Чому я не поділяю ентузіазм з приводу ЕЦП на SIM-картах

Що людям, які у захваті від запуску MobileID, треба нагадати про безпеку:

  1. Технологія MobileID використовує смарткарту в SIMці для ідентифікації користувача та створення цифрового підпису. Який, як багатьом відомо, у нас прирівняно до підпису звичайного, з усіма наслідками.
  2. SIM-картки, банківські картки, та картки супутникового телебачення — три наймасовіші застосування смарткарт у світі. Наймасовіші слід читати як найдешевші.
  3. Картки супутникового ТВ — ламані й переламані. Банківські картки… та що я вам буду розказувати. SIM-картки пройшли крізь не менш драматичну історію становлення.
  4. І найголовніше: з цих трьох типів смарткарт SIMки — найдешевші. Адже донедавна ризик втрати або викрадення SIMки обмежувався втратою номера телефону. Використання номеру телефону для ідентифікації в месенджерах і для доставки одноразового паролю в протоколах аутентифікації підняло ставки, але не занадто.

А ось тепер вам має бути ще радісніше від того, що у вас з’явилася можливість використовувати SIMку для укладання договорів, відкриття та припинення бізнесу, та здійснення онлайн-доступу до історії хвороби. Мої вітання!

Якщо ж серйозно, відчуття ризиків тут можна отримати інтуїтивно. SIMки створювалися для набагато менш ризикованих застосувань, тому в їхню безпеку вкладалася адекватна, тобто невелика, кількість грошей. Щойно вигода від успішної атаки на SIM-карти виросте (а так і буде, адже тепер це ваш паспорт, підпис, та відбиток пальця на шматочку силікону), виросте й цікавість з боку нападників, до якої ця технологія не готова.

Ну і нарешті, гарантія безпеки, підтверджена державною експертизою — це фраза, яка в спеціалістів з безпеки нічого крім іронії не викликає. Гарантія тут полягає в тому, що держава впевнена, що все, що підписано цифровим підписом з вашим MobileID — ваше і ви від цього не відхреститесь. Тобто, ця безпека не на вашу користь, а якраз навпаки.

Найбільш яскрава метафора, яка спадає на думку: ви усе життя отримували пошту у поштову скриньку на першому поверсі, яку зачиняли на невеличкий замочок, відімкнути який можна за 5–10 хв без жодної підготовки звичайним сірником. До того ж, громіздку конструкцію з десяти поштових скриньок, розташовану у вашому під’їзді, можна трохи відхилити від стіни, до якої вона прикріплена лише згори, простягнути руку в утворений отвір, та занурити пальці до вашої (?) скриньки, адже задньої стінки в ній немає — напевно з метою економії матеріалу. Всі згадали про що я?

Так ось, тепер вам пропонують отримувати зарплатню у чеках на пред’явника, які надсилатимуться вам звичайною поштою.