در ایالات متحده، فناوری احراز هویت مشترک در حال افزایش است - پروتکل SHAKEN / STIR. بیایید در مورد اصول عملکرد آن و مشکلات بالقوه اجرای آن صحبت کنیم.
/flickr/ /
مشکل در تماس ها
تماسهای روبوی ناخواسته رایجترین دلیل شکایات مصرفکنندگان به کمیسیون تجارت فدرال ایالات متحده است. در سال 2016 این سازمان ، یک سال بعد این رقم از هفت میلیون فراتر رفت.
این تماسهای هرزنامه فقط وقت مردم را نمیگیرد. از خدمات تماس خودکار برای اخاذی استفاده می شود. به گزارش YouMail، در سپتامبر سال گذشته، 40 درصد از چهار میلیارد روبو تماس می گیرند . در طول تابستان 2018، نیویورکی ها حدود XNUMX میلیون دلار از انتقال به مجرمانی که از طرف مقامات با آنها تماس گرفته و پول اخاذی می کردند، از دست دادند.
این مشکل مورد توجه کمیسیون ارتباطات فدرال ایالات متحده (FCC) قرار گرفت. نمایندگان سازمان ، که شرکت های مخابراتی را ملزم به پیاده سازی راه حلی برای مبارزه با هرزنامه های تلفنی کرد. این راه حل پروتکل SHAKEN/STIR بود. در ماه مارس، آزمایش مشترک AT&T و Comcast.
پروتکل SHAKEN/STIR چگونه کار می کند
اپراتورهای مخابراتی با گواهیهای دیجیتال (که مبتنی بر رمزنگاری کلید عمومی هستند) کار خواهند کرد که امکان تأیید تماس گیرندگان را فراهم میکند.
روند تایید به شرح زیر انجام خواهد شد. ابتدا اپراتور شخصی که تماس برقرار می کند یک درخواست دریافت می کند برای ایجاد ارتباط دعوت کنید. سرویس احراز هویت ارائه دهنده اطلاعات مربوط به تماس - مکان، سازمان، جزئیات مربوط به دستگاه تماس گیرنده را تأیید می کند. بر اساس نتایج بررسی، تماس به یکی از سه دسته اختصاص مییابد: الف - تمام اطلاعات تماسگیرنده مشخص است، ب - سازمان و مکان مشخص است و ج - فقط موقعیت جغرافیایی مشترک مشخص است.
پس از آن، اپراتور یک پیام با مهر زمان، دسته تماس و پیوند به یک گواهی الکترونیکی را به سربرگ درخواست INVITE اضافه می کند. در اینجا نمونه ای از چنین پیامی آورده شده است یکی از مخابرات آمریکا:
{
"alg": "ES256",
"ppt": "shaken",
"typ": "passport",
"x5u": "https://cert-auth.poc.sys.net/example.cer"
}
{
"attest": "A",
"dest": {
"tn": [
"1215345567"
]
},
"iat": 1504282247,
"orig": {
"tn": "12154567894"
},
"origid": "1db966a6-8f30-11e7-bc77-fa163e70349d"
}
علاوه بر این، درخواست به ارائه دهنده مشترک فراخوانده شده می رود. اپراتور دوم پیام را با استفاده از کلید عمومی رمزگشایی می کند، محتوا را با SIP INVITE مقایسه می کند و صحت گواهی را تأیید می کند. فقط پس از آن ارتباط بین مشترکین برقرار می شود و طرف "دریافت کننده" اطلاعیه ای در مورد اینکه چه کسی با او تماس می گیرد دریافت می کند.
کل فرآیند تأیید را می توان با یک نمودار نشان داد:
به گفته کارشناسان، تأیید تماس گیرنده بیش از 100 میلی ثانیه نیست.
نظرات
مانند در انجمن USTelecom، SHAKEN/STIR به افراد کنترل بیشتری بر تماسهایی که دریافت میکنند، میدهد و تصمیم گیری در مورد اینکه آیا تلفن را بردارند یا نه.
در وبلاگ ما بخوانید:
اما این نظر در صنعت وجود دارد که پروتکل به "گلوله نقره ای" تبدیل نخواهد شد. کارشناسان می گویند کلاهبرداران به سادگی از راه حل ها استفاده می کنند. ارسالکنندگان هرزنامه میتوانند یک PBX «ساختگی» را در شبکه اپراتور به نام یک سازمان ثبت کنند و همه تماسها را از طریق آن انجام دهند. در صورت مسدود شدن سانترال، به سادگی امکان ثبت نام مجدد وجود خواهد داشت.
بر نماینده یکی از مخابرات، تأیید ساده مشترک با استفاده از گواهینامه ها کافی نیست. برای جلوگیری از کلاهبرداران و هرزنامهها، باید به ISPها اجازه دهید تا به طور خودکار چنین تماسهایی را مسدود کنند. اما برای این کار، کمیسیون ارتباطات باید مجموعه جدیدی از قوانین را تدوین کند که این روند را تنظیم کند. و FCC می تواند در آینده نزدیک با این موضوع برخورد کند.
از ابتدای سال، نمایندگان کنگره لایحه جدیدی که کمیسیون را ملزم به ایجاد مکانیسم هایی برای محافظت از شهروندان در برابر تماس های رباتیک و نظارت بر اجرای استاندارد SHAKEN / STIR می کند.
/flickr/ /
لازم به ذکر است که SHAKEN/STIR در T-Mobile - برای برخی از مدل های تلفن هوشمند و برنامه ریزی برای گسترش دامنه دستگاه های پشتیبانی شده - و - مشتریان اپراتور آن می توانند برنامه ویژه ای را دانلود کنند که در مورد تماس های شماره های مشکوک هشدار می دهد. سایر اپراتورهای آمریکایی همچنان در حال آزمایش این فناوری هستند. انتظار می رود آنها تا پایان سال 2019 آزمایشات خود را تکمیل کنند.
چه چیز دیگری در وبلاگ ما در Habré بخوانید:
منبع: www.habr.com