IC卡：加強(qiáng)防范意識 構(gòu)筑安全之“盾”

 　　從上世紀(jì)90年代第一張非接觸邏輯加密IC卡（以下簡稱非接觸卡）推向市場，到目前為止，非接觸卡在世界應(yīng)用市場上的推廣與發(fā)展已經(jīng)經(jīng)歷了十幾個年頭，在這十多年間，非接觸IC卡在門禁、公交、小額支付等人們的日常生活中得到了廣泛的應(yīng)用。截止去年，根據(jù)國際智能卡組織的統(tǒng)計數(shù)據(jù)顯示，世界上該類IC卡的發(fā)行量已超過21億張。巨量的IC卡發(fā)行給芯片制造商帶來了巨大的商業(yè)利潤，當(dāng)人們沉浸于非接觸卡給生活帶來巨大便利的時候，在2008歐洲計算機(jī)安全研討會（Esorics）上，Jacobs教授將一份有關(guān)非接觸式IC卡的漏洞的報告公布于眾，一時間，引起軒然大波。由非接觸邏輯加密IC卡引發(fā)的安全問題，猶如一股“旋風(fēng)”，在業(yè)界引發(fā)大討論。

　　中國智能卡專業(yè)委員會于3月26日還專門就非接觸IC卡的安全問題，召開了研討會。會上有關(guān)專家各抒己見，發(fā)表了精彩的演講。那么非接觸IC卡的安全問題，究竟將為廣大民眾的生活帶來怎樣的影響？我們目前使用的諸如公交卡、市民卡等有沒有可能被盜刷或者克??？我們目前應(yīng)用的智能卡系統(tǒng)是否足夠安全？在具體進(jìn)行分析前，我們先看一下，近年來發(fā)生在國際上的有關(guān)事件。

    2008年2月，在美國華盛頓舉行的BlackHat DC大會上，研究人員Adam Laurie發(fā)布了其最新的研究成果——能夠直接在RFID或磁條介質(zhì)的信用卡和其他卡片上讀寫信息的攻擊程序，黑客只需通過這個程序，結(jié)合最普通的讀卡器，便可直接進(jìn)行相關(guān)攻擊。此外，這名研究人員還發(fā)現(xiàn)，相當(dāng)多種類的卡片上所存儲用戶隱私信息并沒有經(jīng)過妥善加密，攻擊者可輕易的從這些卡片上讀出合法用戶的隱私信息，并進(jìn)行卡片復(fù)制或其他類似的非法活動……

    2008年2月下旬，荷蘭半導(dǎo)體芯片制造商N(yùn)XP起訴了荷蘭的Radboud大學(xué)，以阻止其公布關(guān)于NXP無線智能卡安全漏洞的研究細(xì)節(jié)。據(jù)稱該大學(xué)成功破解了這種智能卡系統(tǒng)，而這種無線智能卡被廣泛應(yīng)用于世界各地的門禁或安全系統(tǒng)上。據(jù)悉，Radboud大學(xué)計劃把研究結(jié)果刊登在今年10月份的技術(shù)雜志上。經(jīng)荷蘭Radboud大學(xué)證實(shí)，它們已經(jīng)可以克隆NXP的門禁卡，并在理論上可利用被盜身份訪問裝有門禁系統(tǒng)的建筑物和設(shè)施。另外，Radboud大學(xué)的Bart Jacobs博士在上個月演示了如何免費(fèi)乘坐倫敦的公交系統(tǒng)，他與其他乘客擦肩而過，利用筆記本電腦和智能卡資料收集裝置成功的克隆了使用NXP系統(tǒng)的OYSTER公交卡……

    2008年8月11日，美國麻省理工學(xué)院的3名學(xué)生成功破解波士頓地鐵乘車卡的密碼，他們打算在賭城拉斯維加斯的黑客大會上，與“同行”分享他們?nèi)绾蚊赓M(fèi)乘搭地鐵的心得；但波士頓市捷運(yùn)公司先發(fā)制人，成功取得法院禁令阻止他們這么做。據(jù)報道，波士頓捷運(yùn)公司8日向聯(lián)邦法院提出申請，要求禁止麻省理工學(xué)院這3個學(xué)生在大會上演說，法院在次日批準(zhǔn)了申請，對3名學(xué)生下了“封口令”……

    2008年8月，由于Oyster卡系統(tǒng)服務(wù)器癱瘓造成卡片無法使用，成千上萬倫敦上班族只能更換他們的Oyster卡。這一支付架構(gòu)癱瘓的，公交司機(jī)們只能讓人們免費(fèi)乘坐地鐵和巴士。這一事件非常嚴(yán)重，因?yàn)槿藗円蕾嘡FID卡系統(tǒng)的程度很高。自2003年以來已經(jīng)發(fā)行了1,700多萬張卡，目前有80%的交通卡都是這種卡。2008年10月關(guān)于如何破解世界上最流行非接觸式IC卡的方法現(xiàn)在已經(jīng)公布到互聯(lián)網(wǎng)上……

    2008年10月26日，據(jù)韓國議員陳秀希拿到的《IC現(xiàn)金卡復(fù)制結(jié)果報告書》，韓國電子通訊研究院(ETRI)旗下的國家保安技術(shù)研究院（NSRI）在8月份進(jìn)行了復(fù)制IC現(xiàn)金卡的實(shí)驗(yàn)，并成功的導(dǎo)出了密碼及復(fù)制IC卡。 韓國國家保安技術(shù)研究院在報告書上表示“復(fù)制卡后，可非法轉(zhuǎn)賬，并能夠進(jìn)行正常的交易。而且，可輸出明細(xì)表” ……

    今年初，德國研究員亨里克.普洛茨（Henryk Plotz）和弗吉尼亞大學(xué)計算機(jī)科學(xué)在讀博士卡爾斯滕.諾爾（Karsten Nohl）申稱，成功地破解了NXP的Mifare（非接觸智能卡）經(jīng)典芯片的安全算法。

　　從以上國外媒體所報道的事件來看，非接觸卡加密算法被攻破，已經(jīng)是不爭的事實(shí)，那么接下來面臨的問題是，使用非接觸卡將存在巨大的安全隱患，因?yàn)榉墙佑|卡加密算法的破解，使原始持卡人遭受經(jīng)濟(jì)甚至安全上的侵害，這自然引起了人們的擔(dān)憂和恐慌。不過假如我們仔細(xì)分析上面所報道的信息不難發(fā)現(xiàn)，破解Mifare芯片的主體，主要集中于學(xué)校，科研院所，等相關(guān)的學(xué)術(shù)與研究機(jī)構(gòu)，也就是說，加密算法的破解僅限于專業(yè)技術(shù)人員范圍之內(nèi)，并未在社會上廣泛流行，同時司法機(jī)關(guān)也已經(jīng)及時采取了相關(guān)的限制行動。因此Mifare芯片的安全漏洞將被局限于一個較小的范圍之內(nèi)，對普通民眾的實(shí)際影響將非常有限，即便有也可能僅僅是心理上的安全擔(dān)憂，恐慌是沒有必要的。與現(xiàn)在犯罪分子大肆克隆銀行卡（磁條卡）來比較，其實(shí)際危害幾乎可以忽略不計。

　　從民眾的角度來說不必過于擔(dān)心，但對與專業(yè)機(jī)構(gòu)，及相關(guān)的智能卡安全監(jiān)管機(jī)構(gòu)來說卻是要保持高度警惕的。在加密與反加密的斗爭中，我們習(xí)慣了“道高一尺，魔高一丈”的說法，在危險與安全的角逐中，而危險往往最終消弭于安全。這是歷史的必然。因此廣大民眾完全沒有必要過度擔(dān)憂甚至恐慌。

　　目前國內(nèi)的企業(yè)由于早就認(rèn)識到了非接觸卡所面臨的安全隱患，所以大多已轉(zhuǎn)向加密性更高的CPU智能卡生產(chǎn)，新上馬的智能卡項目如社?？ā⒐豢ǖ纫泊蠖嗖捎昧薈PU智能卡，如果現(xiàn)在大家手里所拿的是新卡，就可以完全放心大膽的使用，因?yàn)槟壳暗腃PU智能卡的安全系數(shù)要比原來的非接觸卡高達(dá)萬倍，并且目前世界上還沒有破解CPU卡的信息出現(xiàn)。

　　目前的智能卡系統(tǒng)是安全的。從現(xiàn)實(shí)的角度來分析，黑客或犯罪分子攻擊非接觸卡的成本與風(fēng)險要遠(yuǎn)遠(yuǎn)高于目前的銀行卡，一張小額支付非接觸卡，往往只充值幾十元，而一個用于破解非接觸卡的讀卡器就要上千元，再加上電腦，還必須了解相關(guān)的技術(shù)知識。這對于大多犯罪分子來說是有些難以企及的。相對于動輒儲存數(shù)千數(shù)萬元的銀行卡來說，或許黑客或犯罪分子更傾向于攻擊銀行卡及其應(yīng)用系統(tǒng)。從目前的現(xiàn)實(shí)情況來看也確實(shí)是這樣。就國內(nèi)來說，每年關(guān)于銀行卡的犯罪所造成的經(jīng)濟(jì)損失高達(dá)近億元，而針對非接觸卡方面的犯罪，目前還沒有媒體的公開報道。并且隨著時間的推移，民眾使用的非接觸卡即將在幾年內(nèi)到期，更換成高安全性的CPU卡成為必然。因此大家完全可以放心大膽繼續(xù)使用。

　　就智能卡行業(yè)內(nèi)部來說，有實(shí)力的企業(yè)或機(jī)構(gòu)，大多設(shè)計了最新的國產(chǎn)加密算法并應(yīng)用于新的CPU卡芯片，同時加強(qiáng)了相關(guān)系統(tǒng)的安全防范，行業(yè)的技術(shù)精英們也時刻警惕著，不但在緊盯國際智能卡發(fā)展的動向，同時也在大力開發(fā)與研究安全性更高的技術(shù)或產(chǎn)品。

　　做為普通民眾的我們，也要加強(qiáng)防范之心，經(jīng)常對自己卡片內(nèi)資金狀況與實(shí)際應(yīng)用的狀況核對，發(fā)現(xiàn)異常及時采取相關(guān)措施，或通知有關(guān)的發(fā)卡部門，或報告警方。在加上政府有關(guān)安全方面的部門的高度重視，智能卡應(yīng)用的安全環(huán)境將依然樂觀。

　　只要我們智能卡行業(yè)的精英們與政府安全部門的工作者們，以及我們廣大的普通持卡者們加強(qiáng)防范意識，一定能夠構(gòu)筑我們國家自己的智能卡應(yīng)用的安全之“盾”。

　　最后，在這春光明媚的日子里，預(yù)祝我國智能卡應(yīng)用的明天，更加安全、和諧！預(yù)祝智能卡在未來的日子里，為民生，為社會，為國家的發(fā)展貢獻(xiàn)更大的力量。