加入者認証技術は、米国で勢いを増しています-SHAKEN / STIRプロトコル。 その作業の原則と実装の潜在的な困難について話しましょう。
/ Flickr / Mark Fischer / CC BY-SA通話に関する問題
不要なロボコールは、米国連邦取引委員会に対する消費者の苦情の最も一般的な原因です。 2016年、組織
は500万件の通話を記録しましたが 、1年後にこの数字は700万件を超えました。
これらのスパムコールには、時間がかかるだけでなく人もかかります。 自動通話サービスは、金銭を強要するために使用されます。 YouMailによると、昨年9月に、40億回のロボコールの40%が
詐欺師によって行われました 。 2018年の夏、ニューヨーカーは犯罪者への送金で約300万ドルを失いました。
この問題は、米国連邦通信委員会(FCC)に通知されました。 組織の代表者は、電話会社が電話スパムに対抗するためのソリューションを実装することを要求
する声明を発表しました。 この決定は、SHAKEN / STIRプロトコルでした。 3月
、 AT&TとComcast
は共同テストを実施しました。
SHAKEN / STIRプロトコルの仕組み
通信事業者はデジタル証明書(公開鍵を使用した暗号化に基づいて構築されます)を使用し、発信者の検証を可能にします。
検証手順は次のとおりです。 最初に、呼び出しを行う人のオペレーターは、接続を確立するための
SIP INVITE要求を受け取ります。 プロバイダー認証サービスは、通話に関する情報(場所、組織、発信者のデバイスに関するデータ)を確認します。 検証の結果に基づいて、コールには3つのカテゴリのいずれかが割り当てられます。A-発信者に関するすべての情報が知られている、B-組織と場所が知られている、C-加入者の地理的位置のみが知られている。
その後、オペレータは、タイムスタンプ、コールカテゴリ、電子証明書へのリンクを含むメッセージをINVITE要求ヘッダーに追加します。 アメリカの通信会社の
GitHubリポジトリからのこのようなメッセージの例を次に示し
ます 。
{ "alg": "ES256", "ppt": "shaken", "typ": "passport", "x5u": "https://cert-auth.poc.sys.net/example.cer" } { "attest": "A", "dest": { "tn": [ "1215345567" ] }, "iat": 1504282247, "orig": { "tn": "12154567894" }, "origid": "1db966a6-8f30-11e7-bc77-fa163e70349d" }
次に、要求は着信側プロバイダーに送られます。 2番目のオペレーターは、公開鍵を使用してメッセージを復号化し、内容をSIP INVITEと比較して、証明書の信頼性を検証します。 これが行われた後にのみ、サブスクライバー間に接続が確立され、「受信側」は誰が彼を呼び出しているかについての通知を受け取ります。
検証プロセス全体を図に描くことができます。
専門家によると、発信者の検証には100ミリ秒しか
かかりません。
ご意見
USTelecom協会で述べられているように、SHAKEN / STIRは、受信した通話をより詳細に制御できるようにします。電話をかけるかどうかを判断しやすくなります。
ブログで読む:
しかし、業界では、このプロトコルは「銀の弾丸」にはならないという意見があります。 専門家によると、詐欺師は単に回避策を利用するだけです。 スパマーは、組織の名前で「偽の」PBXを事業者のネットワークに登録し、すべての電話をかけることができます。 PBXをブロックする場合は、単純に再登録できます。
通信会社の代表者による
と、証明書を使用して加入者を確認するだけでは不十分です。 詐欺師やスパマーを停止するには、プロバイダーがそのような呼び出しを自動的にブロックできるようにする必要があります。 しかし、このために、リエゾン委員会は、このプロセスを規制できる新しいルールのセットを開発する必要があります。 FCCのこの問題は、近い将来に対処される可能性があります。
今年の初めから、議会は、委員会が市民をロボットの呼び出しから保護し、SHAKEN / STIR規格の実施を監視するメカニズムを開発することを義務付ける新しい法案を
検討してきました。
/ Flickr / Jack Sem / CC BYSHAKEN / STIRがT-Mobile(一部のスマートフォンおよびサポート対象デバイスの数を増やす予定)および
Verizonで 実装されたことは注目に値します。オペレーターのクライアントは、疑わしい番号からの呼び出しを警告する特別なアプリケーションをダウンロードできます。 他の米国の通信事業者はまだ技術をテストしています。 2019年末までにテストを完了する予定です。
Habréのブログで他に読むべきもの: