更多

    台灣新智能身份證惹質疑 港證件技術類似勢難倖免

    Andrew
    Andrew
    號稱"周身刀無張利"的多媒體創作人。 很喜歡樂天熊仔的怪叔叔。

    台灣明年開始換發的晶片身份證,而且是採用類似香港的 RFID 感應技術,也就是只要有讀取裝置,便可近距離讀取身份證中的資料。對於經歷過二二八事件和戒嚴時代的台灣民眾來說,當然對於晶片身份證的安全、政府機關會否透過新身份證來進行監控有疑慮,另外有關 RFID 身份證的安全性亦受到質疑。

    負責印製晶片身份證的台灣中央印製廠,在招標規範中列明,規範感應技術需「符合 ISO/IEC 14443 第 2 至 4 部分」,即是讀取距離為 10cm 以內。這個規範看起來很「標準」,但事實又是甚麼一回事呢 ?

    152481643846613z9BzTTgpC
    2010 年,臺大電機系教授鄭振牟等人,成功利用感應的方式駭入悠遊卡(台灣交通卡),並能修改卡片餘額。

    在 2010 年,臺大電機系教授鄭振牟等人,成功利用感應的方式駭入悠遊卡(台灣交通卡),並能修改卡片餘額。而悠遊卡,同樣符合「 ISO/IEC 14443 第 2 至 4 部分」的規範。鄭振牟教授在《 MIFARE Classic: Practical Attacks and Defenses 》一文中,指出悠遊卡的 MIFARE Classic 技術,若要竊取讀卡機與卡片溝通所發出的訊號,其實遠至 2 公尺之外亦能成功讀取得到,遠比我們想像中一般使用悠遊卡或香港八達通使用有效範圍更遠。而就算卡片沒有在進行感應操作,同樣可以在一定距離竊取到卡片的資料。

    Gerhard_Hancke
    Gerhard Hancke 在 2009 年的研究已經表示,利用竊取裝置能在 30cm 的距離內,讀取到放在背包內的晶片卡資料

    另外,外國學者 Gerhard Hancke 在 2009 年在 University of Cambridge Computer Laboratory 發表的研究報告《 Security of proximity identification systems 》中亦指出,可以透過一個 A4 大小天線,在 19 cm 的距離內攻擊卡片;如果將天線加大到 A3 大小,攻擊距離甚至增加到 27 cm 。 Gerhard Hancke 的報告認為這個距離就足以在擁擠的場所中執行攻擊,並且讀取某人包包或口袋中的標籤( token )。

    從多年前的台灣及外國學者的研究中就可以證明,就算卡片符合 ISO 標準,不代表能滿足安全需求。加上破解晶片的技術日新月異,如果新的晶片身份證只停留在標準技術的水平,並將敏感個人資料存於卡片之中,遭到外部攻擊的風險的確不少。雖然香港及臺灣政府都強調新身份證會有隨機辨識碼( random UID )讓第三者難以推導回原本卡片的識別碼(UID),或是利用上述方法駭入卡片、取得身份證字號等資料。但問題是政府擁有卡片各種密鑰與製作技術,而且技術上仍可能留有後門,所以民眾對有關技術表示質疑並不是沒有原因的。

    plastic-card-holder-with-rfid-protection-lime--7252-19--hd

    當然,要避免信用卡或身份證資料被竊取,最簡單的方法就利用具有阻隔 RFID 射頻的卡套,把身份證件保管好。另外,坊間有說可以直接利用錫紙把證件包裹,同樣可以阻隔射頻,但就有機會令銀包內所有卡片,包括交通卡也無法使用。

    您會感興趣的內容

    相關文章