In den USA gewinnt die Abonnentenauthentifizierungstechnologie an Bedeutung – das SHAKEN/STIR-Protokoll. Lassen Sie uns über die Funktionsprinzipien und mögliche Implementierungsschwierigkeiten sprechen.
/flickr/ /
Problem mit Anrufen
Unaufgeforderte Robo-Anrufe sind der häufigste Grund für Verbraucherbeschwerden bei der US-amerikanischen Federal Trade Commission. Im Jahr 2016 wurde die Organisation , ein Jahr später überstieg diese Zahl sieben Millionen.
Diese Spam-Anrufe kosten nicht nur Zeit. Automatische Anrufdienste werden genutzt, um Geld zu erpressen. Laut YouMail entfielen im September letzten Jahres 40 % der vier Milliarden Robo-Anrufe . Im Sommer 2018 verloren New Yorker etwa drei Millionen US-Dollar an Überweisungen an Kriminelle, die sie im Auftrag der Behörden anriefen und Geld erpressten.
Das Problem wurde der US-amerikanischen Federal Communications Commission (FCC) zur Kenntnis gebracht. Vertreter der Organisation , die Telekommunikationsunternehmen dazu verpflichtete, eine Lösung zur Bekämpfung von Telefon-Spam zu implementieren. Diese Lösung war das SHAKEN/STIR-Protokoll. Im März gemeinsame Tests AT&T und Comcast.
So funktioniert das SHAKEN/STIR-Protokoll
Telekommunikationsbetreiber werden mit digitalen Zertifikaten arbeiten (sie basieren auf der Public-Key-Kryptographie), die eine Verifizierung von Anrufern ermöglichen.
Das Verifizierungsverfahren läuft wie folgt ab. Zunächst erhält der Operator des Anrufers eine Anfrage EINLADEN, um eine Verbindung herzustellen. Der Authentifizierungsdienst des Anbieters überprüft die Informationen zum Anruf – Standort, Organisation, Details zum Gerät des Anrufers. Basierend auf den Ergebnissen der Prüfung wird der Anruf einer von drei Kategorien zugeordnet: A – alle Informationen über den Anrufer sind bekannt, B – Organisation und Standort sind bekannt und C – nur der geografische Standort des Teilnehmers ist bekannt.
Anschließend fügt der Betreiber dem INVITE-Anfrageheader eine Nachricht mit Zeitstempel, Anrufkategorie und einem Link zu einem elektronischen Zertifikat hinzu. Hier ist ein Beispiel für eine solche Nachricht einer der amerikanischen Telekommunikationsanbieter:
{
"alg": "ES256",
"ppt": "shaken",
"typ": "passport",
"x5u": "https://cert-auth.poc.sys.net/example.cer"
}
{
"attest": "A",
"dest": {
"tn": [
"1215345567"
]
},
"iat": 1504282247,
"orig": {
"tn": "12154567894"
},
"origid": "1db966a6-8f30-11e7-bc77-fa163e70349d"
}
Weiter geht die Anfrage an den Provider des angerufenen Teilnehmers. Der zweite Operator entschlüsselt die Nachricht mithilfe des öffentlichen Schlüssels, vergleicht den Inhalt mit dem SIP INVITE und überprüft die Authentizität des Zertifikats. Erst danach wird eine Verbindung zwischen den Teilnehmern hergestellt und der „Empfänger“ erhält eine Benachrichtigung darüber, wer ihn anruft.
Der gesamte Verifizierungsprozess kann durch ein Diagramm dargestellt werden:

Laut Experten Anruferverifizierung nicht länger als 100 Millisekunden.
Meinungen
Как Im USTelecom-Verband wird SHAKEN/STIR den Menschen mehr Kontrolle über die Anrufe geben, die sie erhalten, und ihnen so die Entscheidung erleichtern, ob sie zum Telefonhörer greifen oder nicht.
Lesen Sie auf unserem Blog:
In der Branche herrscht jedoch die Meinung vor, dass das Protokoll keine „Wunderwaffe“ werden wird. Experten sagen, dass Betrüger einfach Workarounds nutzen. Spammer können im Netzwerk des Betreibers eine „Dummy“-PBX im Namen einer Organisation registrieren und alle Anrufe über diese tätigen. Im Falle einer PBX-Sperrung ist eine einfache Neuanmeldung möglich.
Auf Vertreter eines Telekommunikationsunternehmens reicht eine einfache Verifizierung des Teilnehmers anhand von Zertifikaten nicht aus. Um Betrüger und Spammer zu stoppen, müssen Sie ISPs erlauben, solche Anrufe automatisch zu blockieren. Dafür muss die Kommunikationskommission jedoch ein neues Regelwerk entwickeln, das diesen Prozess regelt. Und die FCC kann sich in naher Zukunft mit diesem Problem befassen.
Seit Anfang des Jahres Kongressabgeordnete ein neuer Gesetzentwurf, der die Kommission dazu verpflichten wird, Mechanismen zum Schutz der Bürger vor Robo-Anrufen zu entwickeln und die Umsetzung des SHAKEN/STIR-Standards zu überwachen.

/flickr/ /
Es ist zu beachten, dass SCHÜTTELN/RÜHREN in T-Mobile – für einige Smartphone-Modelle und planen, die Palette der unterstützten Geräte zu erweitern – und - Kunden des Betreibers können eine spezielle Anwendung herunterladen, die vor Anrufen von verdächtigen Nummern warnt. Andere US-Fluggesellschaften testen die Technologie noch. Die Tests werden voraussichtlich bis Ende 2019 abgeschlossen sein.
Was Sie sonst noch in unserem Blog über Habré lesen können:
Source: habr.com
