Сим-карта и электронная цифровая подпись — что у них общего?
Сегодня для многих электронная цифровая подпись — понятие абстрактное. В России задались целью разместить на обычной сим-карте электронно-цифровую подпись, то есть ЭЦП будет, возможно, в скором времени почти у каждого, у кого есть мобильный телефон. Практически это будет альтернатива универсальной электронной карты, только вот без платежных функций.
Впрочем, эксперты по информационной безопасности считают такую идею откровенным бредом. Потому что сегодня очень много мобильных вредоносных программ, которые могут перехватывать смс-сообщения, маскироваться под приложения мобильного банкинга со всеми вытекающими последствиями. Информационная безопасность возможно только в доверенной среде, а специалисты не считают мобильный телефон доверенной зоной. Ведь пользователь сам устанавливает приложения, пользуется Интернетом, открывает присланные СМС. Впрочем, внутри телефона все-таки есть доверенная зона — это сим-карта.
Ведь сим-карта — это по сути миниатюрный компьютер со своей памятью, операционной системой и специальными приложениями (апплетами). Это не позволяет вмешиваться посторонним приложениям на работу апплетов на сим-карте. Сам обладатель может обратиться через специальное меню к некоторым апплетам, но может только запросить баланс или узнать историю платежей, не более.
У сим-карты нет большой производительности, но она имеет криптографический сопроцессор, который значительно ускоряет процедуры шифрования и формирования электронной подписи. А это значит, что у каждого владельца мобильного телефона есть доверенное средство криптографической защиты (СКЗИ). Следовательно, его можно использовать для самых различных задач.
Российская компания «Аладдин Р. Д.» разработала три специальных апплета для сим-карты нового поколения. Эти апплеты взаимодействуют друг с другом, с радиомодемом, дисплеем, клавиатурой телефона и с криптографическим процессором. Такая технология может работать на любом современном телефоне (выпущенном после 1995 года). Причем не важно, какой это будет производитель, модель или операционная система у телефона.
В результате на мобильном телефоне образуется доверенная среда, и именно это позволяет признать юридически действие, совершенное с сим-карты, с действием его владельца.
Как это будет работать?
Разработчики разработали довольно простую схему. Чтобы получить сим-карту с возможностью проводить операции при использовании ЭЦП, в салоне связи или организации, имеющей на это право, заполняется специальный документ, и сотрудник заверяет, что выдал именно вам эту сим-карту, а другой сотрудник это подтверждает. Причем для пользователя это ничего не будет стоить — ему нужно только показать паспорт и подписать договор. Далее владелец такой сим-карты пользуется ею в обычно режиме, до тех пор, пока ему не понадобится совершить какое-нибудь юридически значимое действие, например, на портале госуслуг или в личном кабинете банка.
Тогда ему нужно будет привязать сим-карту к платформе мобильной электронной подписи, которая обеспечит привязку сим-карты к учетной записи интегрированного с платформой сервиса. При первом соединении через сим-карту после аутентификации система предложит создать ПИН-код, затем сим-карта сгенерирует ключевую пару, запросит у удостоверяющего центра сертификат, и получив его, попросит ввести пользователя ПИН-код. И только после всех этих действий система, уверенная, что Петров — это Петров, позволит ему на сервисе совершать определенные действия.
Компания «Аладдин Р. Д.» разработала шифрование СМС-сообщений, что позволило обеспечить сетевые соединения поверх другой сети. А это значит, что если злоумышленники подменят базовую станцию оператора, вмешаться в процесс обмена данными они не смогут. Теперь можно будет, например, сформировать платежку в своем интернет-банке и отправить её на подпись. Платежку подменить никто не сможет — система выведет на экран телефона полученные данные из платежки и запросит ПИН-код.
Данная система может использоваться для уведомления клиента банка об операциях с его счетом. При такой системе защиты сохранится банковская тайна, и невозможно будет подменить сообщения. Но есть одно но — владельцы, записавшие ПИН-код в своем телефоне и потерявшие его, рискуют очень многим. Злоумышленник может найти этот ПИН-код и им воспользоваться, например, купив дорогую вещь в кредит, и повесить его на владельца сим-карты. Но этого можно будет избежать — при потере или краже телефона владелец может позвонить и заблокировать телефон, автоматически сертификат электронной подписи будет отозван. К тому же можно ограничить объем и содержание сделок — все делается по заявления владельца. При этом мобильная электронная цифровая подпись станет более безопасным инструментом, чем кредитная карта.
Проект есть, а сервиса нет
Проект, безусловно, отличный, но есть одно но — нет сервисов, которые бы поддерживали эту мобильную электронную подпись. Следовательно, никто пока приобретать такие сим-карты не будет. Для начала такие сим-карты нужно распространить бесплатно, к тому же использование такого сервиса способно многое упростить и ускорить в гражданском и административном обороте в России. Создатели проекта решили обратиться за государственной поддержкой, и в 2013 году протестированную в сети «Мегафон» концепцию проекта предоставили на Президентском совете по модернизации экономики и инновационному развитию России.
К сожалению, среди операторов связи были противники внедрения такой технологии, они активно ставили «палки в колеса». В результате проект поддержку не получил, но создатели не оставили эту идею — слишком много было в неё вложено. Сегодня компания совместно с «Мегафоном» и его дочерней компанией «МегаЛабс» развивают данную идею и создает сервисы с прицелом на дальнейшее взаимодействие с другими операторами. Интерес к технологии проявили и некоторые банки и страховые компании — им выгоден этот сервис. Например, страховые компании могут продавать свои полисы дистанционно.
Если продукт внедрят, то очень многое изменится в лучшую сторону. Можно будет подписывать любой документ удаленно, причем подделать подпись будет невозможно, также не будет возможности получать кредит по поддельным паспортам. В общем, индустрия дистанционных услуг изменится в лучшую сторону. Сколько осталось ждать это счастливое время, пока никто не знает. Но работа идет, значит, это «завтра» когда-нибудь наступит непременно.
Источник