卡式台胞證與數位身分證?其實問題在晶片!

資訊安全最大的問題是在人和管理,技術只是其次,所以我之前講過:「如果你認為技術可以解決你資訊安全的問題,那麼你不懂問題,你也不了解技術。」
評論
▲Photo Credit: 擷取自內政部網頁
評論

本文作者為李忠,原文發表於作者臉書,INSIDE 獲授權轉載,作者在國立成功大學擔任教授,同時也在成大資通安全研究與教學中心擔任主任。

資安問題,技術只是其次

資訊安全最大的問題是在人和管理,技術只是其次,所以我之前講過:「如果你認為技術可以解決你資訊安全的問題,那麼你不懂問題,你也不了解技術。」

但是身為電機系的教授總該要講一下技術吧?根據實際拿到數位晶片身分證教授的研究,這這個晶片直接就是拿 eMRTD (Machine Readable Travel Documents,可機讀旅行文件)來改設定,然後就變成了我們的數位身分證。

射頻標籤(RFID)原先是使用在牛隻追蹤或是沃爾瑪等百貨公司做存貨管理和快速結帳使用,因為被動式的標籤價格便宜,使用方便,曾經被考慮拿來取代條碼或是二維條碼使用,但是因為侵犯隱私權的疑慮太大,沃爾瑪等百貨公司最後只好放棄。

這個晶片除了射頻標籤的部分,還有包含生物特徵的紀錄,雖然內政部說這個部分不會使用,但是買這麼高級的晶片,卻不使用裡面的功能,這個國家是不是太有錢?不然還有什麼原因?

晶片可破解也可複製

根據公布的標準,保護這個晶片資料的協定,第一個是基本存取控制(Basic Access Control,BAC),先在機器閲讀區(Machine Readable Zone)利用光學掃瞄器,讀取姓名、生日等資訊,建立一把會議金鑰之後,再利用射頻標籤(RFID)主動驗證晶片內的生物特徵資料,這些生物特徵資料,是由發卡國家加密保護。

因為產生金鑰的亂度(熵 entropy)很低,已經有駭客在兩個小時內破解 BAC,另外完全複製晶片內容也有多起案例。

再從內部人的攻擊來說,管理這個晶片相關的資料庫十分重要,所以歐洲資料保護組織「Data Protection Directive」有一個技術和組織管理的應對措施,其中光金鑰保護的原則,8-key principle ,要 8 把不同的金鑰,十分嚴格。

既然歐洲這麼重視,顯然有其重要性,只是目前都還不知道,我們內政部的管理要用什麼標準?有沒有任何的官員懂這些技術?靠外包廠商就可以解決這些問題嗎?沒有中資、不是中國人就可以保證安全?

RFID 可以遠距隔空讀取

第二個重點,是射頻標籤 RFID 的安全性,晶片卡用的射頻標準是 ISO 14443,標籤的本身當然不會主動發出訊號,更不會發出現在定位的訊號。但是只要有射頻標籤的讀取器在附近,就可以讀取這個標籤。

根據 ISO 14443 的標準,晶片可以讀取的範圍是 10-15 公分,但是使用加強的天線,就可以在 50-60 公分的距離讀取晶片,已經有玩家可以在暗網上面用幾百塊美金買到。而實驗室的研究,5 公尺的讀取範圍被證實是做得到,能不能被隔空讀取早已經不是問題,問題是距離多遠?

射頻標籤晶片可怕之處,在於可以明確的對應標籤和人的關係,犯罪集團很難了解台灣鉅富或是想要綁架的對象手機到底用那一隻,但是只要能夠讀取射頻標籤,就一定可以確認是不是目標人物。

不會因為改個名字就沒有資安疑慮

當初馬政府的陸委會跳出來說卡式台胞證沒有資安疑慮,現在蔡政府的內政部說數位身分證沒有資安疑慮。

大家有沒有發現這些官員實在太厲害,明明就是一塊功能強大、可以儲存生物特徵的遠距讀取晶片,但是一個叫做「卡式台胞證」,一個叫做「數位身分證」,把這塊強大的「晶片」完全隱藏的無影無蹤,實在太聰明了!

責任編輯:李柏鋒
核稿編輯:Anny

延伸閱讀:



疫後科技趨勢大爆發 5G加速創新應用發展

經濟部次長曾文生去年表示,在新冠肺炎疫情肆虐之下,大眾經常無法面對面進行溝通,更顯出「通訊」這個題目對人類社會發展的重要。
評論
Photo Credit: Lenny Kuhne / Unsplash
評論

疫情改變了目前人類的行為,而且影響會持續到未來,人與人、人與機器之間互動的方式將有所改變;試著想像這個場景,你剛去巡視完公司的無人工廠,整間廠房,就只有機械手臂安靜的高速運轉,這間廠房的生產效率,是過去一間兩百人廠的 3 倍以上;確認一切無礙,你快速的用模擬人像的視訊會議,跟所有夥伴說明企業運作現況。

下班後,坐進你的自動駕駛電動車,系統告訴你,大約 25 分鐘後就會到家。你在位置上手機連線,開啟家裡的冷氣、把最心愛的模擬實境遊戲打開,準備一回家就要戴上眼鏡與手套進入遊戲環境裡捉對廝殺。

10 年前,這些事情聽起來像是科幻小說,但現在,會因為所有科技技術逐漸到位,讓小說場景成為尋常的現實生活。而要連結這些場景,使之成真的背後,最關鍵的技術,莫過於能夠橫跨視聽展演、遊戲、運動、智慧觀光、交通及製造領域的 5G 技術。

5G 為通訊與物聯網的基礎,在 2020 年疫情侵襲全球期間,經濟部次長曾文生更曾提及,因為疫情,以至於所有人與人的通訊、連結都由面對面轉為線上,這更凸顯了流暢的通訊技術,對人類社會發展的影響之遠大。而國際研究機構 IHS Market《5G經濟》報告預估,到了 2035 年,全球 5G 產業鏈投資額預計將達到約 4 兆美元,而由 5G 技術驅動的全球產業應用將創造超過 12 兆美元。其中又以製造、數位娛樂、交通等,影響最大。

Photo Credit : 一零四資訊科技公司
一零四資訊科技公司於 2020 年 3 月發布的《104 職務白皮書》。(Photo Credit : 一零四資訊科技公司)

正因為商機如此龐大,這些關鍵發展領域,延伸出來的產業與技術,更需要創新與創意人才的參與和培育,根據 2020 年 104 人力銀行的調查指出,未來搶手的 10 大熱門職業中,有 6 項職業,都直接與 5G 領域技術高度相關,顯見台灣對於這類人才的渴求與期盼。

瞄準世界發展 5G 領先產業,廣納台灣人才加入競賽

以此來看,5G 產業不僅是國際發展趨勢,更是台灣未來打造下一個兆元產業的重中之重。而為讓創意真正落地到可執行的情境中, 經濟部工業局也同步於辦理近 20 年的通訊大賽 MobileHero 之中,特於 2020 年增設「5G領航創新應用競賽」子競賽,吸納與挖掘更多 5G 應用相關人才,並透過賽事,激盪出更多 5G 應用創新想法與實踐性。

而今年度 5G 領航創新應用競賽串接人才與發展領域,更聚焦於數位娛樂、交通及製造領域,橫跨視聽展演、遊戲、運動、智慧觀光、交通、製造產業,衍伸技術從浮空投影、360 度全景沈浸式體驗、到自動駕駛、物流自動化、無人搬運車、影像辨識等等

本屆 5G 領航創新應用競賽總獎金超過 100萬,概念組更只要完成 6 題的提案企劃即可參賽,從製造、交通到數位娛樂,有 5G 應用創新構想的你現在馬上就上傳你的提案吧。 (Photo Credit : 資策會地方創生服務處)

為發展 5G 特定領域解決方案,以使用者場景出發,在這次的 5G 領航創新應用競賽裡,更鼓勵「跨域組隊」,透過不同領域的人才組合,也成為團隊相互激盪出有趣創意及能否多元思考的關鍵。

實作組概念組雙軌賽制,激發更多創新創意思維

舉例來說,假設今天參賽者是以「電動車」為概念發想,做出相關企劃提案,那從電動車裡的乘客,乃至於駕駛的體驗感受以及需求,都成為想像電動車應該會需要什麼功能與服務的重點,藉由這樣的場景描述,找出可以以 5G 技術滿足的痛點,便有可能可以提出一個極具商業化價值與創新創意的提案。

競賽本身即是為了挖掘與培育數位人才為出發點,更棒的是競賽以「實作」與「概念」兩種賽制雙軌並行,除了以往落地執行的實作組,「概念組」團隊僅需要提出「創新概念」的提案,試圖想像 5G 技術可能的應用情境,第一階段提出夠創新、夠獨特的 6 道提案企畫書,就符合參賽條件。更說明了經濟部工業局開放更大的空間,邀請更多不同領域的傑出人才,一起發想未來世界生活的理想樣貌。

同時,競賽更採贊助商即評審制,產業代表可以就第一線面對市場的經驗,直接回饋修正與優化的方向,讓概念化為實際商業產品或服務時,更有市場思維。

接軌世界與台灣發展趨勢,也考量到實作難度,5G 領航創新應用競賽提出雙軌賽制,更廣邀產業專家加入,不僅給予相關資源協助,更有貼近市場脈動的意見與經驗參考。與此同時,團隊還可使用經濟部工業局 digiBlock C 數位創新基地測試相關應用服務的可行性,讓所有參賽者無論最後有無得名,都能從中得到寶貴的經驗與機會。

競賽報名方式

  1. 參賽者不限國籍與年齡;新創團隊、公司行號、社會人士或學生皆可組隊參加。
  2. 每隊由 1 至 5 人自由組成,鼓勵成員跨領域組合,激發多元創意。
  3. 每隊可視需求設指導老師/專家最多 2 名。
  4. 概念組著重創新創意,僅需完成 6 道題目的概念企畫提案即可。

經濟部工業局 廣告