长文警告:预计阅读时间为 30 分钟。
eSIM (embedded-SIM, eUICC) 是一种嵌入式可编程的 SIM 卡,集成在设备主板或模块上,可以通过 LPA (Local Profile Assistants) 进行管理。eSIM 与 SoftSIM 不是同一个东西,但都是虚拟 SIM 卡的实现,两者都可以通过 OTA (Over-The-Air) 进行更新。
几天前 Apple 发布了国行 iPad(第 10 代)无线局域网 + 蜂窝网络机型(A3162),支持 eSIM,但是反向锁区,只能在境内激活中国大陆运营商(中国联通)的 eSIM Profile,在境外需要开启定位才能激活境外运营商的 eSIM Profile。借此机会也了解到一个新东西:eSIM 转物理 USIM。
早期这项技术被用于以下场景:
除此之外,我们可以使用 eUICC 测试白卡写入境外运营商的 eSIM Profile,畅游 Internet 或接收短信验证码(接码)。
5ber.eSIM(¥180)和 eSIM.me(€70)都提供 eSIM 实体卡片,用户可以使用它们的 Android App 将 eSIM Profile 下载至实体卡中(无需读卡器),然后插入手机、CPE 等设备使用。但这两家均软件限制了 Profile 的写入次数,并以此收费。
风险提示
eUICC Identifier(简称:EID)是 eUICC (embedded UICC) 的全球唯一物理标识(类似于网卡的 MAC 地址),存储在 eUICC 的 ECASD (eUICC Controlling Authority Security Domain) 中,主要用于 eUICC 卡管理和远程配置。EID 可以被读取但不能被更改,在远程配置中和 ICCID 一起共同关联某个 Profile 信息。
淘宝店“速易卡科技”提供的 eUICC 成品卡片价格 ¥60 包邮,仅为 5ber.eSIM 的 ⅓,购买暗号“安卓esim”。还提供 USB-C 接口的 eSIM 读卡器,Nano SIM 转接板,植锡、ST33 芯片等。
注意:由于 iOS 区域限制,速易卡科技销售的旧版 eUICC 白卡不能在国行 iPhone 中使用。外版(水货)iPhone 不受影响。
eSTK.me 当前仅销售工程样品 (ES 版),售价为 HKD$ 75,约合人民币 70 元。
eSTK.me 调用 USIM 卡的 Applet 实现在 iOS 内自助切换 Profile。写卡仍然需要借助硬件读卡器或者兼容 eSIM 的 Android 手机。支持国行 iPhone。支持以下特色功能
注意:以上所有品牌(5ber.eSIM、eSIM.me 和速易卡科技等)发行的 eUICC 卡片均不能写入中国大陆运营商的 eSIM Profile,原因如下:
消费 eSIM 遵循的 SGP.22 标准,证书是 GSMA Root 颁发的。
国内的 eSIM 部分遵循 SGP.22 证书是自签的。5ber 那个是消费证书肯定可以写消费 eSIM。(国内运营商除外, 美国如果是 EID/IMEI 白名单也不能写)
– Telegram 用户 @damonto
注意:不要购买 M2M eUICC。M2M eUICC 与 Consumer eUICC(消费者 eSIM)都属于标准的 GSMA eSIM 实现,但 M2M eUICC 不能写入 Consumer eSIM Profile,只能通过原厂的 OTA 平台进行云管理,仅用于集中管理 IoT 场景(例如共享单车)。若读者想进一步了解 M2M 和 Consumer eSIM 区别,可以参考下文部分的参考文献。
谨慎购买:网上检索不到关于这两款 eUICC 卡片的信息,可能是专为 Lenovo Connect 定制的 M2M eUICC 卡片。
已经验证过的可以在 Windows 10 上激活 eUICC 的 WWAN 模块:
根据笔者测试,L850-GL LTE WWAN 模块搭配 eUICC 可以
对于使用 7 代 Intel CPU 以上且主板集成了 USIM 插槽的 ThinkPad 用户,也可以购买以下支持 eSIM 的 WWAN 模组:
注意:
注意:除了下列运营商,其他区域运营商(如香港)通常需要 KYC(客户身份审查)认证,需要提供护照等实名身份信息。
常见的用于接收验证码的境外 Pay As You Go (PAYG) 现收现付 eSIM:
注意:苹果用户激活 iMessage 和 FaceTime 时需要发送短信,会产生费用。
部分运营商例如英国 Giffgaff 不直接提供 QR Code 和 eSIM Activation Code,只能使用运营商自有的 App 写入到手机中,不能加载至外部 eUICC。但是根据这个帖子,Giffgaff 用户可以在手机上进行 MITM 抓包,查看 URL 为 https://publicapi.giffgaff.com/gateway/graphql
的请求 body,其中的 lpaString
字段即 Giffgaff 的 eSIM Activation Code。Telegram 用户 @kkkwatt 提供了一份 Frida 的脚本:点 Giffgaff App 的“安装 eSIM 按钮”时 Frida 会在终端输出激活码。
Giffgaff 现在可以使用中国大陆 IP 直接订购 eSIM,无需实体卡板转换、无需通过中介办理。Giffgaff PAYG 是目前持有成本最低、无需实名 KYC 的 eSIM 方案。
注意:
详细的式定义可以参考 GSMA SGP.22。MOC 字段意思为 Mandatory, Optional or Conditional。
常见格式如下:
1
|
LPA:1${SM-DP+_ADDRESS}${MATCHING_ID}
|
SM-DP+_ADDRESS
即 Subscription Manager Data Preparation Address,是运营商侧的 eSIM 配置服务器地址。MATCHING_ID
则用于匹配对应的 eSIM Profile,可以理解为传递至 SM-DP+ 的 Bearer Token。为了方便用户,运营商一般会将 eSIM Activation Code 转换为 QR Code。终端扫描 QR Code 后,会自动将字符串写入到 eUICC 中。
如图是 Remote eSIM Provisioning (RSP) 的过程图,来源自 Android 文档。
MATCHING_ID
字段是可选的。例如 T-Mobile 绑定 eSIM 卡的 EID,所以在下载时无需提供 MATCHING_ID
。
SM-DP+ OID
字段一般不会出现。
Android 设备可以使用以下方式管理 eUICC 卡片:
2A2FA878BC7C3354C2CF82935A5945A3EDAE4AFA
(目前仅 eSTK.me 发行的 eUICC 卡片支持自定义 ARA-M)国行 Android 手机不一定双卡都支持 OMAPI,可以使用 eUICC Probe 检测各卡槽是否支持 OMAPI。
PC/SC 读卡器需要搭配以下 LPA 使用:
速易卡科技销售的读卡器(Alcor Micro USB Smart Card Reader)可以在 macOS Sonoma 和 Windows 10 下免驱使用。如果出现 APDU library init error
或 SCardTransmit() failed: 8010002f
,请手动安装 Alcor Micro USB Smart Card Reader 驱动。
执行如下命令运行 LPAdesktop:
1
|
java -jar LPA-1.0.0.0-jar-with-dependencies.jar
|
如果你的 macOS Sonoma 无法识别第三方读卡器,可以尝试安装 ACSCCID 驱动。
出厂预置了 SIM 插槽且已经安装了对应 WWAN 网卡(例如 L850-GL, L860-GL 等)的 ThinkPad/HP/Dell 笔记本用户,可以使用 Windows 10/11 系统自带的 LPA 管理 eSIM:Use an eSIM to get a cellular data connection on your Windows PC
淘宝上有网店销售 M.2 (NGFF) 转 USB 的 WWAN 转接卡,集成了 SIM 卡插槽。可以搭配 eUICC 卡和支持 eSIM 的 Fibocom(广和通)或 Quectel(移远)的 4G/5G WWAN 模块使用。部分转接卡存在兼容性问题。
近日,eSIM.me 在 Reddit 上点名表扬了 5ber.eSIM:
5ber.eSIM 随后做出回应
eSIM.me 进一步回应
eUICCManager
,可能可以使用 Android 原生的 LPA 管理 eSIM。已知国行小米 13 刷入 MIUI 国际版,可以使用系统内置 LPA 管理 5ber.eSIM 的 eUICC(ST33 白卡同理)。根据这篇博客和这篇博客,eSIM.me 的 App(即 LPA)使用 Open Mobile API (OMAPI) 与 UICC 进行通信,而非标准的 eUICC API。5ber.eSIM 也是如此。这也正是它们产品的使用场景:在不支持原生 eSIM 管理(LPA)的设备上使用 eSIM。
eUICC 使用 ARA-M 字段储存 Android 开发者证书的 SHA-1 或者 SHA-256 值,从而告知 Android 系统来自哪个开发者的应用可以访问自身,容许第三方 App 提权获得 Carrier Privileges。因此,用户只能使用特定的 App 通过 OMAPI 管理 eUICC。eSTK.me 可以宣告五种 ARA-M SHA-1,因此同时支持 5ber.eSIM、eSIM.me 和 EasyUICC 等 App。
OMAPI 是 Android 为外置安全组件(Secure Element,SE)提供的标准接口。eUICC 是智能卡(Smart Card)的一种,因此用 OMAPI 与 eUICC 通信是 by design 的,算不上 hack。至于 eSIM.me 想因此起诉 5ber.eSIM,就是另一回事了。
在 macOS Sonoma 上使用 LPA 操作 eUICC 时可能会遇到以下错误:
SCardTransmit() failed: 80100016
SCARD_E_NOT_TRANSACTED
这是 Apple 自行开发的 USB CCID 智能卡读卡器驱动在 macOS Sonoma 上的 bug。详细内容请参考以下内容:
建议更新至最新的 macOS Sonoma 14.4 Beta,或遵照上文替换读卡器驱动。
目前没有正式渠道获取小批量原装 Consumer eSIM 的途径,因为搞不到 GSMA 证书。你可以通过速易卡科技和 eSTK.me 购买匠人手作。
阅读本章节之前,建议先阅读 GSMA: eSIM 白皮书(中文翻译)。
Infineon LPA 和 LPAc 可以读取 eUICC 中的 PKI IDs 信息,用于识别 eUICC 的证书颁发者。
以下是一些常见的 CI:
81370f5125d0b1d408d4c3b232e6d25e795bebfb
f54172bdf98a95d65cbeb88a38a1c11d800a85c3
c0bc70ba36929d43b467ff57570530e57ab8fcd8
148030fc246c02ff222106125a8d6bda990afbe9
cdf6d1c0a7b07f98a861b6e378b82f648d99663e
16b5d16048e3ea02bd4b606e5f77a4bf20808d83
d3ef83fc503f9c6ec4b7f6ae055b7f1373d4ab1e
根据 GSMA 信息,目前消费者 eSIM 的证书颁发者有 DigiCert 和 WISeKey。
根据 PKI 数字证书在 eSIM 安全上的应用研究 | 中国联通研究院:GSMA 特别准许国内运营商自己选择 CI,CA 证书签发者必须是工业与信息化部公布的具有电子认证服务行政许可的认证机构,目前,三家运营商各自有 CA,国内的电信终端产业协会 (TAF) 也是具备为 eSIM 平台及 EUM 颁发证书的 CA。
根据 eSTK.me 和速易卡科技的信息,目前市面上存在同时支持 GSMA 和国内 CI 的 eUICC 卡片(内置了 CI 的根证书),可以同时写入国内运营商和国外运营商的 eSIM Profile。比如说,前文提到的 iPad 10 (A3162) 国行版。
ES9+.InitiateAuthentication
函数的定义:SM-DP+ 会返回 serverCertificate
给 LPA。因此,若 eUICC 拥有任意国内运营商的 CI,即可写入所有国内运营商的 eSIM Profile。
根据上述内容整理得到国内运营商 RSP 与 CI 的对应关系,持有列表中任意 CI 即可写入该运营商 eSIM Profile:
中国信通院:www.esimtest.chinattl.cn
148030fc246c02ff222106125a8d6bda990afbe9
16b5d16048e3ea02bd4b606e5f77a4bf20808d83
665a1433d67c1a2c5db8b52c967f10a057ba5cb2
f54172bdf98a95d65cbeb88a38a1c11d800a85c3
中国移动:esim.yhdzd.chinamobile.com:8001
148030fc246c02ff222106125a8d6bda990afbe9
16b5d16048e3ea02bd4b606e5f77a4bf20808d83
cdf6d1c0a7b07f98a861b6e378b82f648d99663e
d3ef83fc503f9c6ec4b7f6ae055b7f1373d4ab1e
中国电信:esimapple.crm.189.cn
148030fc246c02ff222106125a8d6bda990afbe9
3bd3f57b34f44436e08f028b5101c0e0a9b0986e
16b5d16048e3ea02bd4b606e5f77a4bf20808d83
4eb94ea05b451a729cc5272ddf66f481701a05c9
cdf6d1c0a7b07f98a861b6e378b82f648d99663e
d3ef83fc503f9c6ec4b7f6ae055b7f1373d4ab1e
中国联通:esim.wo.com.cn
148030fc246c02ff222106125a8d6bda990afbe9
3bd3f57b34f44436e08f028b5101c0e0a9b0986e
16b5d16048e3ea02bd4b606e5f77a4bf20808d83
cdf6d1c0a7b07f98a861b6e378b82f648d99663e
d3ef83fc503f9c6ec4b7f6ae055b7f1373d4ab1e
只有中国移动的 RSP 是有端口的。
申请 eUICC 证书请联系证书签发主管单位。