卡式台胞證與數位身分證?其實問題在晶片!

資訊安全最大的問題是在人和管理,技術只是其次,所以我之前講過:「如果你認為技術可以解決你資訊安全的問題,那麼你不懂問題,你也不了解技術。」
評論
▲Photo Credit: 擷取自內政部網頁
評論

本文作者為李忠,原文發表於作者臉書,INSIDE 獲授權轉載,作者在國立成功大學擔任教授,同時也在成大資通安全研究與教學中心擔任主任。

資安問題,技術只是其次

資訊安全最大的問題是在人和管理,技術只是其次,所以我之前講過:「如果你認為技術可以解決你資訊安全的問題,那麼你不懂問題,你也不了解技術。」

但是身為電機系的教授總該要講一下技術吧?根據實際拿到數位晶片身分證教授的研究,這這個晶片直接就是拿 eMRTD (Machine Readable Travel Documents,可機讀旅行文件)來改設定,然後就變成了我們的數位身分證。

射頻標籤(RFID)原先是使用在牛隻追蹤或是沃爾瑪等百貨公司做存貨管理和快速結帳使用,因為被動式的標籤價格便宜,使用方便,曾經被考慮拿來取代條碼或是二維條碼使用,但是因為侵犯隱私權的疑慮太大,沃爾瑪等百貨公司最後只好放棄。

這個晶片除了射頻標籤的部分,還有包含生物特徵的紀錄,雖然內政部說這個部分不會使用,但是買這麼高級的晶片,卻不使用裡面的功能,這個國家是不是太有錢?不然還有什麼原因?

晶片可破解也可複製

根據公布的標準,保護這個晶片資料的協定,第一個是基本存取控制(Basic Access Control,BAC),先在機器閲讀區(Machine Readable Zone)利用光學掃瞄器,讀取姓名、生日等資訊,建立一把會議金鑰之後,再利用射頻標籤(RFID)主動驗證晶片內的生物特徵資料,這些生物特徵資料,是由發卡國家加密保護。

因為產生金鑰的亂度(熵 entropy)很低,已經有駭客在兩個小時內破解 BAC,另外完全複製晶片內容也有多起案例。

再從內部人的攻擊來說,管理這個晶片相關的資料庫十分重要,所以歐洲資料保護組織「Data Protection Directive」有一個技術和組織管理的應對措施,其中光金鑰保護的原則,8-key principle ,要 8 把不同的金鑰,十分嚴格。

既然歐洲這麼重視,顯然有其重要性,只是目前都還不知道,我們內政部的管理要用什麼標準?有沒有任何的官員懂這些技術?靠外包廠商就可以解決這些問題嗎?沒有中資、不是中國人就可以保證安全?

RFID 可以遠距隔空讀取

第二個重點,是射頻標籤 RFID 的安全性,晶片卡用的射頻標準是 ISO 14443,標籤的本身當然不會主動發出訊號,更不會發出現在定位的訊號。但是只要有射頻標籤的讀取器在附近,就可以讀取這個標籤。

根據 ISO 14443 的標準,晶片可以讀取的範圍是 10-15 公分,但是使用加強的天線,就可以在 50-60 公分的距離讀取晶片,已經有玩家可以在暗網上面用幾百塊美金買到。而實驗室的研究,5 公尺的讀取範圍被證實是做得到,能不能被隔空讀取早已經不是問題,問題是距離多遠?

射頻標籤晶片可怕之處,在於可以明確的對應標籤和人的關係,犯罪集團很難了解台灣鉅富或是想要綁架的對象手機到底用那一隻,但是只要能夠讀取射頻標籤,就一定可以確認是不是目標人物。

不會因為改個名字就沒有資安疑慮

當初馬政府的陸委會跳出來說卡式台胞證沒有資安疑慮,現在蔡政府的內政部說數位身分證沒有資安疑慮。

大家有沒有發現這些官員實在太厲害,明明就是一塊功能強大、可以儲存生物特徵的遠距讀取晶片,但是一個叫做「卡式台胞證」,一個叫做「數位身分證」,把這塊強大的「晶片」完全隱藏的無影無蹤,實在太聰明了!

責任編輯:李柏鋒
核稿編輯:Anny

延伸閱讀:



AWS For Data Web Day:5 / 25 免費線上研討會,帶領企業制定現代化數據戰略

AWS 將於 2022 年 5 月 25 日 下午 2:00~5:00 舉行線上研討會 AWS For Data Web Day,以「數據與分析」為本次活動主旨,幫助企業制定現代化數據戰略,除了精彩內容外,同時也邀請了 3 位知名產業經驗的客戶進行分享,讓您了解在產業實務上 AWS 如何協助企業進行轉型。
評論
評論

數位轉型是一段不斷學習與創新的過程。身為雲端服務龍頭,AWS 從過去到現在從未停止創新,且為了幫助企業客戶在數據為王的時代,能有效利用數據資料獲得深入洞察、搶得市場先機,AWS 將於 2022 年 5 月 25 日 下午 2:00~5:00 舉行線上研討會 AWS For Data Web Day,以「數據與分析」為本次活動主旨,幫助企業制定現代化數據戰略。

2022 年的關鍵任務:制定現代化數據戰略

在討論元宇宙拓荒、搶佔新興科技商機以前,企業是否已經紮穩腳步,建置完善的數據資料庫,建構業務創新的重要基礎?在邁向新時代的關鍵 2022 年,此刻最重要的任務之一,是制定現代化的數據戰略,幫助企業持續數位轉型。對此,AWS For Data Web Day 線上研討會內容,將包含 Amazon DynamoDB 的十年創新之旅,帶領參與者進行新功能重點探討,並且同步深入了解 AWS 現代化企業數據遷移實戰、現代化數據平台大戰略、數據創新與加速分析應用等。

除了詳細解說數據對您企業帶來的影響之外,也邀請到 AWS 實際企業客戶分享成功案例,加速了解如何運用數據與分析進行產業數位轉型。

如何透過 AWS 獲得成功?重量級客戶親自揭密

AWS For Data Web Day 線上研討會本次邀請了重量級來賓,成功企業包含全方位寵物管家 萬達寵物、大數據智能資料稽核與保護的專家 – Datiphy 以及企業數據資產整合專家 – eForce,以上三間知名企業,將親自講授他們是如何透過 AWS 獲得成功,並且在數位轉型上取得領先的地位。

本場研討會,在深入了解該如何提升數據分析的效能的同時,又能兼具成本效益高與安全性;適合對於如何靈活應用大數據、對數據分析有興趣、想要建構數據與分析基本功的所有受眾,例如:公司技術部門決策人、業務決策人、IT 主管及希望深入認識數據分析的任何人士。與會期間參與問答,還有機會抽中百元美食外送平台優惠券。

在 AWS For Data Web Day 中探討雲端數據資料庫的優勢與做法,包括:

  1. 20 萬多個資料湖在 AWS 上執行
  2. 使用 Amazon EMR 比標準 Apache Spark 快 3 倍
  3. 比其他雲端資料倉儲更實惠的價格效能達 3 倍
  4. 使用 Amazon OpenSearch Service 在單個叢集中儲存的資料量可達 3PB
  5. 節省 70% 資料湖中資料的儲存成本

AWS For Data Web Day 報名須知

  • 日期:2022 年 5 月 25 日(星期三)
  • 時間:2:00 PM~5:00 PM
  • 形式:線上研討會

建議在活動前免費註冊 AWS 帳號  ,新註冊戶可兌換精美好禮三合一數據線。若為首次參加線上研討會者,GoToWebinar 會自動偵測電腦配置,可在加入時自動安裝;若是使用手機登入此活動,則需安裝 GoToWebinar 手機應用程式。