在现场使用 SIM 卡 GlobalPlatform 密钥

Usage of SIM card GlobalPlatform keys in field

问题 1。当 SIM 制造商对 SIM 卡进行个性化设置,然后移动运营商将其交给最终用户时,GlobalPlatform (GP) 密钥(ENC、MAC、KEK、...)是否有任何用途?

只要我知道 SIM 文件结构或其小程序可通过 (KID/KIC/KIK) 通过 OTA RFM 和 RAM 访问。所以当SIM卡在客户手中时,就不需要GP密钥了。

有什么特别的地方吗(例如,在 OTA 交互过程中,我们是否需要 GP 密钥)?正如我正确理解的那样,当我们可以物理访问 SIM 卡并且我们可以直接将 APDU 发送到 SIM 卡时,GP 密钥就可用了。我说得对吗?

问题 2。是否可以使用全局平台命令访问 SIM/USIM 文件结构(例如,是否可以使用 GP 密钥读取记录、读取二进制文件)并访问 ISD 具有的文件结构?通常,文件结构可根据 3GPP TS 51.011/ETSI TS 151 011 中定义的访问条件使用 PIN 和 ADM 密钥进行访问。但是是否可以使用 GP 密钥和 ISD 具有的访问权限?

Q1:

我正在为 MNO 做咨询。我们所有的塑料 SIM 卡都只使用 SCP80(支持 SMS, CAT_TP, TCP, BIP) and more recent versions are also supporting SCP81 (OTA using HTTPs using a pre-shared TLS keys GlobalPlatform RAM). The SCP02 and SCP03 keys are rotated and not used. When using eSIM SCP03 的 OTA 机制在我们的案例中甚至没有启用。

Q2:

没有。但是您可以将 OTA 消息与例如SCP80 并将读取的 APDU 包装到 RFM. With SCP02 /SCP03 this is not directly possible. But you could install an applet using SCP02/SCP03 with access to the file system 中,如果您没有 ADM,则将其用作隧道。