web-dev-qa-db-ja.com

通信プロバイダーは、SIMカードを複製するためにSIMカードに物理的にアクセスする必要がありますか?

多くの独裁政権では、SIMカードの複製は警察(電話会社と協力して)が反体制派やジャーナリストなどをスパイするために使用されています。クローン作成の前提条件。しかし、電話会社が政治警察のために機能すると仮定すると、認証キーがなくても機能するようにSIMカードを設計できますか?これにより、SIMカードのクローン作成プロセスがはるかに簡単になり、市民社会にとって危険になります。

22
Pedro

いいえ、通信事業者はSIMに物理的にアクセスする必要はありません。

割り当てられた番号またはSIMの一意のIDを変更できるため、次のことができます。

  • 新しいSIMに番号を割り当て、古いSIMから割り当てを解除します(これは、実際には電話/ SIMを紛失した場合の標準的な手順です)

  • 番号を任意のSIMに複製する

参照-携帯電話事業者のサイト:

より詳細な説明があるサードパーティの記事:

30
Overmind

SIMに物理的にアクセスする必要がないだけでなく、通信プロバイダーからの協力も必要ありません。 SIMカードの暗号化キー は、SIMカード を製造する会社から直接入手された例があります。

10
bta

いいえ、電話会社は番号を無制限に制御できます。必要なことを行うために物理的にアクセスする必要はありません。

これは、ほとんどのインターネットベースの通信サービスに似ています。 サービスプロバイダーに対する保護が必要な場合(およびエンティティがサービスプロバイダーを強要、賄賂、または詐欺)エンドツーエンドの暗号化、およびオープンソースの実装(または、少なくともプロバイダーから独立した実装)を使用します。具体的なオプションについては、 EFFメッセージングスコアカード を参照してください


モバイルネットワークは、一般に、(現代のセキュリティの観点から)信じられないほど安全ではないことに言及する価値があります。多くの電話会社は、最小限の ソーシャルエンジニアリング (たとえば、古いSIMを紛失したと主張すること)の後、電話番号にバインドされた新しいSIMカードをだれにも喜んで提供します。また、電話会社が使用するプロトコルは セキュリティの脆弱性に悩まされています であり、修正できません。この不安は偶然ではありません- それは意図的です

[標準設計者]は、使用できる暗号化のタイプと強度を厳密に管理する必要がありました。

「それは我々が作ることができるのと同じくらい強かった」とブルックソン氏は言った。

電話ネットワークを使用する場合のデフォルトの想定では、ネットワーク上で言うことはすべて傍受される.


SIMカードに関する技術的な詳細

SIMカードには3つの重要なデータが保存されています:[〜#〜] iccid [〜#〜][〜#〜] imsi [〜#〜]および認証キー

[〜#〜] iccid [〜#〜]は、物理的なSIMを識別するために使用されるため、「クローンできない」アイデンティティに最も近いカード。ただし、これはバッキング暗号化メカニズムのない単なるデータフィールドです。これは「パーソナライゼーション」と呼ばれるプロセスでSIMに書き込まれます。少なくとも技術的には、書き込み機器を持っている人なら誰でも、好きなように自由に書き込むことができます。

[〜#〜] imsi [〜#〜]は、ネットワークに対してユーザーを識別します。これは「電話番号」に最も近い識別子です(ただし、電話番号ではありません)。 IMSIはSIMカードに書き込まれるので、繰り返しになりますが、誰でも自分がなりたい人であると自由に言うことができます。

認証キーは暗号化の目的を持つ唯一のフィールドのようです。理論的には、物理​​的にアクセスしていても、SIMから読み取ることはできません。残念ながら、これは「パーソナライゼーション」プロセス中にも書き込まれ、電話会社は authentication center にコピーを保持するため、それにアクセスできる人とSIMカードライターがそれを複製できます。

出典:

https://en.wikipedia.org/wiki/SIM_card#Data

https://en.wikipedia.org/wiki/International_mobile_subscriber_identity

8
goncalopp