-прежнему может быть уязвима для атак типа «злоумышленник в середине» и троянских коней, в зависимости от используемой схемы. Такие схемы, как генераторы одноразовых паролей и двухфакторная аутентификация, не решают полностью атаки типа "человек посередине" в открытой сети, такой как Интернет. Однако поддержка аутентификации в Интернете с помощью параллельной закрытой сети, такой как мобильная / GSM, и SIM-карты с цифровой подписью, является сегодня наиболее безопасным методом против атаки человека в середине. Если поставщик приложения предоставляет подробное объяснение транзакции, которая должна быть подписана, как на своем Интернет-сайте, так и в запросе подписи оператору мобильной связи, атака может быть легко обнаружена человеком путем сравнения обоих экранов. Поскольку операторы мобильной связи не разрешают приложениям отправлять запросы на подпись бесплатно, обычно стоимость и технические аспекты вторжения между поставщиком приложения и оператором мобильной связи делают его маловероятной целью атаки. По крайней мере, в нескольких местах есть следы, свидетельствующие о том, что нападение произошло.
Когда мобильный пользователь создает sPIN (PIN-код подписи) и секретный ключ онлайн на защищенной SIM-карте в процессе регистрации, это называется «генерация бортового ключа». Это требует немного большего взаимодействия от имени пользователя при регистрации, но, с другой стороны, это делает процесс взаимодействия в режиме безопасности знакомым и позволяет им практиковаться в использовании службы. Кроме того, когда пользователь забывает / блокирует PIN-код, связанный с сгенерированным ключом, легко сгенерировать новый ключ и назначить ему новый sPIN, уничтожив предыдущие версии, используя тот же процесс, что и при исходной регистрации, и, что наиболее важно: без необходимости замены Сим-карта. В этих системах обычно нет вторичного кода разблокировки PIN-кода для подписи (sPUK), потому что раскрытие такого кода требует идентичных требований к проверке личности запрашивающего лица, как это было с регистрацией личности исходного лица.
Сравните это с старая модель «заводских ключей» для старых SIM-карт, у которых не хватало вычислительной мощности для создания встроенного ключа. Фабрика SIM-карт запускала генерацию ключей с помощью специального аппаратного ускорителя и сохраняла ключевой материал на карте вместе с исходными кодами sPIN и sPUK. Иногда фактическая генерация происходила на SIM-карте, которая работала в специальном производственном режиме. После генерации возможность делать это вообще обычно отключалось путем перегорания специального предохранителя. Доставка, в частности, кодов sPUK создает значительные проблемы с информационным обеспечением безопасности, которых можно полностью избежать с помощью встроенной генерации ключей.
Turkcell был первым провайдером, развернувшим услугу мобильной подписи с функцией «Бортовой генерации ключей», которая позволяет клиентам создавать свои пары ключей для подписи и проверки после получения сим-карты. Таким образом, операторам GSM не нужно распространять PIN-коды для подписи среди клиентов. Клиенты могут самостоятельно создать свой sPIN заново.
При внедрении финской услуги Mobiilivarmenne в 2010 году только один из трех операторов решил использовать эту встроенную возможность генерации ключей с взаимодействием с пользователем. По указанным причинам это было слишком сложно для пользователя. Фактический опыт показал, что те, у кого его не было, легко создавали нефункциональные регистрации без какой-либо онлайн-индикации статуса, в то время как использование встроенной генерации ключей всегда приводило к положительному признаку успеха, когда служба становилась полностью функциональной для пользователя. Также, если у версии мобильного телефона были проблемы с протоколом SIM Application Toolkit, это стало очевидным сразу во время процесса регистрации с использованием встроенной генерации ключа.
