Мобильный ID — услуга оператора сотовой сети по идентификации пользователей на сторонних ресурсах с помощью электронно-цифровой подписи (ЭЦП), сравнимая с применением ID-карты.
Описание
Идентификация пользователя на информационном ресурсе осуществляется посредством электронно-цифрового подписания специального запроса, направляемого на телефон абонента. Процесс напоминает подтверждение через SMS, сопровождается пояснениями и требует явного согласия со стороны человека путём ввода PIN-кода. Однако, при видимом сходстве, обладает рядом преимуществ, делающих перехват и подделку подписи практически невыполнимой задачей.
Функцию ЭЦП обычно выполняет SIM-карта с установленным для этих целей расширением. Это обеспечивает защищённое хранение секретного ключа непосредственно на SIM-карте без возможности его чтения, что предотвращает утечку даже в случае компрометации самого устройства. Кроме того, такая реализация работает независимо от конструкции мобильного аппарата, в том числе на носимых или нестандартных устройствах, либо же на простых сотовых телефонах, неподразумевающих установку пользовательских приложений. Сам ключ может быть как задан оператором непосредственно в SIM-карте, так и генерироваться на ней перед первым использованием. Последнее требует предварительной регистрации, но и упрощает процедуру восстановления при утрате PIN-кода.
История возникновения
Идея использовать мобильный телефон как средство идентификации возникла ещё в 1999 году. Для этих целей был основан консорциум mSign, включающий в себя 35 компаний-участников со всего мира. В октябре 2000 года им впервые представлен XML-интерфейс, позволивший провайдерам услуг применять электронно-цифровую подпись на телефонах абонентов сотовой сети. А уже в 2001, одна из компаний-участников (Brokat) регистрирует в Германии патент на данный способ и такая услуга начинает поставляться широкой аудитории.
Позже понятие было стандартизировано Европейским Институтом Телекоммуникационных Стандартов в спецификации ETSI-MSS[1], описывающей SOAP-интерфейс и сопутствующий роуминг в системах осуществляющих мобильную электронно-цифровую подпись[2][3].
Согласно постановлению ЕС об электронных подписях, мобильный вариант подписи имеет ту же степень защиты что и рукописная если все этапы последовательности её создания сертифицированы[4]. Правительственный стандарт называет такую подпись квалифицированной (КЭП) если она соответствует Общим Критериям и это подтверждает независимая экспертиза[5]. В конце 2012 года стандарт был переиздан[6], после чего значительная часть реализаций мобильных вариантов электронной подписи стала классифицироваться как Усиленная Квалифицированная Электронная Подпись (УКЭП).
Примечания