Служба мобильной подписи

Отрасль служб мобильной подписи развивалась с начала 2000-х годов с появлением стандартов мобильной коммерции Европейского института стандартов телекоммуникаций. Эти стандарты определили мобильную подпись как универсальный способ подтверждения пользователем при помощи мобильного устройства намерения совершить транзакцию (цифровой подписи со смартфона, превратив тем самым устройство в доверенное). Служба мобильной подписи — это сервис, координирующий и управляющий процессом мобильной подписи^[3].

Мобильный пользователь — это либо частное лицо, владеющее мобильным устройством, либо само устройство, в которое интегрировано средство для хранения и применения мобильной подписи^[4].

Поставщик приложения (AP) предоставляет услугу, к которой мобильный пользователь хочет получить доступ для аутентификации, или контракт, который пользователь желает подписать^[4][5].

Эмитент смарт-карты, обычно оператор мобильной сети, выпускает для пользователя карту, способную выполнять операции подписи и/или генерации ключей. Эмитент взаимодействует с провайдером службы мобильной подписи (MSSP)^[4][5].

Регистрационное удостоверяющее лицо (Registration Authority, RA), обычно оператор мобильной сети, отвечает за регистрацию мобильных пользователей для MSS^[4][5].

Центр сертификации (CA) — это служба, обычно сторонняя организация, выпускающая цифровые сертификаты к открытому ключу мобильного пользователя^[4][5][6].

Провайдер службы мобильной подписи (MSSP) — это сервис, координирующий взаимодействие между AP и SIM-картой пользователя. В рамках спецификации ETSI MSSP обычно включает HomeMSSP, AE (acquiring entity — принимающая сторона) MSSP и, возможно, RE (routing entity — маршрутизатор). AP взаимодействует с HomeMSSP через AE MSSP. HomeMSSP напрямую соединяется с SIM-картой пользователя^[4][5][7].

Когда мобильный пользователь подключается к службе мобильной подписи, регистрационное удостоверяющее лицо (RA) подтверждает личность пользователя и связывает её с парой ключей в рамках PKI. Ключи могут быть сгенерированы на сервере или непосредственно на SIM-карте пользователя с помощью генерации ключей на устройстве (On-Board Key Generation, OBKG). В случае OBKG SIM-карта генерирует пару ключей, отправляет открытый ключ провайдеру MSSP для сертификации, а закрытый ключ защищён ПИН-кодом пользователя, который также создаётся непосредственно на SIM-карте и никогда её не покидает^[6][8].

Регистрация в службе мобильной подписи

Когда мобильный пользователь получает услугу от AP и желает осуществить мобильную подпись, AP отправляет запрос на подпись в HomeMSSP пользователя через AE MSSP. MSSP перенаправляет запрос на SIM-карту пользователя. После получения запроса SIM-карта может выполнить операцию подписи только после ввода пользователем своего ПИН-кода. Запрошенные данные подписываются закрытым ключом пользователя и отправляются обратно в HomeMSSP, который возвращает подпись AP для последующей верификации с использованием открытого ключа пользователя^[6][9][10].

Процесс подписания в службе мобильной подписи

Стандарт мобильной коммерции ETSI TS 102 207 определяет структуру роуминга между различными системами MSS^[11]. Если AP и HomeMSSP мобильного пользователя различаются, MSSP стороны AP может связаться с HomeMSSP пользователя с помощью роуминга^[12].

Таким образом, AP может заключить контракт с любым из операторов MSS и предоставлять услуги всем мобильным пользователям в объединённой (mesh) структуре MSS.

Если возникает угроза компрометации мобильной идентичности пользователя, он может обратиться к оператору связи с просьбой аннулировать сертификат в центре сертификации (CA). Аннулирование сертификата делает пару ключей неработоспособной. Обычно восстановить такой сертификат удалённо нельзя — для повторного подключения к MSS требуется личная явка пользователя^[13].