> Проснитесь. Если бы вы прочитали все же хотя бы до третьего пункта,
> где написано, что PUK предлагается шифровать приватный ключ, хранящийся на флешке,Ну и от чего вас по вашему спасет пароль в виде 8 цифр, даже если допустить что это будет так? :) В случае SIM основная безопасность и невозможность клонирования карты достигнуты тем что ключ никогда не покидает пределы карты и карта сама считает ответ + число попыток ввода PIN/PUK лимитировано самой картой.
> то не выглядели бы, по меньшей мере, глупо.
Во всяком случае, я стандарты читал и не оперирую левой терминологией. В отличие от.
> Теперь по пунктам.
> 1. Это только один из вариантов его использования. Почему бы не использовать
> его для шифрования приватного ключа в симке, чтобы ничего не менять
> в телефонах - мне не ясно.
Смысл этой деятельности не очевиден. Пароль на 8 цифр (типовой PUK) все-равно спокойно ломается брутфорсом даже на CPU, а ключ Ki и так по стандарту не читаем с карты: карта получив на вход рандом сама вычисляет ответ соответствующий рандому. Телефон лишь проксирует запросы-ответы между сетью и картой и сам авторизацию не считает. Совсем. Поэтому при нормальной реализации ключ спереть вообще нельзя - он зашит где-то в симке и никак не доставабелен оттуда: стандарт явно требует заворачивать запросы чтения к этому файлу после завершения фазы продакшна, что и реализуется. Единственный придуманный метод достать ключ - накидать в карту кучу запросов и по куче ответов косвенно восстановить ключ Ki. Что однако ж возможно только если алгоритм вычисления ответа не криптографически стойкий. Первый COMP128 был с ляпом, но с тех пор успели сделать COMP128v2 или задействовать свои (не прописанные в стандарте) алгоритмы и применительно к современным симкам - ключ Ki может не получиться достать совсем никак (зависит от лени оператора и перешел ли он на COMP128v2 или какой-то свой аогоритм аутентификации).
> 2. А вот это меня удивляет. Если это действительно так, то звонить
> от имени пользователя ничего не стоит - достаточно инсайдерской информации от оператора.
Если уж на то пошло, используя инсайдерские методы и настроившись на криминал можно просто дописать вам в биллинг что вы якобы звонили туда-то и попали на столько-то. А поди докажи что не звонил.
Насколько я знаю, ключи Ki поставляются от производителей симок в шифрованном виде и прям так и вгружаются всем скопом для партии симкарт в оборудование, что делает тыринг отдельно взятого Ki не слишком простым начинанием. Просто потому что операция "а вот дайте мне Ki вот этого абонента" как-то не очень то и предусмотрена. Если кто из стаффа опсосов есть - пусть поправит если я прогнал.
> Вариант, когда запросы и ответы подписываются приватными ключами оператора
> и абонента и проверяются их публичными ключами выглядит более надежным.
... только вот в стандарте сие не заложено. Там нет никакой публичной криптографии, там обычный такой challenge-responce auth. В принципе он даже без явных изъянов, в том плане что ключи Ki как-то так исторически оптом никто никогда не крал и проблемы с их защитой в общем то никогда и не стояло. Карта не желающая отдавать наружу ключ и согласная только внутри себя считать ответ - неплозая защита от тыринга ключа сама по себе, а с операторской стороны меры безопасности приличные, т.к. если кто сопрет блок Ki для партии сим и сольет налево - оператор опупеет потом от объема влета на бабки.
> Впрочем никто не мешает передать абоненту этот Ki зашифрованный сессионным ключом.
А смысл? Ki и так в общем случае даже легитимному пользователю получить нетривиально. Нет смысла воевать с ветряными мельницами.
> 3. А вот это уж точно никому не нравится.
В принципе SIM всего лишь "модуль идентификации". Ее доступ во внешний мир сильно ограничен проксей-телефоном. Если фирмваре оного играет на вашей стороне - симка зажата MITM'ом в очень узкие рамки и ничего таокго не может. Правда есть опять же SIM application toolkit который вообще-то слегонца зонд т.к. позволяет симке более продвинуто взаимодействовать с аппаратом, например добавляя свое меню. Вот так оператор уже может более-менее заметно испортить кровь абоненту + делать с симкартой много сомнительных вещей (вплоть до возможности слить дамп адресбука/sms в сим по какомунить самопальному протоколу поверх SAT, правда нынче телефоны имеют свойство не юзать адресбук и смс в симкарте в силу убогости фичи, так что в этом плане большого брата может посетить заяц несудьбы).