Теперь и сим-карты: Минкомсвязи и ФСБ предлагают поменять методы их шифрования
Министерство связи хочет, чтобы сим-карты, продаваемые на нашем рынке, соответствовали новым требованиям шифрования. Насколько это нужно сегодня с точки зрения реальной безопасности, а также кто и сколько за это заплатит?
Давайте с самых основ. Что такое сим-карта сегодня? С технической точки зрения это микрокомпьютер. Со своим процессором, оперативной памятью и хранилищем данных. Начала она применяться в сетях GSM. То есть сети, начиная со второго поколения. В первом, аналоговом, индивидуальным идентификатором абонента был серийный номер мобильного аппарата, то есть самой трубки. Тогда нельзя было поменять телефон и оставить тот же тариф. Даже если телефон украли или ты его потерял.
Операторы указали Минкомсвязи на проблему с заменой сим-карт
В самом стандарте GSM сразу разделили оборудование (за это отвечает номер IMEI — это такой международный идентификатор сотового оборудования, он принят поголовно и всеми без исключения). Также в карте расположен IMSI-номер — это как раз индивидуальный номер сим-карты, он не повторяется. А уже у современных карт есть функциональность JavaCard, то есть можно запускать на ней даже полноценные приложения. И вот сегодня основная функция такой карты — это как раз хранение такого индивидуального номера самой карты и асимметричного ключа шифрования.
То есть по факту ваш мобильный номер вида +7 999 8888 7766 на карте вообще не хранится. Его присваивает оборудование оператора. Как же тогда вообще становится понятно, что вы — это вы, а не кто-то другой? Оборудование оператора в лице главного реестра абонентов (расположенного в центральном узле региона) обменивается с вашим телефоном, а точнее, с сим-картой, асимметричными ключами шифрования. Что это означает? Что есть алгоритм, в котором формируются два ключа. Один на сим-карте, другой на оборудовании.
Оператор вам с симкой отдаёт один ключ. Второй оставляет у себя. Так и понимает, что вы - это вы. Ключ не то чтобы невозможно подделать. Можно, если вычислять его примерно 1024 года. Столько в среднем нужно его взламывать на более-менее приличном оборудовании (это конечно, «средняя температура по больнице», но главное — что взлом просто невыгоден и нереален). Но это в теории.
Фото: tkyszk / Shutterstock.com
На практике не всегда оказывается, что даже популярный протокол шифрования настолько стоек, что его никак не взломать без математических уловок или дыр в безопасности. Например, когда-то популярный в 90-х и нулевых протокол шифрования PGP оказался в нескольких местах настолько нестойким, что от него быстро отказались. Да ещё и со скандалом. Когда оказалось, что израильские авторы протокола безопасности плотнейшим образом работали с американскими спецслужбами и сливали им методики его взлома.
Вот тут и начинается самое интересное. Но сначала о законодательстве. Дело в том, что сим-карта на руках сегодня у всех граждан. Проникновение давно перевалило за 100%. Сегодня на руках у россиян 260 млн карт. Почти по две на абонента. И фактически сегодня сим-карта — это универсальный ключ ко всему. К вашим госуслугам, к банковским счетам, к социальным сетям. Почти к любым электронным и не очень сервисам.
Некуда бежать: Когда в России заблокируют VPN-сервисы?
Потерять сегодня сим-карту на порядок страшнее, чем паспорт. Если вы потеряете паспорт — то максимум на вас можно повесить кредит, который потом отменить через суд (самый крайний случай в самом жёстком варианте). А если вы теряете симку или она попадает в руки злоумышленнику — то вы потеряете вообще все деньги. Все аккаунты в соцсетях, все контакты в телефоне, все SMS и содержимое телефона, самые приватные фото. Вообще всё. Поэтому законодательство в разрезе того, чтобы симку сделать универсальным идентификатором, идёт так туго. Точнее, мобильный номер с сим-картой в нашем случае.
Очень высоки риски мошенничества. И заодно на рынке легче достать «серую» симку, чем поддельный паспорт. Симку вы в любом переходе купите. А если это сделать универсальным средством идентификации и не иметь доступа к шифрованию — это прямой путь к упрощённой полной подделке личности. Гораздо страшнее поправленной копии паспорта в Fotoshop и связки с нечистым на руку сотрудником салона (именно они и выдают дубликаты ваших сим-карт кому попало).
Поэтому требование ФСБ и Минкомсвязи, в общем, понятно. Раз это микрокомпьютер, то хотелось бы иметь к нему полный доступ и контролировать его производство. Есть же такая история с ОС, когда ФСБ требует от Microsoft исходные коды. По факту, если это требование будет исполнено, то методики шифрования — это именно софт. Хотя для реализации подобного плана будут нужны именно программно-аппаратные комплексы для операторов связи. Самые большие затраты посчитаны в размере 83 млрд рублей и озвучены Минкомсвязи.
Здание Министерства связи и массовых коммуникаций РФ. Фото: Владимир Гердо/ТАСС
Много ли это? Если разделить на количество карт, то это около 320 рублей. Что ровно один месячный средне-минимальный платёж на абонента, его ARPU. Или 1/12 годовой выручки оператора с карты. Но эти деньги придётся заплатить явно не сразу. Внедрение растянется как по времени, так и по финансам. Поэтому рост тарифов если и будет, то плавный, который имеет объективные причины - рост курса и то, что у нас - одна из самых низких цен на мобильную связь в мире.
А если вы не хотите ждать, пока о вас позаботится ФСБ, сходите в салон к оператору и напишите заявление о запрете на замену сим-карты дубликатом по доверенности. И через две недели проверьте, внесено ли оно в систему и действует ли. Тогда мошенники не смогут украсть у вас симку без вашего ведома. Этим вы закроете просто гигантскую дыру в собственной безопасности.