В подавляющем большенстве случаев — нет. Максимум что возможно — разработать STK-аплет для карт с функциями STK OtA и смириться с тем, что у карты последовательный интерфейс с одной ногой, к тому же ограничится протоколами SIM-карт. То есть для часов однозначно не подойдет, а вот если хранить какие-то секретные вещи — то возможно.
https вам не поможет, ибо проблему с проверкой вашей аутентичности (двухсторонняя аутентификация в данном случает) никто не отменял. В таком случае понадобиться централизованый сертификационный центр (издательство сертификатов инфраструктуры X.509), который будет доверительным для всех операторов.
Знаете к чему это ведет? К монополии. Ровно к такой же, какой законодательно является МТТ.
В таком случае кто вам мешает попросту следать межгосударственный HLR/HSS? Смысл тот же самый.
Так что для нас с вами выгоднее иметь идентификационный модуль, чем монополию и все что с ней связано.
Кстати, не путайте аутентификацию с авторизацией. У нас нет аутентификации по номеру телефона. Есть проверка принадлежности лицу, это разные вещи.
Вы перемешиваете симмитричное шифрование и шифрование с открытым ключем. Ki ни при каких условиях нельзя передавать явно. SIM-карта — это физический контейнер, в котором передается экземпляр IMSI/Ki. Весьма надежно.
В информационной безопасности есть простое правило — нельзя передавать ключ, используемые для декодирования, по тем каналам, по которые используются для передачи эффективных данных — слишком скомпромитировать легко. Тут на этом весь бизнес живет.
То есть в такой ситуации (если ключик в телефоне), для первичного подключения вам нужно нести телефон оператору, иначе подлинность не гарантируется. Ничего не напоминает? Времена DAMPS и MNT давно прошли, в их закате поучаствовал и данный фактор.
Вы бы про S@T еще рассказали в статье. Кстати, оно себя изжило — идея устарела, да и нагрузка на сигнальные линки ненужная… Это как мертворожденный WAP 1.0
А что вы имеете ввиду под обновлением? OTA — очень редко или никогда. Закупки деверсифицированы, ОпСоСы закупают карты сразу у нескольких вендоров совершенно карты разных технологий. Разработка STK по разному проходит. Когда отдают производителям SIM-ок, когда еще где-то аутсорсят. Иногда сами…
Это для вас, разработчиков так, а для бизнеса — одну фичу включил и цена другая. При объемах закупок в миллионы даже цент играет роль. У нас в начале 2000-х, когда экспериментировали с STK, был продукт на шлюмовских джава-картах… При цене СИМ-ки в бакс тогда, СТК-шная стоила четыре.
Автор писал немного о другом: есть платформа: смарт-карта с ее ОС. Хочешь получить SIM-ку — заливаешь апплет «СИМ-карта», хочешь банковскую — заливаешь «Виза».
Интерграция с Visa и MC тут никак, NFC — это несколько другое. Но именно так сейчас модно. Ранее были только STK-аплеты банк-клиентов.
Ну про «конкурентное приимущество» вы загнули, конечно. Тут скорее играла цена «болванок» в эпоху активного роста абонентской базы и строительства сети.
Работаю в «операторах» с 2001 года.
Основной софт для клонирования вроде VoronScan и SIMEMU Configurator разработал в 2-5 годах… Пик популярности как раз тогда был. И карт в 7-9 году с COMP128-1 у народа навалом. Я вам это по собственной практике говорю. :)
Не. У Мегафона был COMP128-1, проблема была в другом. Мегафон зарулил под спецслужбы счетчик реаутентификаций (извините, уже из головы вылетело, так ли это называется) до 16000 проходов, у МТС и Би он всегда был на 65000.
Учитывая то, что в среднем с дырявым A8 для вычисления ключа требовалось 12000-30000 проходов, шансы вычислить ключик на Мегафоновских симках были нечтожно малы.
Знаете к чему это ведет? К монополии. Ровно к такой же, какой законодательно является МТТ.
В таком случае кто вам мешает попросту следать межгосударственный HLR/HSS? Смысл тот же самый.
Так что для нас с вами выгоднее иметь идентификационный модуль, чем монополию и все что с ней связано.
Кстати, не путайте аутентификацию с авторизацией. У нас нет аутентификации по номеру телефона. Есть проверка принадлежности лицу, это разные вещи.
В информационной безопасности есть простое правило — нельзя передавать ключ, используемые для декодирования, по тем каналам, по которые используются для передачи эффективных данных — слишком скомпромитировать легко. Тут на этом весь бизнес живет.
То есть в такой ситуации (если ключик в телефоне), для первичного подключения вам нужно нести телефон оператору, иначе подлинность не гарантируется. Ничего не напоминает? Времена DAMPS и MNT давно прошли, в их закате поучаствовал и данный фактор.
Интерграция с Visa и MC тут никак, NFC — это несколько другое. Но именно так сейчас модно. Ранее были только STK-аплеты банк-клиентов.
Работаю в «операторах» с 2001 года.
Учитывая то, что в среднем с дырявым A8 для вычисления ключа требовалось 12000-30000 проходов, шансы вычислить ключик на Мегафоновских симках были нечтожно малы.