Мобильный ID

Мобильный ID — услуга оператора сотовой сети по идентификации пользователей на сторонних ресурсах с помощью электронно-цифровой подписи (ЭЦП), сравнимая с применением ID-карты.

Описание

Идентификация пользователя на информационном ресурсе осуществляется посредством электронно-цифрового подписания специального запроса, направляемого на телефон абонента. Процесс напоминает подтверждение через SMS, сопровождается пояснениями и требует явного согласия со стороны человека путём ввода PIN-кода. Однако, при видимом сходстве, обладает рядом преимуществ, делающих перехват и подделку подписи практически невыполнимой задачей.

Функцию ЭЦП обычно выполняет SIM-карта с установленным для этих целей расширением. Это обеспечивает защищённое хранение секретного ключа непосредственно на SIM-карте без возможности его чтения, что предотвращает утечку даже в случае компрометации самого устройства. Кроме того, такая реализация работает независимо от конструкции мобильного аппарата, в том числе на носимых или нестандартных устройствах, либо же на простых сотовых телефонах, неподразумевающих установку пользовательских приложений. Сам ключ может быть как задан оператором непосредственно в SIM-карте, так и генерироваться на ней перед первым использованием. Последнее требует предварительной регистрации, но и упрощает процедуру восстановления при утрате PIN-кода.

История возникновения

Идея использовать мобильный телефон как средство идентификации возникла ещё в 1999 году. Для этих целей был основан консорциум mSign, включающий в себя 35 компаний-участников со всего мира. В октябре 2000 года им впервые представлен XML-интерфейс, позволивший провайдерам услуг применять электронно-цифровую подпись на телефонах абонентов сотовой сети. А уже в 2001, одна из компаний-участников (Brokat) регистрирует в Германии патент на данный способ и такая услуга начинает поставляться широкой аудитории.

Позже понятие было стандартизировано Европейским Институтом Телекоммуникационных Стандартов в спецификации ETSI-MSS^[1], описывающей SOAP-интерфейс и сопутствующий роуминг в системах осуществляющих мобильную электронно-цифровую подпись^[2][3].

Согласно постановлению ЕС об электронных подписях, мобильный вариант подписи имеет ту же степень защиты что и рукописная если все этапы последовательности её создания сертифицированы^[4]. Правительственный стандарт называет такую подпись квалифицированной (КЭП) если она соответствует Общим Критериям и это подтверждает независимая экспертиза^[5]. В конце 2012 года стандарт был переиздан^[6], после чего значительная часть реализаций мобильных вариантов электронной подписи стала классифицироваться как Усиленная Квалифицированная Электронная Подпись (УКЭП).

Примечания

1. ETSI Technical Report TR 102 203  (неопр.). Дата обращения: 11 августа 2021. Архивировано 6 декабря 2013 года.
2. ETSI Technical Specification TS 102 204  (неопр.). Дата обращения: 11 августа 2021. Архивировано 13 мая 2021 года.
3. ETSI Technical Specification TS 102 207  (неопр.). Дата обращения: 11 августа 2021. Архивировано 5 июля 2016 года.
4. EUR-Lex - 31999L0093 - EN - EUR-Lex  (неопр.). eur-lex.europa.eu. Дата обращения: 11 августа 2021. Архивировано 7 февраля 2014 года.
5. EUR-Lex - 32003D0511 - EN - EUR-Lex  (неопр.). eur-lex.europa.eu. Дата обращения: 11 августа 2021. Архивировано 16 января 2013 года.
6. Trust Services and Electronic identification (eID)  (неопр.).