모바일 서명

모바일 서명은 휴대 전화나 휴대 전화의 SIM 카드에서 생성되는 디지털 서명이다.

용어의 기원

m사인

이 용어는 mSign(모바일 전자서명 컨소시엄의 줄임말)을 소개하는 글에서 처음 등장했다. 1999년에 설립되어 35개의 회원사로 구성되어 있다. 2000년 10월 컨소시엄은 서비스 제공업체가 휴대전화 가입자로부터 모바일(디지털) 서명을 받을 수 있도록 하는 프로토콜을 정의하는 XML-인터페이스(XML-interface)를 발행했다.

2001년 엠시그널은 브로캣(창업기업 중 하나)도 독일에서 휴대전화로 디지털 서명을 생성해 공정 특허를 취득한 사실이 드러나면서 업계 전반의 커버력을 얻었다.

ETSI-MSS 표준화

그 후 폴 깁슨(G&D)과 로마리 뒤푸이(프랑스 텔레콤)가 유럽전기통신표준연구소(ETSI)에서 표준화 작업에 사용하였으며 ETSI 기술보고서 TR 102 203에 발표되었다.

ETSI-MSS 규격은 모바일 서명 서비스를 구현하는 시스템을 위한 SOAP 인터페이스와 모바일 서명 로밍을 정의한다. ETSI TS 102 204 및 ETSI TS 102 207.

오늘

이 모바일 서명은 여러분 자신의 습식 서명과 동등한 법적 효력을 가질 수 있으며, 따라서 스위스 시캅이 만든 상업용어인 "모바일 잉크"라는 용어를 사용한다. 이 밖에 로밍 모바일 시그니처 프레임워크 모빌리바멘을 구현하는 핀란드 이동통신 3사의 신탁통계에 의한 「모빌 ID」, 「모빌리바멘」 등이 있다.

전자서명에^[1] 대한 EU 지침에 따르면 서명 작성 체인의 모든 구성요소가 적절히 인증되면 모바일 서명은 수기서명과 동일한 수준의 보호를 받을 수 있다. 모바일 서명 생성 장치 및 수기 서명에 상응하는 관리 표준은 전자 서명 지침에 따라 전자 서명 제품에 대해 일반적으로 인정된 표준의 참조 번호 발행에 관한 2003년 7월 14일 위원회 결정 2003/511/EC에 설명되어 있다.^[2] 서명 솔루션이^[buzzword] 독립 당사자가 평가하고 EAL4+로 지정한 공통 기준이라면, 해결책은^[buzzword] EU 지침과 그에 따른 명확화가 적격 전자 서명이라고 부르는 것을 생산할 수 있다. 현재 표준은 2002/2003년으로 거슬러 올라가 2012년 말까지 갱신 및 발행되는 과정에 있다.^[3] 전부는 아니더라도 대부분의 모바일 서명 구현은 EU 지침이 고급 전자 서명이라고 부르는 것을 생성한다.

가장 성공적인 모바일 서명 솔루션은^[buzzword] 수백만 명의 사용자가 있는 터키,^[4] 리투아니아,^[5] 에스토니아^[6], 핀란드에서 찾을^[7]^[8] 수 있다.

기술적으로 모바일 서명은 기기(SIM 카드)에 대한 요청이 도달했을 때 보안 모듈에 의해 생성되며, 몇 가지 설명 프롬프트가 있는 사용자에게 이 요청을 소개한 후 장치는 올바른 사용자만 알아야 하는 비밀 코드를 요구한다. 보통 이것은 PIN의 형태다. 액세스 제어 암호를 올바르게 입력한 경우 RSA 개인 키와 같이 포함된 비밀 데이터에 대한 액세스를 승인한 다음, 요청에서 원하는 서명 또는 기타 작업을 수행하는 데 사용된다.

PKI 시스템은 보안 장치에 보관되어 있는 비밀키의 공개키 상대방과 디지털 인증서라는 구조에 포함된 속성 집합을 연결한다. 이 디지털 인증서에 포함된 속성의 정의 중 등록 절차 세부사항의 선택은 다른 수준의 신원보증을 생성하는 데 사용될 수 있다. 익명이지만 특정된 단어에서 높은 수준의 실제 단어 정체성에 이르기까지 모든 것. 서명을 함으로써 보안 장치 소유자는 그 신원을 주장할 수 있다.

따라서 모바일 서명은 다음을 위한 고유한 기능이다.

대면 커뮤니케이션 없이 타사에 실제 고객 ID 입증
다른 당사자에게 확인 메시지를 발송하여 법적 구속력을 갖는 약속
신원 확인을 통해 온라인 세계의 보안 문제 해결(익명하지만 구체적인 신분은 높은 수준의 신분 확인과 동등하게 좋은 경우가 많다)

공공서비스

에스토니아 모바일 ID

[1]을 참조하십시오.

이란의 파르스MSS

파스 모바일 시그니처 서비스 프로젝트(ParsMSS)는 2011년 이후 처음으로 이란에서 설계·제작됐다. ParsMSS(Pars Mobile Signature Services)는 SIM-Based와 SIM-less의 두 가지 방법으로 제공될 수 있다. 등록기관(RA)이 이 서비스에 접속해 직접 또는 원격으로 전자증명서를 발급한다. 이 서비스로 금융거래와 서류는 디지털로 서명할 수 있다.

모바일 잉크(핀란드)

모바일 잉크는^[9] 강력한 인증과 인가를 필요로 하는 디지털 서비스에 높은 보안과 사용자 친화적인 접근을 통합한다. 가입자는 예를 들어 모바일 서명이 m은행이나 기업 애플리케이션에 접속할 수 있다. 모바일 잉크는 Methics Oy가 Kiuru MSSP 플랫폼에^[10] 있는 Sicap 빌딩의 모바일 시그니처 솔루션과^[buzzword] 연관된 상용어다.^[11]^[12]

플랫폼은 여러 개의 키와 뚜렷한 등록 절차를 가진 관련 ID의 동시적 존재를 허용한다. 예를 들어 RSA Secure를 대체하는 데 사용됨회사 액세스 응용 프로그램에서 익명이지만 특정 ID를 가진 ID 동글.

모빌리바멘(핀란드)

모바일 인증서. 핀란드어 모빌리바멘은^[13] 핀란드 시장 공간에서 이동통신 3사 엘리사, 소네라, DNA가 구축한 로밍 모바일 시그니처 솔루션을^[buzzword] 기술할 때 사용하는 용어다.

이 설정은 국가통신기술조정그룹 FiCom 산하 3개 사업자 모두 공동운영으로 개발됐으며, 멀티벤더 소프트웨어 환경에서 ETSI 102 207 로밍 서비스 메쉬를 완전기능 공동운영한 세계 최초 시스템이다. 또 다른 국가적인 특징은 휴대폰 번호가 사업자 전체에서 휴대할 수 있어 전화번호 접두사가 사업자를 식별하지 못한다는 것이다. 애플리케이션 제공자들이 쉽게 처리할 수 있도록(ETSI TS 102 204 참조), 그들은 취득하는 기업 서비스 제공자들 중 하나로부터 서비스를 구입할 수 있고, 모든 이용자들에게 도달할 수 있다.

배경의 일부는 경찰서를 통해 공식 등록 기관이 아닌 다른 당사자도 디지털 개인 신원 증명서를 발급할 수 있도록 허용하는 국가 법률의 개정이었다. 또 다른 부분은 인증서의 형태에 대한 사업자간의 협력 협약, 유사한 신분증 발급 추적성을 가진 유사한 인증 내용을 생산하는 인증 절차와 관행이었다. 이 모든 것은 핀란드 통신 규제 당국에 의해 검토되고 승인되었는데, 핀란드 통신 규제 당국에서는 정부 등록 기관에서도 신원 등록 서비스의 감독을 담당하고 있다.

우크라이나의 모바일 ID

우크라이나에서는 2015년부터 모바일 ID 사업이 시작됐고, 이후 EU가 지원하는 우크라이나 정부의 우선순위 중 하나로 선언됐다. 2018년 초 우크라이나 셀 사업자들은 국내외 개발자들의 제안과 테스트 플랫폼을 평가하고 있다. 플랫폼 선정에 이어 종합 인증 절차가 진행된다. 우크라이나(2018년 2월 19일 기준)에서 합법적으로 사용이 허용된 암호 정보 보호 도구^[14](및 제조업체 목록).

몰다비아 모바일 ID

엠파스

오스트리아의 핸디 시그너처

오스트리아는 2003년까지 Bürgerkarte(스마트카드와의 전자서명 포함)의 기술로서 모바일 서명을 시작했다. 그것은 오스트리아에서 제공되었지만 2007년에 끝났다. 2009년에 Handy-Signatur라는 이름을 가진 재점프 후, 2014년까지 성인 거주자의 5%인 300,000명 이상이 등록된 모바일 서명을 소유하고 있을 정도로 잘 사용되고 있다. 오스트리아 정부, 국립은행, 그라츠 공과대학이 관리하고 있다. 요청에 따라 전송된 TAN이 Bei SMS를 기반으로 하며, 개인 PIN으로 확인된다.^[15] 1999/93/EG 서명에 따르면 핸디-시그니처 사인은 손으로 쓴 사인과 완전히 동등하다.

기술 제공업체

모바일 ID

제말토 기업인 발레모 와이어리스는 세계 최초로 모바일 시그니처 솔루션을^[buzzword] 시장에 선보이며 모바일 ID라는 용어를 만들었다. 투르크셀에 의한 터키의 초기 모바일 서명 솔루션은^[buzzword] 매우 성공적인 모바일 서명 솔루션을 구현하기 위해 Valimo 기술을 사용했다.^[buzzword]^[16]^[17] 현재 Valimo Mobile ID는 여러 국가에서 사용되고 있다.

키루 MSSP

메틱스 오이는 개인 소유의 핀란드 기술 회사로 PKI와 MSSP 서비스에 대한 전문성이 강하다. Kiuru MSSP 제품 라인은 여러 서비스 및 솔루션^[buzzword] 공급업체에 의해 직접 그리고 OEM 제품으로 사용된다.

ID 허브 – 모바일 ID

Innovation Development HUB LLC에 의한 모바일 ID 플랫폼은 우크라이나에서 이미 국가 인증을 통과한 유일한 전자식별 및 모바일 서명 솔루션이다^[buzzword]. 포스트-소비에트 및 유럽 암호 알고리즘을 모두 사용하므로 플랫폼이 CIS 및 EU PKI에 적합하다.

지앤디 스마트트러스트

G&D SmartTrust는 1990년대 후반 개발된 암호화 플러그인이 탑재된 SIM 카드 내장 WAP 브라우저의 원조 공급업체로 WIB(Wireless Internet Browser)라고 불린다. WIB 기술은 스마트트러스트에 의해 많은 SIM 카드 제조업체에 라이선스되어 있으며, 이동 통신사는 MSSP 서비스 사용이 가능한 일반 사용자 기반에서 WIB 기능이 있는 카드를 즉시 사용할 수 있도록 선택할 수 있다. SmartTrust의 MSSP 오퍼링은 SmartLicentio라고 불린다.

보안 문제

인증은 채택된 계략에 따라 여전히 중간 공격과 트로이 목마에 취약할 수 있다.^[18] 1회성 비밀번호 생성기, 2인자 인증과 같은 체계로는 인터넷과 같은 개방형 네트워크에 대한 중간 공격을 완전히 해결하지는 못한다.^[19] 그러나, 모바일/GSM과 같은 병렬 폐쇄 네트워크와 디지털 서명이 가능한 SIM 카드로 인터넷에서의 인증을 지원하는 것은 이러한 유형의 공격에 대항하여 오늘날 가장 안전한 방법이다. 애플리케이션 제공자가 인터넷 사이트와 이동통신사에 서명할 거래에 대한 상세한 설명과 서명 요청을 모두 제공한다면, 두 화면을 비교할 때 개인에 의해 쉽게 공격을 인식할 수 있다. 이통사는 애플리케이션이 서명요청을 무료로 보내도록 하지 않기 때문에, 애플리케이션 제공자와 이통사 간 침입의 비용과 기술성은 이를 실현 불가능한 공격 대상으로 만든다. 그럼에도 불구하고 여러 곳에서 공격이 발생한 증거가 있었다.

온보드 키 생성 포함

모바일 사용자가 등록 과정에서 보안 SIM 카드 내에서 sPIN(사인 PIN)과 비밀키를 온라인으로 생성할 때 이를 "온보드 키 생성"^[20]이라고 한다. 이를 위해서는 등록하는 동안 사용자를 대신하여 조금 더 많은 상호작용이 필요하지만, 한편으로는 보안 모드 상호 작용 프로세스를 친숙하게 만들어 서비스 사용을 연습할 수 있게 한다. 또한 사용자가 생성된 키와 관련된 PIN을 잊어버리거나 잠글 경우, 새 키를 생성하고 원래 등록과 동일한 프로세스를 사용하여 이전 버전을 파괴하는 새로운 sPIN을 할당하는 것이 간단하며, 가장 중요한 것은 SIM 카드를 교체할 필요 없이이다. 이러한 시스템에서는 일반적으로 2차 서명 PIN 차단 해제 코드(sPUK)가 전혀 존재하지 않는데, 그러한 코드의 공개는 원래 사람의 신원 등록과 마찬가지로 요청자의 신원 확인에 대한 요구조건을 충족하기 때문이다.^[21]

이를 온보드 키 생성을 하기에 처리 능력이 부족한 구형 기술 SIM 카드에 대한 구형 "공장 생성 키" 모델과 비교해 보십시오. SIM 카드 공장은 특수 하드웨어 가속기로 키세대를 운영했으며 초기 sPIN, sPUK 코드와 함께 핵심 자료를 카드에 저장했다. 때때로 특수 제조 모드에서 실행 중인 SIM 카드 내에서 실제 발생이 발생하기도 했다. 세대를 거쳐서 그것을 하는 능력은 보통 특수 제어 퓨즈를 불어서 비활성화되었다. 특히 sPUK 코드를 전달하면 상당한 보안 정보 물류 문제가 발생하는데, 이는 온보드 키 생성의 사용으로 완전히 피할 수 있다.

투르크셀은 고객이 심카드를 받은 후 서명 및 유효성 확인 키 쌍을 만들 수 있는 '온보드 키 생성' 기능을 갖춘 모바일 서명 서비스를 최초로 출시한 업체다. 이러한 방식으로 GSM 사업자는 서명 PIN을 고객에게 배포할 필요가 없다. 고객은 스스로 자신의 sPIN을 새롭게 만들 수 있다.^[22]

2010년 핀란드 모빌리브아멘^[23] 서비스를 도입하면서, 3명의 사업자 중 1명만이 사용자 상호 작용으로 이 온보드 키 생성 기능을 사용하기로 선택했다. 인용된 이유는 그것이 사용자에게 너무 힘들다고 주장했다. 실제 경험으로 볼 때, 그것이 없는 사람들은 어떠한 온라인 상태 표시도 없이 쉽게 비기능적인 등록을 만들었고, 온보드 키 생성의 사용은 서비스가 사용자에게 완전히 기능하게 되었을 때 항상 긍정적인 성공의 표시를 초래했다. 또한, 휴대 전화 버전에 SIM Application Toolkit 프로토콜에 문제가 있는 경우, 온보드 키 생성을 사용한 등록 과정 중에 즉시 명백해졌다.

용어의 기원에 대한 출처

mSign: MSign 형성 발표(독일어만 해당), 17.10.2000^[24]
MoSign: Materna Monitor - 회사 잡지, 2004년^[25] 12월
MoSign: International Herald Tribune 기술 개요, 26.3.1001^[26]
MobilImza: 투르크셀 모빌 임자 10.3.28^[27]^[28]

참고 항목

SecMsg

참조

^ "EUR-Lex - 31999L0093 - EN - EUR-Lex". eur-lex.europa.eu.
^ "EUR-Lex - 32003D0511 - EN - EUR-Lex". eur-lex.europa.eu.
^ "Trust Services and Electronic identification (eID)" (PDF).
^ "Gemalto's website has moved to Thales".
^ "Elektroninis.lt".
^ "Mobile-ID — e-Estonia". e-estonia.com.
^ "ENG - Mobiilivarmenne".
^ "Suomi.fi". www.suomi.fi.
^ "Mobile Ink".
^ "Kiuru MSSP products". Methics Oy. 9 February 2016.
^ 메틱스 오이
^ "Sicap and Methics Partner". Sicap.
^ "News in English". Mobiilivarmenne portal. Retrieved 30 June 2013.
^ "Державна служба спеціального зв'язку та захисту інформації України". www.dsszzi.gov.ua. Retrieved 2018-02-19.
^ Das Kann die Handy-Signatur, www.buergerkarte.at; Die Bügerkarte, digitales.oesterreich.gv.at
^ "Gemalto's website has moved to Thales".
^ "Turkcell Selects Gemalto for World's Largest Mobile Signature Rollout". www.gemalto.com.
^ "Essays: Two-Factor Authentication: Too Little, Too Late - Schneier on Security". www.schneier.com.
^ Bicakci, Kemal; Unal, Devrim; Ascioglu, Nadir; Adalier, Oktay (2014). "Mobile Authentication Secure Against Man-In-The-Middle Attacks". Procedia Computer Science. 34: 323–329. doi:10.1016/j.procs.2014.07.031. ISSN 1877-0509.
^ "Support of SmartTrust OBKG function at Kiuru MSSP". Methics Oy.
^ "Key and PIN Life Cycle at Alauda WPKI Applet". Methics Oy.
^ (터키어로) Turkcell.com
^ "News in English". Mobiilivarmenne portal.
^ "mSign stellt Schnittstelle für mobilen E-Commerce vor - Golem.de".
^ "Materna-tmt.de".
^ "Breaking News, World News & Multimedia". www.iht.com.
^ (터키어로) Turkcell.com
^ (영어) Turkcellmobilesignature.com

[1] "EUR-Lex - 31999L0093 - EN - EUR-Lex". eur-lex.europa.eu.

[2] "EUR-Lex - 32003D0511 - EN - EUR-Lex". eur-lex.europa.eu.

[3] "Trust Services and Electronic identification (eID)" (PDF).

[4] "Gemalto's website has moved to Thales".

[5] "Elektroninis.lt".

[6] "Mobile-ID — e-Estonia". e-estonia.com.

[7] "ENG - Mobiilivarmenne".

[8] "Suomi.fi". www.suomi.fi.

[9] "Mobile Ink".

[10] "Kiuru MSSP products". Methics Oy. 9 February 2016.

[11] 메틱스 오이

[12] "Sicap and Methics Partner". Sicap.

[13] "News in English". Mobiilivarmenne portal. Retrieved 30 June 2013.

[14] "Державна служба спеціального зв'язку та захисту інформації України". www.dsszzi.gov.ua. Retrieved 2018-02-19.

[15] Das Kann die Handy-Signatur, www.buergerkarte.at; Die Bügerkarte, digitales.oesterreich.gv.at

[16] "Gemalto's website has moved to Thales".

[17] "Turkcell Selects Gemalto for World's Largest Mobile Signature Rollout". www.gemalto.com.

[18] "Essays: Two-Factor Authentication: Too Little, Too Late - Schneier on Security". www.schneier.com.

[19] Bicakci, Kemal; Unal, Devrim; Ascioglu, Nadir; Adalier, Oktay (2014). "Mobile Authentication Secure Against Man-In-The-Middle Attacks". Procedia Computer Science. 34: 323–329. doi:10.1016/j.procs.2014.07.031. ISSN 1877-0509.

[20] "Support of SmartTrust OBKG function at Kiuru MSSP". Methics Oy.

[21] "Key and PIN Life Cycle at Alauda WPKI Applet". Methics Oy.

[22] (터키어로) Turkcell.com

[23] "News in English". Mobiilivarmenne portal.

[24] "mSign stellt Schnittstelle für mobilen E-Commerce vor - Golem.de".

[25] "Materna-tmt.de".

[26] "Breaking News, World News & Multimedia". www.iht.com.

[27] (터키어로) Turkcell.com

[28] (영어) Turkcellmobilesignature.com

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

Search