上海公共交通卡擁有自主知識產權 很安全
2009-04-16 09:24 RFID世界網
導讀:記者通過調查也發(fā)現(xiàn)�,不少網絡“黑客”以破解IC卡為噱頭在網上招攬顧客����。對此�,上海公共交通卡有限公司回應稱,滬上的交通卡符合建設部的IC卡標準且具有自主知識產權��,安全性完全能夠得到保證�。
日前有媒體報道����,工業(yè)和信息部發(fā)布了《關于做好應對部分IC卡出現(xiàn)嚴重安全漏洞工作的通知》�����,要求各地各機關和部門開展對IC卡使用情況的調查及應對工作����。據了解,這則通知出臺的背景是��,主要應用于IC卡系統(tǒng)的MI芯片的安全算法已遭到破解�,目前全國170個城市的約1.4億張應用此技術的IC卡將面臨巨大的安全隱患。
這則通知和相關報道被轉載于滬上各大論壇�����,引起網民們強烈反響�。不少網民擔心,以公共交通卡為代表的IC卡芯片算法一旦遭到破解�,儲值便可隨意修改,這將導致公共付費領域一片混亂�����,甚至帶來災難性的后果。記者通過調查也發(fā)現(xiàn)�����,不少網絡“黑客”以破解IC卡為噱頭在網上招攬顧客�����。對此��,上海公共交通卡有限公司回應稱����,滬上的交通卡符合建設部的IC卡標準且具有自主知識產權,安全性完全能夠得到保證����。
□晨報記者 姚克勤 實習生 陳 都
事件回放:國外專家宣布破解芯片算法
IC卡,即集成電路卡���,它是一種內藏大規(guī)模集成電路的塑料卡片。從上世紀90年代第一張非接觸邏輯加密IC卡推向市場開始�,經過十多年的發(fā)展,這類卡被廣泛應用于多個領域�。截至去年底�,全球非接觸IC卡的發(fā)行量已超過21億張�����。
德國研究員亨里克·普洛茨和美國弗吉尼亞大學計算機科學在讀博士卡爾斯滕·諾爾于今年發(fā)布了一項研究結果稱:他們最先利用電腦成功破解了恩智浦半導體的 Mifare經典芯片(簡稱MI芯片)安全算法���,而MI芯片的安全算法正是目前全世界應用最廣泛的非接觸式IC卡的安全算法����。不過��,考慮到這一成果如果被不法分子惡意利用的話�����,大多數門禁系統(tǒng)�����、公共繳費系統(tǒng)等將面臨巨大的安全隱患����,因此,兩名科學家在第一時間宣布絕不公布其破解的成果。
記者調查:眾多“黑客”自稱能破解IC卡
隨著國外科研人員破解IC卡算法的消息傳入國內���,一些“黑客”也躍躍欲試并瞄準了其中蘊含的商機����,公然在互聯(lián)網上叫賣破解和克隆設備���。昨天���,記者以采購設備的名義與一名自稱姓楊的“黑客”取得聯(lián)系,他表示可以提供包括電話卡���、小區(qū)門禁卡���、賓館門卡、桑拿卡�����、食堂卡�����、學生卡等多種IC卡的破解和克隆服務����。
據這名“黑客”介紹,破解和克隆IC卡的過程非常簡單�,使用者只需向他購買一套破解設備和一套復制設備,再根據操作說明便可自行完成破解和克隆��。根據待破解卡片的加密等級高低�����,這兩套設備的總價從800元至5000元不等��。這名“黑客”還表示�����,他已掌握了公交卡的破解和克隆技術�,但由于法律風險太大,目前不提供此項服務���。
在另一個小有名氣的“黑客”論壇�����,記者發(fā)現(xiàn)里面充斥了大量有償教授破解IC卡技巧的帖子�。一名發(fā)帖者稱,能破解超過20類IC卡�����,初學者只要花800元便能學會破解操作���,并承諾破解不成功全額退還學費��。不過�,論壇的版主告訴記者�����,這些所謂的“破解黑客”實際上良莠不齊���,不少人是打著“高手”的名義行騙�。
專家解讀:破解算法后能隨意修改儲值
“Mifare非接觸邏輯加密卡的安全性目前確實存在一定問題�����,這類卡的密鑰體系被攻破后���,會造成很大的安全隱患���?���!敝袊畔a業(yè)商會智能卡專業(yè)委員會理事長潘利華教授在接受記者采訪時表示��,這類邏輯加密卡進入我國已經有十多年的歷史���,它的價格比較便宜,使用起來很方便��,目前主要用于門禁系統(tǒng)�����、城市公交一卡通等領域���。
據潘利華介紹��,一旦安全算法被破解�,不法分子就可以隨意修改卡內的儲值信息�����。此外,還可以隨意復制卡片�����,這都會給城市公共事業(yè)造成安全隱患����。
據了解,截至目前�,我國170余個城市應用了不同規(guī)模的公用事業(yè)IC卡系統(tǒng),發(fā)卡量已超過1.5億張��,約有95%的城市在應用IC卡系統(tǒng)時選擇使用非接觸式IC卡����,即相當于約有1.4億張非接觸式IC卡在我國城市公用事業(yè)IC卡系統(tǒng)中應用,其應用范圍覆蓋公交��、地鐵�、出租、輪渡���、自來水�、燃氣及小額消費等領域。目前�,如何解決這個安全漏洞是業(yè)內和相關部門亟待思考的問題。
公交卡公司回應:滬上交通卡很安全
上海公共交通卡有限公司新聞發(fā)言人在接受記者采訪時表示���,滬上公共交通卡不是Mifare非接觸邏輯加密卡�����,而是具有自主知識產權的非接觸式IC卡,符合建設部IC卡標準��,安全性能夠得到保證����,發(fā)卡至今未發(fā)生一起卡內金額遭破解、篡改的案例��。不過�,對于滬上交通卡究竟通過哪些技術來防范風險,該新聞發(fā)言人以核心技術涉及機密為由拒絕透露�。
據了解,目前上海公共交通卡的發(fā)卡數量已超過2000萬張���,使用范圍包括公交車�����、地鐵���、輪渡�、高速公路���、停車場�、加油站等多個與公共交通相關的領域�����。目前�,交通卡公司已按照建設部等有關部門的新要求對卡片升級進行有益的嘗試。
應對策略:將邏輯加密卡升級為CPU卡
“事實上���,防范Mifare算法遭破解的根本解決方案是改造現(xiàn)有IC卡系統(tǒng)�,逐步將邏輯加密卡升級為CPU卡�����。”潘利華表示����,和目前廣泛使用的邏輯加密卡相比,CPU卡問世較晚�,但這類卡擁有獨立的CPU處理器和芯片操作系統(tǒng),卡內部有一套專門用于互相識別的機制���,在此機制下密鑰安全算法等設計得比較嚴謹���,數據安全性較高,能方便快捷地支持多領域需求��,交易也更安全�。據介紹���,目前歐洲的銀行卡已經由磁條卡向CPU卡轉變��,我國少數城市已開始試點使用CPU卡�。
防范支招:一次充值金額不要太多
雖然IC卡存在安全隱患�,但也不能“因噎廢食”而棄之不用。那么�����,普通市民該如何加強用卡安全呢?潘利華建議����,首先,不要將卡隨意借給他人使用��,以免卡片信息被人復制�����;其次���,用卡時留意周圍環(huán)境����,不要讓卡片離開視線范圍�;第三,平時外出時����,不要為了刷卡方便而把卡隨意放在包的外層或掛在手機、衣物上�����,以免卡內信息在不知不覺間被人讀取�;第四,對于儲值類卡���,一次充值金額不要太多���,一旦丟失或信息被盜,損失也不會太大����。
