Negli Stati Uniti, la tecnologia di autenticazione degli abbonati, il protocollo SHAKEN/STIR, sta guadagnando slancio. Parliamo dei principi del suo funzionamento e delle potenziali difficoltà di implementazione.
/flickr/
Problema con le chiamate
Le chiamate automatiche non richieste sono la causa più comune di reclami dei consumatori alla Federal Trade Commission. Nel 2016 l'organizzazione
Tali chiamate spam non portano via solo tempo alle persone. I servizi di chiamata automatizzata vengono utilizzati per estorcere denaro. Secondo YouMail, nel settembre dello scorso anno, il 40% dei quattro miliardi di chiamate robotizzate
Il problema è stato portato all'attenzione della Federal Communications Commission (FCC) degli Stati Uniti. Rappresentanti dell'organizzazione
Come funziona il protocollo SHAKEN/STIR
Gli operatori di telecomunicazioni lavoreranno con certificati digitali (sono costruiti sulla base della crittografia a chiave pubblica), che consentiranno loro di verificare i chiamanti.
La procedura di verifica si svolgerà come segue. Innanzitutto, l'operatore della persona che effettua la chiamata riceve una richiesta
Successivamente l'operatore aggiunge nell'intestazione della richiesta INVITE un messaggio con timestamp, categoria di chiamata e collegamento al certificato elettronico. Ecco un esempio di tale messaggio
{
"alg": "ES256",
"ppt": "shaken",
"typ": "passport",
"x5u": "https://cert-auth.poc.sys.net/example.cer"
}
{
"attest": "A",
"dest": {
"tn": [
"1215345567"
]
},
"iat": 1504282247,
"orig": {
"tn": "12154567894"
},
"origid": "1db966a6-8f30-11e7-bc77-fa163e70349d"
}
Successivamente la richiesta va al fornitore dell'abbonato chiamato. Il secondo operatore decripta il messaggio utilizzando la chiave pubblica, confronta il contenuto con il SIP INVITE e verifica l'autenticità del certificato. Solo dopo viene stabilita una connessione tra gli abbonati e la parte "ricevente" riceve una notifica su chi lo sta chiamando.
L'intero processo di verifica può essere rappresentato nel seguente diagramma:
Secondo gli esperti, verifica del chiamante
Мнения
Come
Leggi sul nostro blog:
Ma nel settore c’è consenso sul fatto che il protocollo non sarà una soluzione miracolosa. Gli esperti affermano che i truffatori utilizzeranno semplicemente soluzioni alternative. Gli spammer potranno registrare un PBX "fittizio" nella rete dell'operatore a nome di un'organizzazione ed effettuare tutte le chiamate attraverso di esso. Se il PBX risulta bloccato sarà possibile semplicemente registrarlo nuovamente.
Su
Dall'inizio dell'anno, i deputati
Vale la pena notare che SHAKEN/STIR
Cos'altro leggere nel nostro blog su Habré:
Fonte: habr.com