Вчера в ЖЖ, сегодня в Госдуме

[vitus_wagner]

Еще в 2011 году я писал, что SIM-карта (Subscriber identification module) превратится в CIM (Citizen identification module).

А вот теперь пишут что возможность использования SIM-карт в качестве удостоверения личности, будут рассматривать Госдуме.

Я бы правда, при этом сразу же тем же законопроектом вводил понятие electronic person, и делил всех субскрайберов на два класса - тех, которые citizen, и тех, которые нет - вайфай-роутеры, системы сигнализации и прочие IOT-девайсы, которым доступ в интернет через сотовую сеть нужен, а идентичности от имени которой они могут производить финансовые или гражданские действия у них нет.

Comments

[hungry_ewok]

/тяжело вздыхая/
А я бы людей с такими идеями просто расстреливал...

[vitus_wagner]

Расскажите, почему эта идея вам не нравится.

Чем эта идея лучше идеи УЭК или электронного паспорта - понятно.

В отличие от них, она фактически легализует существующую практику двухфакторной аутентификации, причем, возможно, предоставит более секьюрные способы двухфакторной аутентификации через телефон, чем SMS открытым текстом.

Реализация квалифицированной электронной подписи на базе сим-карты (одну из которых я делал работая в Атлас-Кард, и еще о существовании парочки знаю) не требует от пользователя покупки считывателя карт и сертифицированного криптографического ПО и легко может быть сделана абсолюно кроссплатформной, как в плане компьютеров, на которых пользователь готовит документ, так и в плане телефонов, в которые вставляется симка с ключом подписи. На бабушкофонах работает, я проверял.

Утверждение авторов законопроекта о том, что телефон люди носят с собой чаще, чем паспорт и банковскую карту тоже в общем справедливо.

И так, что же тут не так?

[hungry_ewok]

/тоскливо/
Витус, вот вы вроде компетентный, адекватный человек. Но иногда как скажете - хоть стой хоть падай, и гадай не взломали ли аккаунт, и не пишет ли с него депутат какой...

Удостоверяющие документы и электронные игрушки - вещи разные, и нехрен их смешивать. Вообще нехрен. Уже хотя бы потому что симок может быть сильно больше одной на человека, потому что симки теряются и дохнут и нехрен превращать процесс замены симки в полноценный геморрой по замене документов.

Это, как и всё что делают наши депутаны - дебильная идея. От нее надо охреневать со словами "долбанулись в край", а не пытаться найти здравое зерно, и тем более - дополнять идиотизм законом "делением на два класса" электронных устройств.

[inkelyad]

А мне кажется что как раз самое время попробовать. Пока еще можно пройтись по граблям без особых потерь, убедиться, что оно не всегда так хорошо работает, как кажется и исправить ошибки.
А если откладывать - может получиться так, что сделать-то ты сделаешь, но сразу же 'вморозишь' все баги, сделав их неустранимыми, ибо обратная совместимость и сломать, чтобы переделать, ничего нельзя.

[vitus_wagner]

Удостоверяющих личность документов у человека тоже может быть сильно больше одного. Паспорт, загранпаспорт, военный билет, водительские права.

Более того из очевидных соображений у человека ДОЛЖНО быть минимум два документа, удостоверяющих личность. Чтобы при необходимости перевыеуска одного можно было аутентифицироваться другим.

Вот вы вроде умный и взрослый чепловеа, но иногда так скажете - хоть стой хоть падай. Удостоверяющим личность человека токеном может быть что угодно, хоть пароль. И не надо на это молиться. Это доказательство идентичности, а не икона.

[inkelyad]

Чтобы при необходимости перевыпуска одного можно было аутентифицироваться другим.
Как минимум три. Причем один из них должен быть пригодным только для цели перевыпуска. И работать только в паре с каким-нибудь удостоверяющим документом государственного служащего. Это, разумеется, если про полноценную замену паспорта речь идет.

[vitus_wagner]

Третьим может быть просто коллекция биометрических данных, достаточная для однозначной идентификации человека среди 150 миллионов, хранящаяся в государственной базе данных.

[inkelyad]

С биометрией - это уже следующий уровень. Когда и этот третий документ утрачен. Потому что считывание этой коллекции биометрии (очевидно, что не только про фотографию речь должна идти) потребует уже достаточно специализированного оборудования, которое не имеет смысла держать в каждой точке выдачи разных ИД-ов.

[vitus_wagner]

Почему не имеет? Сканер отпечатков пальцев очень даже имеет. Если уж его сейчас в смартфоны по умолчанию встраивают некоторые фирмы.

Сотрудники государственной организации, очевидно, работают с несколько более сенситивной информацией, чем простые смертные, поэтому использование для их повседневной аутентификации на рабочем месте подобных устройств вполне осмысленно.

Осталось только придумать регламент, позволяющий использовать одно и то же устройство, как для аутнентификации и авторизации сотрудника, так и для идентификации клиента.

[inkelyad]

Опишу, пожалую, весь сценарий и конструкцию.

Первый и второй id - одинаковые, один носишь с собой, другой лежит дома, чтобы можно было взять и пользоваться при утере того, что с собой носил.

И тот и тот можно предъявить, когда просят "а ты кто такой?", но не позволяют выпустить собственные дубликаты и прочие id-ы. Взять и выпустить, скажем, права по ним нельзя.

Третий - в подавляющем большинстве случаев для решения "ты кто такой" не применяются и даже не прочитаются. Но зато позволяет выпускать другие id-ы. Как раз его нужно будет использовать при выпуске прав или восстановления утерянного из первых двух. В процессе можно и отпечатки пальцев/простейшую биометрию сверить. Твои и того, кто дубликат делает.

Если же и его потерял - то отпечатками пальцев + фотографией не отделаешься. Придется под большим количеством сканеров побывать. Которые в каждом государственном учреждении держать уже дороговато будет.

[vitus_wagner]

Тут возникает проблема в том, что мы рассматриваем функцию идентификации в отрыве от других функций документа.

Например, права - это в первую очередь авторизационный документ, а не идентификационный. Он дает право водить машину по дорогам общего пользования. Но заодни аутентифицирует владельца, чтобы когда тебя на дороге остановили не приходилось кроме прав паспорт предъявлять.

Студенческий билет - тоже авторизация первична, идентификация вторична.

И таких документов вообще говоря, довольно много. Фактически все, что сейчас с фотографией теоретически могло бы быть использовано в таком качестве, если бы организация выдавшая документ, обладала достаточным авторитетом в глазах полиции, и документ бы обладал достаточным количеством степеней защиты.

Помнится как-то в конце 90-х - начале нулевых, я попался полиции, не имея с собой паспорта. Показал пропуск с текущего места работы (вернее текущего местоположения места работы - работу я не менял, фирма переезжала). Их не устроило - мутная коммерческая фирма какая-то. Показал с предыдущего. Там было написано "Представительство администрации Санкт-Петербурга в Москве". Они офигели отдали честь.

[samsite]

В Латвии давно уже при получении при получении паспорта отпечатки записываю, а потом при получении прав сверяют. Да и операторы давно электронную подпись в симку встроили.

Правда, по соседству Эстонцы недавно облажались с id картами и электронной подписью, но их там всего-то 1 миллион с чем-то человек, можно и перевыпустить.

[nepilsonis]

А опишите пожалуйста, что нужно куда ставить, подключать, настраивать и вводить, чтобы человек смог подписать документ, только что сохранённый текстовым редактором на десктопе, если при себе у него «звонилка» от самсунга года эдак 2010 выпуска, и в нём упомянутая вами симка с его государственным ключом?

[vitus_wagner]

Человек аплоадит этот документ на государственный сервер и указывает свой номер телефона.

Сервер считает хэш документа и показывает пользователюи ну допустим 3 первых и 3 последних цифры, после чего посылает на телефон специальную технологическую SMS, защищенную по стандарту GSM 03.48.

Приложение на СИМ-карте, получив эту SMS (содержащую хэш и команду "подписать") показывает пользовтелю сообщение

"Вы хотите подписать документ с кодом таким-то" и те же самые 6 цифр, которые уже показал сервер. Т.е. у пользователя есть возможность убедиться, что в той степени, в которой он доверяет государственному серверу и приложению на сим-карте, он подписывает именно то, что загрузил на сервер.

Приложение на сим-карте запрашивает у пользователя PIN, расшифровывает ключ и формирует подпись, которую отправлеят обратно на сервер (в двух технологических SMS, потому что в одну не влазит).

Сервер из имеющегося у него сертификата пользователя, вычисленного хэша документа и полученной с телефона подписи формирует CMS signature, которую теперь может скачать пользователь.

Теперь он может отправить этот документ вместе с подписью куда угодно, и кто угодно, у кого есть сертификат государственного УЦ (онлайн доступ к УЦ не обязателен) - может проверить что этот документ подписан именно этим пользователем.

Все остальные операции, которые требуется выполнять для поддержки жизненного цикла ключа - генерация, формирование заявки на сертификат, отзыв, выполняются аналогично.

От пользователя требуется только web-браузер (lynx годится) и телефон, умеющий отдавать в симку технологческие SMS по GSM 03.48, показывать сообщения от приложения на СИМ-карте и передавть этим приложениям введенный PIN-код. Любой кнопочный телефон GSM этим требованиям удовлетворяет.

[nepilsonis]

Спасибо.

А может ли это работать через чужие сотовые сети?

И ещё непонятно, почему так (вроде) никто не делает для негосударственных нужд. Вроде, хорошо выглядит. В симку без согласия операторов не попасть, а операторам за разумные деньги «не интересно»? Или какой-нибудь Гугл, Скрилл или Пейпал предложить свой центральный сервер всем желающим (банкам, госпорталам, всяческим регистрам и депозитариям) для эдакой инфраструктуры — чтобы операторы могли к нему присоединяться, как сейчас с эппл-самсунг-андроид пеями?

Отличная штука могла быть.

[vitus_wagner]

Может и через чужие. Технологическая СМС это обычная СМС, подписанная и зашифрованная симметричными ключами, имеющимися у сервера и у сим-карты (а более - ни у кого).

Так делают некоторые банки, например, насколько я помню в Финляндии.

Тут проблема в основном в том, что владелец такого приложения должен договориться с оператором, выпускающим сим-карту, что ему будет выделен на этой сим-карте секьюрити-домен, не подконтрольный оператору.

Когда этот кто-то государство - это где-то как-то возможно (и то, я помню насколько тяжело проходили переговоры с коммерческими операторами, а в итоге когда из Ростелекома ушел человек, который был мотором проекта - все и заглохло).

Еще тут на днях я в другом журнале припомнил эту систему и народ, работающй у сотовых операторов, стал говорить что никто, мол не разрешит гонять СМС, недоступные для СОРМ. То есть тут еще и внутри государства нужно согласовать позиции органов, ведающих этой системой и органов, ведающих тащением и непущанием. А какому-нибудь банку выбить из государства себе право посылать сормонедоступные SMS это вообще непросто.

[livelight]

+1

Даже если этой идее и можно найти полезные применения, то очевидно, что в исполнении антимидасов из Госдуры получится треш. Причём они и не скрывают, что собираются продолжать двигаться в уже проложенном русле контроля за коммуникациями и отслеживания, кто там про Путина плохое написал, вслед за бацькой. Все эти принудительные сборы паспортных данных у владельцев сим-карт и паспортных данных или хотя бы телефонных номеров (см. пункт первый) у подключающихся к вайфаю направлены исключительно на это. И предлагается ввести вовсе не право на использование сим-карт для аутенти(фи)кации, как в это делается на стыке банков и интернета, а запрет анонимно использовать сим-карты, которые вообще-то всего лишь являются точкой доступа к услуге связи.

[filin]

Тут есть разные веселые засады.

Первая. Если у меня две симки (двух разных) российских провайдеров и еще четыре других стран — которая из них я? Логично предположить, что обе российских, в смысле "годится любая" (что требует дополнительной информации на каждой проверялке), но это в России. А в Италии? Постоянная российская или временная итальянская? Призовая игра: а если симка (третья) корпоративная — это я или корпорация?

Вторая. У меня разрядился телефон. Я не гражданин?

Третья. Обратная второй. У жены разрядился телефон, и я ей выдал свой. Ну, допустим, в мой телефон ее симку не вставишь, формат не совпадает. Поэтому я ей выдал телефон со своей симкой. Она — это я? Привет от "Right to read", кстати...

И так далее, и тому подобное. Аналогии с паспортом в примерах упираются в то, что паспорт можно почитать глазами, и сличить с предъявителем (и, натурально, при его проверке это не только возможность, но и обязанность), а симку нельзя.

[vitus_wagner]

А Италии все это хозяйство не касается. Пока там свой итальянский и ли ЕС-овский закон не примут, будут там требовать загранпаспорт согласованного международной конвенцией образца с надписями по французски.

Симку, кстати, можно прочитать кардридером для смарткарт (и вычитать из нее таким способом гораздо больше, чем она согласится рассказать телефону).

Вопросы про "разрядился телефон" я считаю неумным стебом.
Разрядился - воткни в повербанк. У тебя нет повербанка - обяжем носить повербанки тех, кто имеет право потребовать от тебя удостоверить личность.

[livelight]

Чтобы читать симку отдельным устройством, её ещё надо из телефона выковырять. А это довольно суровая операция, особенно учитывая хлипкости корпусов некоторых телефонов. Требующая обычно не просто отключения телефона, а ещё и вытаскивания батарейки. В общем, стандартный корпус телефона - это оооочень неудобная обложка для паспорта.

[filin]

Вынуть симку из телефона — очень дорогостоящая по времени операция по сравнению с проверкой паспорта глазами. Так что только то, что может извлечь телефон.

А про "разрядился телефон" ты все-таки дочитай, прежде чем обзывать неумным стебом...

[inkelyad]

Вынуть симку из телефона — очень дорогостоящая по времени операция по сравнению с проверкой паспорта глазами. Так что только то, что может извлечь телефон.
То, что может извлечь из симки сам телефон, совсем не обязано совпадать с тем, что может извлечь из симки что-то другое, используя телефон в качестве ридера. Сам телефон при этом может видеть только шифрованный трафик в/из симки.

А про "разрядился телефон" ты все-таки дочитай, прежде чем обзывать неумным стебом...
Дальше было:
У жены разрядился телефон, и я ей выдал свой. Ну, допустим, в мой телефон ее симку не вставишь, формат не совпадает. Поэтому я ей выдал телефон со своей симкой. Она — это я?
Нет, разумеется. Она - это человек с чужим документом. И в тех местах, где документ спрашивают, должны посмотреть на то, что подобная симка о владельце думает, сравнить, и сказать "неубедительно, не ваш документик". Другое дело, что есть очень большой соблазн не смотреть, а как раз поверить "пользуется этой симкой - значит он и есть".

[vitus_wagner]

Неумный стеб. Если у тебя не оказалось документа, а ты попался под облаву. тебя имеют сейчас право доставить в отделегние и задержать там, насколько я помню до трех часов ддля выяснения личности.

А ты говоришь о дорогостоящести операции извлечения симки, которая обходится в минуты. Да она в любом случае намного быстрее составления протокола об админситративном задрежании подозрительного лица без документов.

Хотя логичнее доставить человека с разряженным телефоном к ближайшей розетке, например в патрульную машину, и задержать там до того момента, когда телефон его достаточно зарядится, чтобы ответить на вопросы о личности владельца.

[perdakot]

> обяжем носить повербанки тех, кто имеет право потребовать от тебя удостоверить личность.

И USB type D кабель.

[qkowlew]

К тому моменту уже будет type F

[fearitha]

Очевидно, начинать рассуждения о превращении симки в электронный документ надо с регламентации, какая информация должна быть на симке, и каким образом проверяющий будет до нее докапываться.
Так-то данные со своей симки я каждый день глазами читаю. Вопрос, как некие данные проверяющему показать - чисто технический.

>>>Вторая. У меня разрядился телефон. Я не гражданин?
Нет, человек, оставивший дома паспорт.

[vitus_wagner]

На симке есть по крайней мере несколько килобайт места под информацию.

Но вообще логично чтобы проверяющий посредством какого-то плюс-минус надежного криптопротокола, не дающего доступа неавторизованным лицам, получил с СИМ-ки уникальный идентификатор человека (Последнее время чаще всего СНИЛС), а все остальное, включая биометрические данные по которым можно установить, что данный человек предъявил свой телефон, качал со своих ведомственных баз данных.

[fearitha]

Ну да, я об этом и говорю. Нет никакой технической проблемы в наши дни ознакомиться с содержимым симки, если она воткнута в работающий телефон.

[vitus_wagner]

Это смотря кому. GSM-оператору, который является владельцем симки (а абонент - только ее пользователем) - ну ПОЧТИ никаких. Если только на этой симке не создано секьюрити-домена, к которому оператор не имеет доступа. Если создано - то с содержимым этого домена сможет ознакомиться только тот, у кого есть туда права доступа, будь то банк или государственная служба.

А абонент сможет ознакомиться только с тем, интерфейс к чему ему предоставят владельцы соответствующих секьюрити доменов.

Впрочем, нынче есть еще NFC-интерфейс, и там отдельный набор правил доступа.

[fearitha]

Я же говорю - технических. Дальше вопрос доступа кого-то к соответствующим техническим средствам.

[vitus_wagner]

Никому кроме вас не известная классика.

Жванецкий, Ильченко и Кац

[phd_ru]

Витус, не позорься. Если ты чего-то не знаешь — не обобщай своё незнание на всех.

Re: Жванецкий, Ильченко и Кац

[vitus_wagner]

Понял. Пойду этого скота, который это дерьмо в мой журнал пихнул, забаню.
Благо по формальным критериям он на бан вполне тянет - ссылка на видео без
описания того, почему я именно на это дерьмо должен тратить цветы своей селезенки .

[vitus_wagner]

Вы топ-пост не читали? Ссылка на видео без подробного объяснения почему это стоит смотреть - бан.

[alexartukov]

Первое, что вспомнилось - Владислав Крапивин "Гуси-гуси, га-га-га…" (1988)

[fearitha]

Главная проблема, которую я вижу с заменой паспорта симкой в том, что телефон с симкой - инструмент многопрофильного использования. Его куда проще сломать, испортить, потерять - просто в ходе текущего использования или в результате устаревания.
Паспорт отличается тем, что он ни для чего, кроме выполнения своей основной функции, не нужен.

[vitus_wagner]

Насколько я понимаю, все же речь не идет о замене паспорта симкой, а о возможности использования симки в качестве паспорта. Поскольку явно оговаривается, что количество симок у человека ограничить не предполагается, это значит что у человека теперь может быть много документов удостоверяющих личность. Возможно, не все из них должны быть сим-картами.

Сломать симку куда сложнее чем паспорт. Паспорт это бумажный документ, подверженный подмоканию, истрепывнию, поеданию термитами, а симка- кусок пластика с чипом внутри и группой контактов снаружи. В огне, конечно, горит, но в воде - не тонет и не размокает.

[fearitha]

Сломать симку - безусловно сложнее. И в воде, конечно, не тонет. Но вот свой первый мобильник я, собственно, как раз утопил, в реке, уронил случайно. И вот честное слово, мне даже в голову не пришло нырять и спасать симку. И сейчас не придет. Еще один телефон у меня украли, один я сам потерял. А паспорт я терял в жизни всего однажды, потому что я его вообще-то относительно редко достаю.
Но вообще-то я говорил о текущем моменте. Если у меня что-то случилось с паспортом - это ЧП. Если у меня что-то случилось с телефоном, который, по умолчанию, является средством для получения информации с моей симки, так это рабочий процесс.
Потому что если мы говорим, что для удостоверения личности я должен остановиться, достать телефон, отключить его, разобрать, вытащить симку, выдать ее проверяющему, дождаться, пока он ее воткнет себе в ридер, получить ее обратно, собрать телефон, включить телефон - то к черту такие развлечения.

С моей точки зрения, мы уже дошли до того уровня технического развития, когда документа вообще не должно быть на руках у гражданина. Гражданин должен один раз сдать биометрию, а потом, если кому-то, кому положено, его хочется идентифицировать - пусть подставляет сканер пальчиков и получает ответ из своей БД.

[livelight]

Зато симка находится обычно в смартфоне, куда пользователь может ставить всякую бяку чёрти откуда, и это ещё не считая мобильных вирусов, которые тоже существуют.

[vitus_wagner]

Ну и что? Вот это как раз в этой технологии продумано. Это не смартфон контролирует симку, а симка - смартфон.

[livelight]

Кое-чего телефон туда точно умеет писать. Как минимум адресную книгу.

[vitus_wagner]

Кое-что и ваш браузер умеет писать на сервера гугля. Но почему-то все уверены что это гугль следит за пользователем, а не пользователь за гуглем.

А сим-карта это не пассивное запоминающее устройство, а вполне себе маленький компьютер.

[legolegs]

В свете того, что опсосы - общепризнанно жадные жулики, а производители телефонов склонны давать контроль на устройствами кому угодно, только не пользователю, я идею не одобряю. Госдура, опять же.

Хотя в какой-то альтернативной вселенной это могло быть благом. Идея, что управляемый государством чип общается с миром через управляемое человеком устройство с экраном мне нравится.

[vitus_wagner]

Только беда в том, что устройстов с экраном управляемо не человеком, а гуглем или эпплом. В общем, компанией - поставщиком программного обеспечения.

[sur_kg]

Ну, хорошо, допустим в симку вшит закрытый ключ и реализация протокола шифрования (ну и еще корневой сертификат для аутентификации запросов). ID юзера - открытая часть этого ключа.

Теперь если кто-то evil знает закрытый ключ + протокол - то этот evil может произвести симку, которая удостоверяет личность также, как оригинальная симка.

Далее есть 2 варианта:

(1) Эта информация зашивается при производстве симки. Очевидно, что тот, кто производит оригинальную симку эту инфу знает. Теперь есть опять два варианта:
(а) симку производит государственный орган. ОПСОСы покупают симки у него по конской цене и вынуждены делиться с ним той информацией, которую они хотели туда вшить сами, развитие технологии сим-карт зависит от бюрократической машины этого гос. органа.
(б) симку производит сам ОПСОС либо его подрядчик. Ссучившиеся сотрудники производителя сливают секретную инфу либо сами производят симки с поддельной идентификацией (на тех же мощностях, да).

(2) Эта информация заливается на симку гос. органом. в специальном режиме write-only. Сторонний производитель симок вшивает в них бекдор, позволяющий ему потом считать эту информацию.

Как быть однако?

[vitus_wagner]

Вообще-то внутри симки есть java-машина, в которой в том числе и функция генерации ключевой пары. Поэтому есть третий вариант.

Пользователь по получении симки на руки генерирует ключ, и регистрирует его открытую часть в государственном удостоверяющем центре (получает сертификат). Закрытого ключа больше нигде. кроме симки нет.

После утери симки придется генерировать новый ключ.

А вообще проблема взаимного доверия между производителем СИМ-ок, ОПСОС-ом и третьей доверенной стороной (банком, государством) желающим пользоваться этими симками как средствами аутентификации давно проработана.

Там проработаны процедуры работы с массивами ключей, которые если не исключают, то существенно снижают вероятность того, что ссучившийся сотрудник способен что-то увести в одиночку. Требуется чтобы сговорились минимум три сотрудника из разных подразделений, а это уже хорошие шансы, что один из троих заложит.

Когда я слушал курсы по этой теме (Global Platform называется), понятие "ключевая церемония" меня совершенно восхитила.

[taris_marh]

Есть ещё один вариант, который не экстренный (дал телефон жене), а постоянный - покупка SIM детям. Сыну карточку отдала бабушка (в какой-то момент ей временно надо было номер сменить, потом внуку отдала), а вот у дочери обе карточки - мои. И что, теперь она - я?

Тут надо, как мне кажется, другой подход использовать - использование SIM в качестве удостоверения должно быть опцией. Например, есть у меня основная карточка, основной номер - прихожу куда-нибудь (паспортный стол etc) и мне там в конкретную SIM прошивают или просто регистрируют сгенерированный в ней ключ как официальный. А остальные - просто SIM, идентификаторы точки доступа к услугам вне зависимости от их назначения.

Кстати, решил поиграться с "умными" часами, пошёл брать под них SIM и обнаружил, что у операторов уже есть специальные тарифы под такие устройства с оплатой сразу за год. Причём, цены на уровне не самого дешёвого тарифа для смартфона, но за год, а не за месяц.

[vitus_wagner]

Этот вариант в законопроекте просто предусмотрен.