eSIM 转 SIM 实体卡
2024-2-20 08:43:0 Author: blog.upx8.com(查看原文) 阅读量:186 收藏

长文警告:预计阅读时间为 30 分钟。

1. 背景

eSIM (embedded-SIM, eUICC) 是一种嵌入式可编程的 SIM 卡,集成在设备主板或模块上,可以通过 LPA (Local Profile Assistants) 进行管理。eSIM 与 SoftSIM 不是同一个东西,但都是虚拟 SIM 卡的实现,两者都可以通过 OTA (Over-The-Air) 进行更新。

几天前 Apple 发布了国行 iPad(第 10 代)无线局域网 + 蜂窝网络机型(A3162),支持 eSIM,但是反向锁区,只能在境内激活中国大陆运营商(中国联通)的 eSIM Profile,在境外需要开启定位才能激活境外运营商的 eSIM Profile。借此机会也了解到一个新东西:eSIM 转物理 USIM。

早期这项技术被用于以下场景:

  1. 提取智能手表、廉价 4G Wi-Fi dongle 的内置物联网卡的 eUICC 芯片,将其改变为 USIM 的形态,安装到 CPE 或者手机里。一般用于“双不限”流量卡。
  2. 拆除 eSIM 手表的 eUICC 芯片,在原位置焊接上转接板,然后将自己的 eUICC 白卡放入转接板。利用“一号双终端”业务,将自己的手机号码写入到 eUICC 白卡,再将其安装至手机,从而实现两台手机同时在网,共享号码、通话、短信和数据业务。参考链接 12

除此之外,我们可以使用 eUICC 测试白卡写入境外运营商的 eSIM Profile,畅游 Internet 或接收短信验证码(接码)。

2. 获取 eUICC 卡片

5ber.eSIM 和 eSIM.me

5ber.eSIM(¥180)和 eSIM.me(€70)都提供 eSIM 实体卡片,用户可以使用它们的 Android App 将 eSIM Profile 下载至实体卡中(无需读卡器),然后插入手机、CPE 等设备使用。但这两家均软件限制了 Profile 的写入次数,并以此收费。

风险提示

  • 根据 5ber.eSIM 不为人知的秘密
    • 用 5ber 官方的 app 所做的任何操作都会被记录,包括运营商名称、ICCID、isdpAid 都会记录,没有任何隐私。
    • 在空间快满时写入 eSIM 配置文件可能会覆盖固件,导致卡片损坏。

  • 5ber.eSIM 和 eSIM.me 所发行的 eSIM 卡片(EID: 89086030,东信和平)当前已被 One NZ(新西兰沃达丰)、Lebara Switzerland 拉黑,无法下发 eSIM profile。建议谨慎购买。

  • 5ber.eSIM 卡的 app 存在致命缺陷:eSIM Profile 的写入数据格式和 5ber 的存储格式不一致,导致写卡时短信中心(SMSC)号码丢失,用户无法发送短信。

eUICC Identifier(简称:EID)是 eUICC (embedded UICC) 的全球唯一物理标识(类似于网卡的 MAC 地址),存储在 eUICC 的 ECASD (eUICC Controlling Authority Security Domain) 中,主要用于 eUICC 卡管理和远程配置。EID 可以被读取但不能被更改,在远程配置中和 ICCID 一起共同关联某个 Profile 信息。

速易卡科技

淘宝店“速易卡科技”提供的 eUICC 成品卡片价格 ¥60 包邮,仅为 5ber.eSIM 的 ⅓,购买暗号“安卓esim”。还提供 USB-C 接口的 eSIM 读卡器,Nano SIM 转接板,植锡、ST33 芯片等。

注意:由于 iOS 区域限制,速易卡科技销售的旧版 eUICC 白卡不能在国行 iPhone 中使用。外版(水货)iPhone 不受影响。

eSTK.me

eSTK.me 当前仅销售工程样品 (ES 版),售价为 HKD$ 75,约合人民币 70 元

eSTK.me 调用 USIM 卡的 Applet 实现在 iOS 内自助切换 Profile。写卡仍然需要借助硬件读卡器或者兼容 eSIM 的 Android 手机。支持国行 iPhone。支持以下特色功能

注意:以上所有品牌(5ber.eSIM、eSIM.me 和速易卡科技等)发行的 eUICC 卡片均不能写入中国大陆运营商的 eSIM Profile原因如下

消费 eSIM 遵循的 SGP.22 标准,证书是 GSMA Root 颁发的。
国内的 eSIM 部分遵循 SGP.22 证书是自签的。

5ber 那个是消费证书肯定可以写消费 eSIM。(国内运营商除外, 美国如果是 EID/IMEI 白名单也不能写)

– Telegram 用户 @damonto

注意:不要购买 M2M eUICC。M2M eUICC 与 Consumer eUICC(消费者 eSIM)都属于标准的 GSMA eSIM 实现,但 M2M eUICC 不能写入 Consumer eSIM Profile,只能通过原厂的 OTA 平台进行云管理,仅用于集中管理 IoT 场景(例如共享单车)。若读者想进一步了解 M2M 和 Consumer eSIM 区别,可以参考下文部分的参考文献。

Lenovo

  • ThinkPad Thales eSIM card
    • FRU: 4XC1L91362
    • 仅在联想英国和美国官网提供购买

  • Lenovo Wireless Gemalto eSIM card
    • FRU: 5W11H85415
    • 仅在联想英国和美国官网提供购买

谨慎购买:网上检索不到关于这两款 eUICC 卡片的信息,可能是专为 Lenovo Connect 定制的 M2M eUICC 卡片。

3. 获取支持 eSIM 的 WWAN 模块或 PC/SC 读卡器

支持 eSIM 的 WWAN 模块

已经验证过的可以在 Windows 10 上激活 eUICC 的 WWAN 模块:

  • 根据 Telegram 用户 @v0nNeumann 的信息,Quectel EM05-CE LTE WWAN 模块搭配 eUICC 可以使用 Windows 10/11 原生的 LPA 进行管理。该模块闲鱼二手 ThinkPad 拆机价格约为 ¥50。
  • 笔者在 ThinkPad P52 上使用 FRU 为 01AX792 的 L850-GL LTE WWAN 模块搭配 eUICC,可以使用 Windows 10/11 原生的 LPA 进行管理。该模块闲鱼二手拆机价格约为 ¥45。

根据笔者测试,L850-GL LTE WWAN 模块搭配 eUICC 可以

对于使用 7 代 Intel CPU 以上且主板集成了 USIM 插槽的 ThinkPad 用户,也可以购买以下支持 eSIM 的 WWAN 模组:

  • Fibocom L850-GL :闲鱼二手拆机价格约为 ¥45

  • Fibocom L860-GL :闲鱼二手拆机价格约为 ¥160
    • LTE Cat 16
    • 联想 FRU: 01AX796
    • 联想 Part No: 4XC1K20992, 4XC1K20993, 4XC1K20994, 4XC1K20995, 4XC1M72796, 4XC1K04678, 5W10V25861
    • Lenovo US
    • Lenovo UK
    • Datasheet

  • Quectel SDX24 EM120R-GL
    • LTE Cat 12
    • 联想 FRU: 5W10V25820, 5W10V25821
    • 联想 Part No: 4XC1D51447, 4XC1D51445, 5W10V25859
    • Lenovo US
    • Lenovo UK

  • Fibocom FM350-GL
    • 5G Sub-6GHz
    • 内置 eUICC
    • 联想 FRU: 5W10V25832
    • Part No: 4XC1M72800, 5W10V25827, 5W10V25832

  • Quectel EM160R-GL
    • LTE Cat 16
    • 联想 FRU: 5W10V25822
    • 联想 Part No: 4XC1D69579

  • Foxcoon SDX55
    • 5G Sub-6GHz
    • 内置 eUICC:Off-board USIM connector supported on host through USIM1; e-SIM embedded on module through USIM2.
    • 联想 FRU: 5W10V25768
    • Lenovo US

注意:

  1. 购买前请去 Lenovo Parts Lookup 查询本机兼容的模块,否则可能无法识别!
  2. 由于 BIOS 内置网卡白名单,ThinkPad 只能使用带有联想 FRU 的网卡,否则无法启动系统。
  3. ThinkPad 用户可能需要从联想官网或者 Lenovo Vantage 下载对应 WWAN 网卡驱动。一般来说 Windows 会自动通过供应商匹配合适驱动。
  4. 出厂未预置 WWAN 网卡的机器可能没有安装 WWAN 天线。闲鱼或淘宝购买网卡时一般会附赠天线,如果没有,可以自行购买。天线最好安装在屏幕两侧,可以付费找联想服务站安装,不建议自己动手。
  5. 联想可以通过无效化系统序列号实现白名单豁免(风险自负)

PC/SC 读卡器

  • 淘宝店“速易卡科技”提供 PC/SC 读卡器、eUICC 转接板。也可以自行淘宝和闲鱼购买。
  • eSTK.me 提供的 ACR38U 读卡器

4. 获取 eSIM Profile

购买 eSIM 套餐

注意:除了下列运营商,其他区域运营商(如香港)通常需要 KYC(客户身份审查)认证,需要提供护照等实名身份信息。

常见的用于接收验证码的境外 Pay As You Go (PAYG) 现收现付 eSIM:

  • Giffgaff:激活时需充值 £10(约合人民币 90 元),号码有效期为 6 个月。漫游时接收短信免费。每隔 6 个月发短信(£0.3,约合人民币 3 元)保号。开局成本为 90 元,之后每年维护成本为 6 元。
  • Lyca Mobile:激活时需充值 £5(约合人民币 45 元),号码有效期为 3 个月。漫游时接收短信免费。每隔3 个月发短信(£0.23,约合人民币 2 元)保号。开局成本为 45 元,之后每年维护成本为 8 元。
  • Three UK:激活时无需充值,号码有效期为 6 个月。漫游时接收短信免费。每隔 6 个月发短信(£0.4 中国大陆位于 Band 2,约合人民币 3.6 元)保号。开局成本为 0 元,之后每年维护成本为 7.2 元。

注意:苹果用户激活 iMessage 和 FaceTime 时需要发送短信,会产生费用。

部分运营商例如英国 Giffgaff 不直接提供 QR Code 和 eSIM Activation Code,只能使用运营商自有的 App 写入到手机中,不能加载至外部 eUICC。但是根据这个帖子,Giffgaff 用户可以在手机上进行 MITM 抓包,查看 URL 为 https://publicapi.giffgaff.com/gateway/graphql 的请求 body,其中的 lpaString 字段即 Giffgaff 的 eSIM Activation Code。Telegram 用户 @kkkwatt 提供了一份 Frida 的脚本:点 Giffgaff App 的“安装 eSIM 按钮”时 Frida 会在终端输出激活码。

Giffgaff 现在可以使用中国大陆 IP 直接订购 eSIM,无需实体卡板转换、无需通过中介办理。Giffgaff PAYG 是目前持有成本最低、无需实名 KYC 的 eSIM 方案。

注意:

  • 几乎所有美国运营商使用了 EID 白名单,无法直接写入 eSIM Profile 至外部 eUICC。你需要联系客服,提供自己的 IMEI 和 EID,让他们绑定。
  • 日本运营商也存在 EID 白名单

eSIM Profile Activation Code (激活码——格式

详细的式定义可以参考 GSMA SGP.22。MOC 字段意思为 Mandatory, Optional or Conditional。

常见格式如下:

1
LPA:1${SM-DP+_ADDRESS}${MATCHING_ID}

SM-DP+_ADDRESS 即 Subscription Manager Data Preparation Address,是运营商侧的 eSIM 配置服务器地址。MATCHING_ID 则用于匹配对应的 eSIM Profile,可以理解为传递至 SM-DP+ 的 Bearer Token。为了方便用户,运营商一般会将 eSIM Activation Code 转换为 QR Code。终端扫描 QR Code 后,会自动将字符串写入到 eUICC 中。

如图是 Remote eSIM Provisioning (RSP) 的过程图,来源自 Android 文档

MATCHING_ID 字段是可选的。例如 T-Mobile 绑定 eSIM 卡的 EID,所以在下载时无需提供 MATCHING_ID

SM-DP+ OID 字段一般不会出现。

5. 写入 eSIM Profile 至 eUICC 卡片

Android

Android 设备可以使用以下方式管理 eUICC 卡片:

国行 Android 手机不一定双卡都支持 OMAPI,可以使用 eUICC Probe 检测各卡槽是否支持 OMAPI。

Windows、macOS 和 Linux 平台

PC/SC 读卡器需要搭配以下 LPA 使用:

速易卡科技销售的读卡器(Alcor Micro USB Smart Card Reader)可以在 macOS Sonoma 和 Windows 10 下免驱使用。如果出现 APDU library init error 或 SCardTransmit() failed: 8010002f,请手动安装 Alcor Micro USB Smart Card Reader 驱动

执行如下命令运行 LPAdesktop:

1
java -jar LPA-1.0.0.0-jar-with-dependencies.jar

如果你的 macOS Sonoma 无法识别第三方读卡器,可以尝试安装 ACSCCID 驱动。

出厂预置了 SIM 插槽且已经安装了对应 WWAN 网卡(例如 L850-GL, L860-GL 等)的 ThinkPad/HP/Dell 笔记本用户,可以使用 Windows 10/11 系统自带的 LPA 管理 eSIM:Use an eSIM to get a cellular data connection on your Windows PC

淘宝上有网店销售 M.2 (NGFF) 转 USB 的 WWAN 转接卡,集成了 SIM 卡插槽。可以搭配 eUICC 卡和支持 eSIM 的 Fibocom(广和通)或 Quectel(移远)的 4G/5G WWAN 模块使用。部分转接卡存在兼容性问题

6. eSIM 实体卡行业动态

近日,eSIM.me 在 Reddit 上点名表扬了 5ber.eSIM

5ber.eSIM 随后做出回应

eSIM.me 进一步回应

7. 常见问题

国行 Android 能否支持 eSIM?

  • 华为和荣耀可以识别并使用 eSIM,但由于 ROM 阉割了 eUICCManager,无法使用内置 LPA 管理 eSIM 配置。
  • 如果你的 ROM 没有阉割掉 eUICCManager可能可以使用 Android 原生的 LPA 管理 eSIM。已知国行小米 13 刷入 MIUI 国际版,可以使用系统内置 LPA 管理 5ber.eSIM 的 eUICC(ST33 白卡同理)。
  • 如果你 root 了,可以尝试上文提到的 OpenEUICC 项目。高通基带的手机可能无法使用 OpenEUICC

eSIM.me 和 5ber.eSIM 如何实现在没有 eUICCManager 的 Android 设备上管理 eSIM?

根据这篇博客这篇博客,eSIM.me 的 App(即 LPA)使用 Open Mobile API (OMAPI) 与 UICC 进行通信,而非标准的 eUICC API。5ber.eSIM 也是如此。这也正是它们产品的使用场景:在不支持原生 eSIM 管理(LPA)的设备上使用 eSIM。

eUICC 使用 ARA-M 字段储存 Android 开发者证书的 SHA-1 或者 SHA-256 值,从而告知 Android 系统来自哪个开发者的应用可以访问自身,容许第三方 App 提权获得 Carrier Privileges。因此,用户只能使用特定的 App 通过 OMAPI 管理 eUICC。eSTK.me 可以宣告五种 ARA-M SHA-1,因此同时支持 5ber.eSIM、eSIM.me 和 EasyUICC 等 App。

OMAPI 是 Android 为外置安全组件(Secure Element,SE)提供的标准接口。eUICC 是智能卡(Smart Card)的一种,因此用 OMAPI 与 eUICC 通信是 by design 的,算不上 hack。至于 eSIM.me 想因此起诉 5ber.eSIM,就是另一回事了。

macOS Sonoma 上 LPA 操作 eUICC 报错

在 macOS Sonoma 上使用 LPA 操作 eUICC 时可能会遇到以下错误:

这是 Apple 自行开发的 USB CCID 智能卡读卡器驱动在 macOS Sonoma 上的 bug。详细内容请参考以下内容:

建议更新至最新的 macOS Sonoma 14.4 Beta,或遵照上文替换读卡器驱动。

如何批量获取 Consumer eSIM

目前没有正式渠道获取小批量原装 Consumer eSIM 的途径,因为搞不到 GSMA 证书。你可以通过速易卡科技和 eSTK.me 购买匠人手作。

Certificate Issuer (CI) 证书颁发者

阅读本章节之前,建议先阅读 GSMA: eSIM 白皮书(中文翻译)

Infineon LPA 和 LPAc 可以读取 eUICC 中的 PKI IDs 信息,用于识别 eUICC 的证书颁发者。

以下是一些常见的 CI:

  • GSM Association - RSP2 Root CI1: 81370f5125d0b1d408d4c3b232e6d25e795bebfb
  • GSMA Test CI (NIST P-256):f54172bdf98a95d65cbeb88a38a1c11d800a85c3
  • GSMA Test CI (Brainpool P256r1):c0bc70ba36929d43b467ff57570530e57ab8fcd8
  • Taier eSIM Root CA - NISTP256:泰尔实验室 隶属于 中国信息通信研究院,上级机构为 工业和信息化部 因此可视为 MIIT CI。148030fc246c02ff222106125a8d6bda990afbe9
  • CMCA eSIM Root CA_NIST:中国移动使用的 CI,可视为 CMCC CI。cdf6d1c0a7b07f98a861b6e378b82f648d99663e
  • China Unicom eSIM Root CA:中国联通使用的 CI,可视为 CUCC CI。16b5d16048e3ea02bd4b606e5f77a4bf20808d83
  • CCS NETCA eSIM ECC Root CA:中国电信使用的 CI,可视为 CTCC CI。d3ef83fc503f9c6ec4b7f6ae055b7f1373d4ab1e

根据 GSMA 信息,目前消费者 eSIM 的证书颁发者有 DigiCert 和 WISeKey。

根据 PKI 数字证书在 eSIM 安全上的应用研究 | 中国联通研究院:GSMA 特别准许国内运营商自己选择 CI,CA 证书签发者必须是工业与信息化部公布的具有电子认证服务行政许可的认证机构,目前,三家运营商各自有 CA,国内的电信终端产业协会 (TAF) 也是具备为 eSIM 平台及 EUM 颁发证书的 CA。

根据 eSTK.me 和速易卡科技的信息,目前市面上存在同时支持 GSMA 和国内 CI 的 eUICC 卡片(内置了 CI 的根证书),可以同时写入国内运营商和国外运营商的 eSIM Profile。比如说,前文提到的 iPad 10 (A3162) 国行版。

  • 根据 SGP.22 标准中关于 ES9+.InitiateAuthentication 函数的定义:SM-DP+ 会返回 serverCertificate 给 LPA。
  • 三大运营都交叉信任了对方的 CI

因此,若 eUICC 拥有任意国内运营商的 CI,即可写入所有国内运营商的 eSIM Profile。

  • 一部分中国区 RSP 的证书可以从这里下载。
  • 几乎完整的 RSP 证书列表可以从这里下载。

根据上述内容整理得到国内运营商 RSP 与 CI 的对应关系,持有列表中任意 CI 即可写入该运营商 eSIM Profile:

  • 中国信通院:www.esimtest.chinattl.cn

    • Taier eSIM Root CA: 148030fc246c02ff222106125a8d6bda990afbe9
    • China Unicom eSIM Root CA: 16b5d16048e3ea02bd4b606e5f77a4bf20808d83
    • Symantec Corporation RSP Test Root CA: 665a1433d67c1a2c5db8b52c967f10a057ba5cb2
    • Test CI: f54172bdf98a95d65cbeb88a38a1c11d800a85c3

  • 中国移动:esim.yhdzd.chinamobile.com:8001

    • Taier eSIM Root CA: 148030fc246c02ff222106125a8d6bda990afbe9
    • China Unicom eSIM Root CA: 16b5d16048e3ea02bd4b606e5f77a4bf20808d83
    • CMCA eSIM Root CA_NIST: cdf6d1c0a7b07f98a861b6e378b82f648d99663e
    • CCS NETCA eSIM ECC RootCA: d3ef83fc503f9c6ec4b7f6ae055b7f1373d4ab1e

  • 中国电信:esimapple.crm.189.cn

    • Taier eSIM Root CA: 148030fc246c02ff222106125a8d6bda990afbe9
    • China Unicom eSIM CA: 3bd3f57b34f44436e08f028b5101c0e0a9b0986e
    • China Unicom eSIM Root CA: 16b5d16048e3ea02bd4b606e5f77a4bf20808d83
    • NETCA: 4eb94ea05b451a729cc5272ddf66f481701a05c9
    • CMCA eSIM Root CA_NIST: cdf6d1c0a7b07f98a861b6e378b82f648d99663e
    • CCS NETCA eSIM ECC RootCA: d3ef83fc503f9c6ec4b7f6ae055b7f1373d4ab1e

  • 中国联通:esim.wo.com.cn

    • Taier eSIM Root CA: 148030fc246c02ff222106125a8d6bda990afbe9
    • China Unicom eSIM CA: 3bd3f57b34f44436e08f028b5101c0e0a9b0986e
    • China Unicom eSIM Root CA: 16b5d16048e3ea02bd4b606e5f77a4bf20808d83
    • CMCA eSIM Root CA_NIST: cdf6d1c0a7b07f98a861b6e378b82f648d99663e
    • CCS NETCA eSIM ECC RootCA: d3ef83fc503f9c6ec4b7f6ae055b7f1373d4ab1e

只有中国移动的 RSP 是有端口的。

申请 eUICC 证书请联系证书签发主管单位

8. 扩展阅读

技术演进

标准与规范

M2M eSIM vs Consumer eSIM

  • M2M Compliance - GSMA
  • Compliance - GSMA
  • SGP.01 - GSMA: a common architecture framework to enable the remote Provisioning and management of the Embedded UICC (eUICC) in Devices which are not easily reachable, and additionally a way to locally switch to specific Profiles for testing/certification or emergency cases.
  • SGP.21 - GSMA: the architecture and technical requirements for Remote SIM Provisioning of all device types across all consumer markets.

eUICC

WWAN 模块

9. 其他参考

10. 致谢

感谢 eSTK.me速易卡科技和不愿意透露 ID 的匿名网友对文本的校对和补充。


文章来源: https://blog.upx8.com/4062
如有侵权请联系:admin#unsafe.sh