Mobilsignatur - Mobile signature

En mobilsignatur er en digital signatur, der genereres enten på en mobiltelefon eller på et SIM -kort på en mobiltelefon.

Oprindelsen af ​​udtrykket

mSign

Begrebet optrådte først i artikler, der introducerede mSign (forkortelse for Mobile Electronic Signature Consortium). Det blev grundlagt i 1999 og omfattede 35 medlemsvirksomheder. I oktober 2000 offentliggjorde konsortiet en XML-interface, der definerer en protokol, der giver tjenesteudbydere mulighed for at få en mobil (digital) signatur fra en mobiltelefonabonnent.

I 2001 fik mSign branchedækkende dækning, da det viste sig, at Brokat (et af de stiftende selskaber) også opnåede et procespatent i Tyskland for at bruge mobiltelefonen til at generere digitale signaturer.

ETSI-MSS standardisering

Udtrykket blev derefter brugt af Paul Gibson (G&D) og Romary Dupuis ( France Telecom ) i deres standardiseringsarbejde ved European Telecommunications Standards Institute (ETSI) og offentliggjort i ETSI Technical Report TR 102203.

ETSI-MSS-specifikationerne definerer en SOAP- grænseflade og mobilsignaturroaming til systemer, der implementerer mobile signaturtjenester. ETSI TS 102204 og ETSI TS 102207.

I dag

Mobilsignaturen kan have den juridiske ækvivalent til din egen våde signatur, heraf udtrykket "Mobile Ink", kommercielt udtryk, der er opfundet af Swiss Sicap. Andre udtryk omfatter "Mobil -ID", "Mobilcertifikat" af en tillidskreds fra 3 finske mobilnetværksoperatører, der implementerer en roaming -mobil signaturramme Mobiilivarmenne osv.

Ifølge EU -direktiverne for elektroniske signaturer kan den mobile signatur have samme beskyttelsesniveau som den håndskrevne signatur, hvis alle komponenter i signaturoprettelseskæden er passende certificeret. Den gældende standard for de mobile signaturoprettelsesenheder og ækvivalent med en håndskrevet signatur er beskrevet i Kommissionens afgørelse 2003/511/EF af 14. juli 2003 om offentliggørelse af referencenumre for generelt anerkendte standarder for elektroniske signaturprodukter i overensstemmelse med de elektroniske signaturer Direktiv . Hvis underskriftsløsningen er fælles kriterier evalueret af en uafhængig part og givet EAL4+ -betegnelsen, kan løsningen producere, hvad EU -direktivet og deraf følgende præciseringer kalder en kvalificeret elektronisk signatur . Den nuværende standard går tilbage til år 2002/2003 og er i gang med at blive fornyet og offentliggjort i slutningen af ​​2012. De fleste, hvis ikke alle, mobile signaturimplementeringer til dato genererer det, EU -direktivet kalder avanceret elektronisk signatur .

De mest succesrige mobilsignaturløsninger findes i Tyrkiet , Litauen , Estland og Finland med millioner af brugere.

Teknisk er mobilsignaturen oprettet af et sikkerhedsmodul, når en anmodning om det når enheden ( SIM -kort ), og efter at anmodningen blev introduceret for brugeren med et par forklaringsmeddelelser, beder enheden om en hemmelig kode, som kun den korrekte bruger burde vide . Normalt er dette i form af en PIN -kode . Hvis adgangskontrolhemmeligheden blev indtastet korrekt, godkendes enheden med adgang til hemmelige data, der f.eks. Indeholder RSA -privatnøgle , som derefter bruges til at udføre signaturen eller andre operationer, som anmodningen ønskede.

De PKI -system associerede den offentlige nøgle modstykke til den hemmelige nøgle afholdt på sikker enhed med et sæt attributter, der er indeholdt i en struktur, der kaldes digitalt certifikat . Valget af registreringsproceduredetaljer under definitionen af ​​attributterne i dette digitale certifikat kan bruges til at producere forskellige niveauer af identitetssikring. Alt fra anonym, men specifik til identitet i ægte ord med høj standard. Ved at lave en underskrift kan den sikre enhedsejer hævde denne identitet.

Mobilsignaturen er således en unik funktion for:

• Bevis din virkelige identitet for tredjeparter uden ansigt til ansigt kommunikation
• Giver en juridisk bindende forpligtelse ved at sende en bekræftet besked til en anden part
• Løs sikkerhedsproblemer i onlineverdenen med identitetsbekræftelse (en anonym, men specifik identitet er ofte lige så god som en identitet med høje standarder)

Offentlige tjenester

Estisk Mobile-ID

Se [2] .

ParsMSS i Iran

Pars Mobile Signature Services Project (ParsMSS) er designet og produceret i Iran for første gang siden 2011. Pars Mobile Signature Services (ParsMSS) kan leveres på to måder: SIM-baseret og SIM-mindre. Registreringsmyndigheden (RA) opretter forbindelse til denne service og udsteder det elektroniske certifikat personligt eller eksternt. Med denne service kan finansielle transaktioner og dokumenter underskrives digitalt.

Mobile Ink (Finland)

Mobile Ink forener høj sikkerhed og brugervenlig adgang til digitale tjenester, der kræver stærk godkendelse og autorisation. Abonnenter kan f.eks. Få mobil signaturadgang til m-banking eller virksomhedsapplikationer. Mobile Ink er et kommercielt udtryk forbundet med den mobile signaturløsning i Sicap, der bygger på Kiuru MSSP platform af Methics Oy.

Platformen tillader samtidig eksistens af flere nøgler og tilhørende identiteter med forskellige registreringsprocedurer. Dette bruges f.eks. Som erstatning for RSA SecureID -dongler med anonym, men specifik identitet i virksomheders adgangsprogrammer.

Mobiilivarmenne (Finland)

Mobilcertifikat, dvs. Mobiilivarmenne på finsk, er et udtryk, der bruges på det finske markedsplads til at beskrive den roaming -mobilsignaturløsning, der er implementeret af de tre mobilnetværksoperatører Elisa , Sonera og DNA .

Denne opsætning blev udviklet i alle tre operatørsamarbejde under den nationale Telecom-teknologi koordineringsgruppe FiCom, og det er verdens første system, hvor et fuldt funktionelt samarbejde ETSI TS 102 207 roaming service mesh blev etableret i softwaremiljøer med flere leverandører. En anden national funktion er, at mobiltelefonnumre er bærbare på tværs af operatørerne, og dermed identificerer telefonnummerets præfiks ikke operatøren. For at gøre det let for applikationsudbyderne (se ETSI TS 102 204) kan de købe service fra en hvilken som helst af de erhvervende enhedstjenesteudbydere (mobilnetværksoperatører) og nå alle brugere.

En del af baggrunden var opdatering af nationale love, der tillod, at digitale personidentifikationscertifikater (til Mobiilivarmenne -brug) også kan udstedes af andre parter end officielle registreringsmyndigheder via politikontorer. En anden del var samarbejdsaftale mellem operatørerne om certifikaternes form og certificeringsprocedurer og fremgangsmåder ved fremstilling af lignende certifikatindhold med sporbarhed af identitetsudstedelse. Alle disse blev gennemgået og godkendt af den finske kommunikationstilsynsmyndighed, hvilke opgaver omfatter overvågning af identitetsregistreringstjenesterne også på offentlige registre.

Mobilt ID i Ukraine

I Ukraine startede Mobile ID -projektet i 2015 og blev senere erklæret som en af Ukraines regerings prioriteter støttet af EU. I begyndelsen af ​​2018 evaluerer ukrainske mobiloperatører forslag og testplatforme fra forskellige lokale og udenlandske udviklere. Platformsvalg vil blive fulgt op af omfattende certificeringsproces. Liste over kryptografiske informationsbeskyttelsesværktøjer (og producenter), der er lovligt tilladt til brug i Ukraine (pr. 19. februar 2018).

Moldavisk Mobile-ID

• Moldcell
• Orange Moldova

MPass

Handy-Signatur i Østrig

Østrig startede mobil signatur i 2003, som en teknologi fra Bürgerkarte (som omfatter elektronisk signering med SmartCards). Det blev leveret hos mobilkom Austria , men sluttede i 2007. Efter en relancering i 2009, kaldet Handy-Signatur , er det godt brugt, i 2014 ejer over 300.000 mennesker, 5% af de voksne indbyggere, en registreret mobilsignatur. Det kontrolleres af den østrigske regering, National Bank og Graz University of Technology. Den er baseret på en TAN sendt på SMS efter anmodning og bekræftet med en privat pinkode. Ifølge 1999/93/EG svarer signering med Handy-Signature fuldstændigt til en håndskrevet autograf.

Teknikudbydere

Mobil ID

Valimo Wireless , en Gemalto selskab, var den første virksomhed i verden til at indføre mobil signatur solutionsinto markedet og skabe udtrykket Mobil-id. Den oprindelige løsning til mobilsignatur i Tyrkiet af Turkcell brugte Valimo -teknologi til at implementere den meget succesfulde løsning til mobilsignatur. Valimo Mobile ID er i øjeblikket i brug i flere lande.

Kiuru MSSP

Methics Oy er en privat ejet finsk teknologivirksomhed med stærk ekspertise inden for PKI- og MSSP -tjenester. Kiuru MSSP -produktlinjen bruges direkte og som OEM -produkt af flere service- og løsningsudbydere.

ID HUB - Mobil ID

Mobile ID -platform af Innovation Development HUB LLC er den eneste løsning til elektronisk identifikation og mobil signatur, der allerede har bestået statscertificering i Ukraine. Bruger både post-sovjetiske og europæiske kryptografiske algoritmer, hvilket gør platformen velegnet til CIS og EU PKI.

G&D SmartTrust

G&D SmartTrust er den originale leverandør af SIM -kort integrerede WAP -browsere med krypteringsplugins udviklet i slutningen af ​​1990'erne, den kaldes WIB (Wireless Internet Browser.) WIB -teknologien er licenseret af SmartTrust til mange SIM -kortproducenter, og mobilnetværksoperatørerne kan vælger at bruge kort med WIB -funktioner i deres normale brugerbase, så de umiddelbart kan bruges til MSSP -tjenester. SmartTrusts MSSP -tilbud kaldes SmartLicentio.

Sikkerhedsspørgsmål

Godkendelse kan stadig være sårbar over for angreb fra mand i midten og trojanske heste, afhængigt af den anvendte ordning. Ordninger som engangs-adgangskode- generatorer og tofaktorautentificering løser ikke fuldstændig man-in-the-middle-angreb på åbne netværk som Internettet. Imidlertid er understøttelse af godkendelse på Internettet med et parallelt lukket netværk som mobil/GSM og et digitalt signaturaktiveret SIM -kort den sikreste metode i dag mod denne type angreb. Hvis applikationsudbyderen giver en detaljeret forklaring på transaktionen, der skal underskrives både på sit websted og underskriftsanmodning til mobiloperatøren, kan angrebet let genkendes af den enkelte, når man sammenligner begge skærme. Da mobiloperatører ikke lader applikationer sende signaturanmodninger gratis, gør omkostningerne og teknikken ved indbrud mellem applikationsudbyderen og mobiloperatøren det til et usandsynligt angrebsmål. Ikke desto mindre har der været beviser flere steder, hvor der er sket et angreb.

Med indbygget nøglegenerering

Når en mobilbruger opretter sPIN (signerings-PIN) og hemmelig nøgle online inden for det sikre SIM-kort under registreringsprocessen, kaldes dette "on-board key generation". Dette kræver lidt mere interaktion på brugerens vegne under registreringen, men på den anden side gør det interaktionsprocessen i sikkerhedstilstand kendt og lader dem øve servicebrug. Også når brugeren glemmer/låser PIN -koden, der er knyttet til den genererede nøgle, er det enkelt at generere en ny nøgle og tildele den en ny sPIN, der ødelægger de tidligere versioner ved hjælp af samme proces som ved original registrering, og vigtigst af alt: uden behov for udskiftning af SIM-kort. I disse systemer er der sædvanligvis slet ingen sekundær signatur -PIN -blokeringskode (sPUK) overhovedet, fordi afsløring af en sådan kode har identiske krav til den person, der anmoder om identitet, som ved den originale persons identitetsregistrering.

Sammenlign dette med ældre "fabrikgenererede nøgler" -model til ældre teknologi-SIM-kort, der ikke havde tilstrækkelig behandlingskraft til at generere nøgle ombord. SIM-kortfabrikken kørte nøglegenerering med speciel hardware-accelerator og lagrede nøglematerialet på kortet sammen med indledende sPIN- og sPUK-koder. Nogle gange skete den faktiske generation inden for SIM -kortet, der kørte i speciel fremstillingstilstand. Efter generationen blev evnen til overhovedet at gøre det deaktiveret ved at blæse en speciel kontrolsikring. Levering af især sPUK-koder skaber betydelige sikkerhedsinformationslogistikproblemer, som helt kan undgås ved brug af indbygget nøglegenerering.

Turkcell var den første udbyder til at udrulle en mobilsignatur med "On Board Key Generation" -funktionalitet, som gør det muligt for kunderne at oprette deres signatur- og valideringsnøglepar, efter at de har fået simkortet. På denne måde behøver GSM -operatører ikke at distribuere signatur -pinkoder til kunder. Kunder kan selv oprette deres sPIN på ny.

Ved introduktionen af ​​den finske Mobiilivarmenne-tjeneste i 2010 valgte kun en ud af tre operatører at bruge denne indbyggede nøglegenereringskapacitet med brugerinteraktion. Nævnte grunde hævdede, at det var for svært for brugeren. Faktisk erfaring viste, at dem uden det let oprettede ikke-funktionelle registreringer uden online angivelse af status, mens brug af indbygget nøglegenerering altid resulterede i positiv indikation af succes, når tjenesten blev fuldt funktionsdygtig for brugeren. Også hvis en mobiltelefonversion havde problemer med SIM Application Toolkit- protokollen, blev det tydeligt umiddelbart under en registreringsproces ved hjælp af indbygget nøglegenerering.

Kilder til udtrykets oprindelse

• mSign: Meddelelse om MSign -dannelse (kun på tysk), 17.10.2000
• MoSign: Materna Monitor - virksomhedsblad, december 2004
• MoSign: International Herald Tribune tech brief, 26.3.2001
• MobilImza: Turkcell Mobil Imza 10.3.2008

Se også

• SecMsg

Referencer