SoftSIM или будущее сотовой идентификации в России

Добрый день.

Меня зовут Максим Бритвин, я много лет занимаюсь разработкой и производством электроники, закрывая весь цикл от идеи до вывода на рынок. Свой карьерный путь прошел от рядового специалиста до директора по продуктам, а в данный момент времени совмещаю роль руководителя направления GSM решений в Лаборатории Интернета Вещей ПАО Сбербанк.

И сегодня мне хотелось бы рассказать вам про СИМ карты, их эволюцию и в целом будущее сотовой идентификации в России.

Содержание:

  1. История SIM-карт

  2. Проблемы SIM-карт

  3. Решение SoftSIM

  4. Сложность внедрения SoftSIM в России

  5. Киберзащищенность GSM модемов с SoftSIM

  6. Выводы

Раздел 1. История SIM-карт.

SIM-карта, как широкое понятие, пережило казалось бы не одно поколение, но не многие знают, первая ее версия, формата 1FF появилась в 1991 году. Ее размеры были идентичны размеру банковской карты 86×54 х 0,84 мм. Почему так?
Правильно! Прототипом стала самая, казалось бы, обыкновенная банковская карта, иначе называемая как «Смарт-Карта», вошедшая в обиход уже в 1967 году! Начиная с 1991, спустя пять после появления первой SIM-карты, была выпущена на рынок mini-SIM, формата 2FF, которая стала меньше более чем в три раза в сравнении с 1FF форматной SIM-картой. Произошло еще несколько трансформаций, до тех пор, пока не появились привычные всем SIM-карты, формата Nano-SIM или 4FF.

Что же из себя представляет Nano-SIM карта?
• Это полноценный защищенный маленький компьютер со своей операционной системой, SimOS, построенной на базе Java Card
• Сущность, запущенную в сим карте также называют Java Machine
• Работают SIM-карты, опираясь на стандарт ISO7816
• Наиболее современные стандарты разрабатываются ассоциацией GSMA. Именно благодаря единым внедренным стандартам GSMA, прилетая в чужую страну, ваш телефон, используя сим-карту вашей страны, позволяет подключиться к местному оператору, поддерживающего те же стандарты.

Рис. 1. Эволюция SIM-карт

Рис. 1. Эволюция SIM-карт

Но, эволюция продолжается, и уже активно внедряются устройства с eSIM, представляющий из себя интегрированный в устройство чип, на который можно записать 10 и более подписок различных операторов! Переключаясь между ними, пользователь может практически мгновенно менять условия использования предоставляемые операторами услуг, что выглядит очень даже привлекательно. Также, существуют sSIM, vSIM, iSIM и т.д. О них ниже поподробнее.

Что такое iSIM, vSIM, sSIM? Физическая сим карты или eSIM чипсет как отдельная сущность отсутствует. Все ключи, сертификаты, SIM OS как параллельный процесс запущены внутри чипсета «GSM SoC», на базе которого реализован GSM модем.
• iSIM — это «Internal SIM», где под сим карту «аппаратно» выделен блок в SoC, реализующего GSM connectivity
• vSIM — это «Virtual SIM», где все ключи, сертификаты, SIM OS запущены внутри GSM модема как отдельный программный сервис (для модемов выше класса)
• sSIM — это «Soft SIM», где все ключи, сертификаты, SIM OS имплементированы во внутрь прошивки GSM модема, и работают как отдельный программный алгоритм (для модемов ниже класса)


Какие существуют особенности?
• Для iSIM/vSIM/sSIM единой стандартизации еще нет. Существующая система аккредитации SIM/eSIM не подходят (SAS, EAL4+)
• Общих критериев приемки и эксплуатации оборудования нет
• Логистика не стандартизирована
• Не ясны требования к персонализации

Рис. 2. Аппаратные/программные SIM решения

Рис. 2. Аппаратные/программные SIM решения

Далее в статье мы углубимся в softSIM решение, а пока переходим к общим проблемам SIM-карт.

Раздел 2. Проблемы SIM-карт.

Операторы, предоставляющие услуги сотовой связи, чаще всего размещают свое оборудование, включая базовые станции, не равномерно. В результате чего, покрытие сотовой связи не равномерное и использовать 1 сим карту, 1 оператора в данном случае выглядит весьма неэффективно. Это не единственная проблема работы с физическими носителями (SIM, eSIM). О других вы сможете узнать на РИС. ниже.
И да, частично этот вопрос решается использованием eSIM, но использование данной технологии доступно на устройствах старшей ценовой линейки. А что делать тем, чье устройство не поддерживает данную функцию?

Рис. 3. Проблемы SIM-карт.

Рис. 3. Проблемы SIM-карт.

Раздел 3. Решения SoftSIM. Принцип работы.

Как заметил внимательный читатель, сегодня мы хотим поговорить про softSIM, и да, это может стать отличным решением текущих проблем, таких как «привязка к единому оператору», «качество покрытия сети» и такое банальное, как наличие самой физической сим-карты на точке продаж. Да-да, все чаще встречается нехватка физических сим-карт, в связи с кризисом производства полупроводников, сложностью поставки и т.д., но это совсем другая история.
Используя softSIM мы можем позволить себе отказаться от пластика, чипсета eSIM и любого другого физического носителя, а «данные» с SIM-карты могут быть загружены в память, например GSM-модема, использующего устройства.

Но для того, чтобы softSIM стал коммерческим продуктом и появился на рынке РФ, то необходимо пройти всю цепочку процедур, доказывающую безопасность эксплуатации данного продукта, в ФСБ, а также Министерстве Цифрового Развития Российской Федерации, создать Российский аналог GSMA, научиться выпускать сертификаты, по аналогии с GSMA, гарантирующие безопасность.

Рис. 4. Решения.

Рис. 4. Решения.

Пока, процесс сертификации не завершен, да и честно признаться, даже не начат.
Но, никто нам не мешает проверить нашу гипотезу на практике, реализовав поддержку softSIM в различных устройствах.
Смотрим примеры.

Раздел 4. Физическая реализация. Авто телематика.

Одним из самых популярных GSM модемов в РФ является SIM800 от компании SIMCOM, позволяющий передавать данные по стандарту 2G. Себестоимость данного модема составляет всего 1,5 доллара США, и по нашим сведениям, в РФ ежегодно реализуется в количестве более 1 млн. шт. официально. Не официальный рынок не считали, возможно цифра такая же.
Данный модем широко используется в IoT устройствах, призванных выходить на связь по расписанию или по событию. В одном из таких устройств мы и нашли GSM модем SIM800, — GSM трекере ВЕГА М110. Используя GSM модем данного устройства, мы реализовали прототип технологии Soft SIM.
При поддержке Сбербанк-Телеком, была произведена имплементация данных с сим карты (подписки) во внутреннюю память GSM модема, установленного в трекере ВЕГА М110.
Результат положительный, устройство подключилось к сети интернет.
Данный факт позволяет реализовать IoT девайсы вообще без какой-либо сим карты! Тем самым экономить на с/с.

Рис. 5. Реализация softSIM на базе GSM трекера ВЕГА М110.

Рис. 5. Реализация softSIM на базе GSM трекера ВЕГА М110.

В случае предоставления другими операторами аналогичных подписок, появляется возможность хранить их все в памяти модема, и удаленно или локально переключаться между тарифными сетками различных операторов связи, выбирая лучшие условия работы в конкретный момент времени.
В качестве второго решения ниже представлен пример работы еще одной разработки Лаборатории Интернета Вещей ПАО Сбербанк, — «Устройство системы контроля качества услуг, предоставляемых операторами сотовой связи»

Рис. 6. Устройство системы контроля качества услуг, предоставляемых операторами сотовой связи.

Рис. 6. Устройство системы контроля качества услуг, предоставляемых операторами сотовой связи.

Работая по каналу связи, предоставляемому Сбербанк-Телеком, на базе технологии SoftSIM, специально разработанное ПО модема позволяет определять мощность сигнала других доступных операторов связи в точки нахождения устройства.
Данная разработка пригодится там, где важно контролировать доступность каналов связи, и быть всегда подключенным к сети интернет.
Данную технологию можно внедрять в любые устройства, использующие GSM модемы в качестве девайса, предоставляющего возможность подключаться к внешним операторским линиям.

Еще из ярких примеров использования новой технологии softSIM могут быть Банкоматы или PoS терминалы:

Рис. 7. Применение технологи SoftSIM в банкоматах.

Рис. 7. Применение технологи SoftSIM в банкоматах.

Ниже представлен Рис. 8. Применение технологи SoftSIM в PoS терминалах.

Рис. 8. Применение технологи SoftSIM в PoS терминалах.

Рис. 8. Применение технологи SoftSIM в PoS терминалах.

А это упрощенный бизнес кейс:

  1. Платежный терминал с GSM реализацией softSIM (существует возможность хранить в себе несколько подписок различных операторов. Именно этот кейс позволяет на «ЛЕТУ» переключиться на оператора с доступным покрытием);

  2. Меняй операторов, когда тебе это нужно (в случае необходимости, управлять подписками можно в личном кабинете, добавляя и удаляя их (добавили МЕГАФОН, удалили МТС и т.д).

  3. Для терминалов с биометрией реализуем СКЗИ на базе eSIM, с ГОСТ криптографией (требуется прохождение сертификации ФСБ) или аналогичного аппаратно-защищенного хранилища

Раздел 5. Портал управления softSIM.

Имплементировав несколько подписок различных операторов в устройство, хочется поднять вопрос, а как же «телеметрия» и «удаленное урпавление»? Хотелось бы сравнивать сравнимое и получить возможность оценить качество внедрения.
Результат. Появление портала управления softSIM.
Ниже представлены различные варианты реализации порталов по управлению устройствами, использующих для подключения множество подписок различных операторов, храня их локально, в памяти устройства.

Ниже представлен Рис. 9. Портал управления IoT Lab.

Рис. 9. Тестовый портал управления IoT Lab.

Рис. 9. Тестовый портал управления IoT Lab.

Ниже представлен Рис. 10. Портал управления Бифорком.

Рис. 10. Портал управления Бифорком.

Рис. 10. Портал управления Бифорком.

Ниже представлен Рис. 11. Портал управления Red Tea Mobile.

Рис. 11. Портал управления Red Tea Mobile.

Рис. 11. Портал управления Red Tea Mobile.

Ниже представлен Рис. 12. Портал управления Sierra Wireless.

Рис. 12. Портал управления Sierra Wireless.

Рис. 12. Портал управления Sierra Wireless.

Раздел 5. Сложности внедрения softSIM в России. ЕЦС.

Не смотря на тот факт, что эволюция телекоммуникационных технологий не стоит на месте, в РФ остаются, казалось бы, узкие, моменты, прямо сказать, влияющие на абсолютную зависимость от зарубежных решений.
Лабораторией IoT Сбербанк выявлена угроза замедления или полной блокировки развития Телеком IoT устройств в России из-за сильной зависимости от GSMA сертификации HW, SW, для организации connectivity устройств.
Лучшим решением данной проблематики является создание единого центра сертификации, используя опыт ФСБ РФ ЦЛСЗ, гос. стандарты (ГОСТ 34 и т.д.), но требуется отечественный поставщик eSIM чипсетов (реализация от АО Микрон еще не готова, работаем с поставщиками из Китая).
Да, да, верно, выполнить требования аппаратной защищенности softSIM можно на отдельном аппаратно-защищенном чипсете, соответствующего требованиям ФСБ РФ.

Но, кажется есть решение проще.
Оценка рисков.
И с моей точки зрения, бизнес в праве сам выбирать, стоит ли пренебречь аппаратно-защищенным чипсетом за ХХХ рублей, и полноценно использовать soft-SIM технологию «без оплатно», не платя за аппаратно-защищенный чипсет, eSIM чипсет или сим карту.
Согласитесь, скомпрометированный трекер за 1000 рублей не является причиной, по которой данной технологией нельзя пользоваться.

Ниже представлен Рис. 13. Потенциальный процесс легализации технологии Soft-SIM в России.

Рис. 13. Потенциальный процесс легализации технологии Soft-SIM в России.

Рис. 13. Потенциальный процесс легализации технологии Soft-SIM в России.

Похожее решение по созданию единого государственного центра сертификации GSM устройств реализовано в материковом Китае. Организация CAICT является полным аналогом GSMA, реализуя тот же функционал в рамках одного государства.

Рис. 14. Аналогия GSMA центра сертификации с решением в Китае и РФ.

Рис. 14. Аналогия GSMA центра сертификации с решением в Китае и РФ.

Раздел 5. Сложности внедрения softSIM в России. Тестовая реализация ЕЦС.

Решение найдено. Тестовый ЕЦС готов.

Создание тестового ЕЦС в рамках работы над проектами Лаборатории IoT было проведено в 2022 году, совместно с ООО «Майсимтех»

Рис. 15. Архитектура тестового ЕЦС, созданного в Лаборатории Интернета Вещей ПАО Сбербанк

Рис. 15. Архитектура тестового ЕЦС, созданного в Лаборатории Интернета Вещей ПАО Сбербанк

Как работает?
Все сертификаты выдаются национальным удостоверяющим центром (далее — УЦ).
В частности, национальным УЦ выдаются следующие сертификаты:

  1. Корневой сертификат CERT.CI.SIG;

  2. Сертификат производителя CERT.EUM.SIG;

  3. CERT.DP.TLS для TLS;

  4. CERT.DPauth.SIG / CERT.DPpk.SIG для SM-DP+. ООО «Майсимтех» осуществляет создание ключей eUICC и заверение их своим сертификатом CERT.EUM.SIG, создание CERT.EUICC.SIG. В соответствии с SGP.22 криптографический алгоритм построен на основе схемы DiffieHellman в соответствии с BSI TR-03111. Поддержка GSMA сертификатов сохраняется. Российские решения начинают поддерживать два ISD домена одновременно.

Раздел 5. Сложности внедрения softSIM в России. Финальное решение.

Пройдя все испытания, ниже представлена финальная реализация.

Рис. 16. Архитектура легальной реализации продуктов на базе soft-SIM.

Рис. 16. Архитектура легальной реализации продуктов на базе soft-SIM.

Рис. 16. Архитектура легальной реализации продуктов на базе soft-SIM.

Раздел 6. Киберзащищенность GSM модемов.

Но, к сожалению, как я говорил ранее, бизнес в праве сам оценивать риски, и без ложки дегтя не обошлось.
Лабораторией IoT Сбербанк выявлены различные уязвимости архитектуры GSM модемов силами команды Bi.ZONE.
До производителей доведены задачи по усилению защиты.
Работы проведены. Выводы сделаны.

Рис. 17. Демонстрация обхода проверки подписи, GSM модем SLM320C.

Рис. 17. Демонстрация обхода проверки подписи, GSM модем SLM320C.

Рис. 18. Ошибка проверки подписи образца во встроенной flash-памяти, GSM модем SLM320C.

Рис. 18. Ошибка проверки подписи образца во встроенной flash-памяти, GSM модем SLM320C.

Рис. 19. Обход проверки подписи, GSM модем SLM320C.

Рис. 19. Обход проверки подписи, GSM модем SLM320C.

Рис. 20. Внешний вид функции app_main, загруженной в дизассемблер SIM800C.

Рис. 20. Внешний вид функции app_main, загруженной в дизассемблер SIM800C.

ВЫВОДЫ:

  1. Возможность отказа от пластика существует. Технология softSIM позволяет осуществить возможность записи более 10 профилей операторов одновременно в память устройства

  2. В результате чего логистика доставки сим карт упростится, также решится проблема «выбора лучшего покрытия»

  3. Произойдет уменьшение устройства за счет удаления SIM CARD HOLDER с плат, что приведет к увеличению надежности устройства

  4. Дополнительно повысится надежность устройства (удаление физических контактных площадок для смарт карт)

  5. В случае наличия защищенного хранилища на устройстве возможно решать дополнительные задачи, такие как цифровой идентификации (электронная подпись, шифрование)

  6. Разработка собственной или внедрение партнерской SM-DP+ с поддержкой отечественных корневых сертификатов позволяет избавиться от зависимости от GSMA (аналогичный путь прошел Китай)

  7. Необходима разработка или внедрение партнерских программ (IoT cloud) для управления парком устройств (бюджет 100+ млн. руб.)

  8. Потребуется одобрение схемы с применением ГОСТ сертификатов в МинЦифре, с выпуском соответствующего распоряжения, в т.ч. разъясняющего порядок применения Российских алгоритмов применяемые к softSIM

  9. Необходимо появление ЕСЦ, альтернативы GSMA на базе Единого Центра Сертификации Сбербанка

© Habrahabr.ru