来源:新闻晨报 作者:姚克勤 发布时间:2009-04-16 08:51:26 字体:[大 中 小]
摘 要:记者通过调查也发现,不少网络“黑客”以破解IC卡为噱头在网上招揽顾客。对此,上海公共交通卡有限公司回应称,沪上的交通卡符合建设部的IC卡标准且具有自主知识产权,安全性完全能够得到保证。
日前有媒体报道,工业和信息部发布了《关于做好应对部分IC卡出现严重安全漏洞工作的通知》,要求各地各机关和部门开展对IC卡使用情况的调查及应对工作。据了解,这则通知出台的背景是,主要应用于IC卡系统的MI芯片的安全算法已遭到破解,目前全国170个城市的约1.4亿张应用此技术的IC卡将面临巨大的安全隐患。
这则通知和相关报道被转载于沪上各大论坛,引起网民们强烈反响。不少网民担心,以公共交通卡为代表的IC卡芯片算法一旦遭到破解,储值便可随意修改,这将导致公共付费领域一片混乱,甚至带来灾难性的后果。记者通过调查也发现,不少网络“黑客”以破解IC卡为噱头在网上招揽顾客。对此,上海公共交通卡有限公司回应称,沪上的交通卡符合建设部的IC卡标准且具有自主知识产权,安全性完全能够得到保证。
□晨报记者 姚克勤 实习生 陈 都
事件回放:国外专家宣布破解芯片算法
IC卡,即集成电路卡,它是一种内藏大规模集成电路的塑料卡片。从上世纪90年代第一张非接触逻辑加密IC卡推向市场开始,经过十多年的发展,这类卡被广泛应用于多个领域。截至去年底,全球非接触IC卡的发行量已超过21亿张。
德国研究员亨里克·普洛茨和美国弗吉尼亚大学计算机科学在读博士卡尔斯滕·诺尔于今年发布了一项研究结果称:他们最先利用电脑成功破解了恩智浦半导体的Mifare经典芯片(简称MI芯片)安全算法,而MI芯片的安全算法正是目前全世界应用最广泛的非接触式IC卡的安全算法。不过,考虑到这一成果如果被不法分子恶意利用的话,大多数门禁系统、公共缴费系统等将面临巨大的安全隐患,因此,两名科学家在第一时间宣布绝不公布其破解的成果。
记者调查:众多“黑客”自称能破解IC卡
随着国外科研人员破解IC卡算法的消息传入国内,一些“黑客”也跃跃欲试并瞄准了其中蕴含的商机,公然在互联网上叫卖破解和克隆设备。昨天,记者以采购设备的名义与一名自称姓杨的“黑客”取得联系,他表示可以提供包括电话卡、小区门禁卡、宾馆门卡、桑拿卡、食堂卡、学生卡等多种IC卡的破解和克隆服务。
据这名“黑客”介绍,破解和克隆IC卡的过程非常简单,使用者只需向他购买一套破解设备和一套复制设备,再根据操作说明便可自行完成破解和克隆。根据待破解卡片的加密等级高低,这两套设备的总价从800元至5000元不等。这名“黑客”还表示,他已掌握了公交卡的破解和克隆技术,但由于法律风险太大,目前不提供此项服务。
在另一个小有名气的“黑客”论坛,记者发现里面充斥了大量有偿教授破解IC卡技巧的帖子。一名发帖者称,能破解超过20类IC卡,初学者只要花800元便能学会破解操作,并承诺破解不成功全额退还学费。不过,论坛的版主告诉记者,这些所谓的“破解黑客”实际上良莠不齐,不少人是打着“高手”的名义行骗。
专家解读:破解算法后能随意修改储值
“Mifare非接触逻辑加密卡的安全性目前确实存在一定问题,这类卡的密钥体系被攻破后,会造成很大的安全隐患。”中国信息产业商会智能卡专业委员会理事长潘利华教授在接受记者采访时表示,这类逻辑加密卡进入我国已经有十多年的历史,它的价格比较便宜,使用起来很方便,目前主要用于门禁系统、城市公交一卡通等领域。
据潘利华介绍,一旦安全算法被破解,不法分子就可以随意修改卡内的储值信息。此外,还可以随意复制卡片,这都会给城市公共事业造成安全隐患。
据了解,截至目前,我国170余个城市应用了不同规模的公用事业IC卡系统,发卡量已超过1.5亿张,约有95%的城市在应用IC卡系统时选择使用非接触式IC卡,即相当于约有1.4亿张非接触式IC卡在我国城市公用事业IC卡系统中应用,其应用范围覆盖公交、地铁、出租、轮渡、自来水、燃气及小额消费等领域。目前,如何解决这个安全漏洞是业内和相关部门亟待思考的问题。
公交卡公司回应:沪上交通卡很安全
上海公共交通卡有限公司新闻发言人在接受记者采访时表示,沪上公共交通卡不是Mifare非接触逻辑加密卡,而是具有自主知识产权的非接触式IC卡,符合建设部IC卡标准,安全性能够得到保证,发卡至今未发生一起卡内金额遭破解、篡改的案例。不过,对于沪上交通卡究竟通过哪些技术来防范风险,该新闻发言人以核心技术涉及机密为由拒绝透露。
据了解,目前上海公共交通卡的发卡数量已超过2000万张,使用范围包括公交车、地铁、轮渡、高速公路、停车场、加油站等多个与公共交通相关的领域。目前,交通卡公司已按照建设部等有关部门的新要求对卡片升级进行有益的尝试。
应对策略:将逻辑加密卡升级为CPU卡
“事实上,防范Mifare算法遭破解的根本解决方案是改造现有IC卡系统,逐步将逻辑加密卡升级为CPU卡。”潘利华表示,和目前广泛使用的逻辑加密卡相比,CPU卡问世较晚,但这类卡拥有独立的CPU处理器和芯片操作系统,卡内部有一套专门用于互相识别的机制,在此机制下密钥安全算法等设计得比较严谨,数据安全性较高,能方便快捷地支持多领域需求,交易也更安全。 据介绍,目前欧洲的银行卡已经由磁条卡向CPU卡转变,我国少数城市已开始试点使用CPU卡。
防范支招:一次充值金额不要太多
虽然IC卡存在安全隐患,但也不能“因噎废食”而弃之不用。那么,普通市民该如何加强用卡安全呢?潘利华建议,首先,不要将卡随意借给他人使用,以免卡片信息被人复制;其次,用卡时留意周围环境,不要让卡片离开视线范围;第三,平时外出时,不要为了刷卡方便而把卡随意放在包的外层或挂在手机、衣物上,以免卡内信息在不知不觉间被人读取;第四,对于储值类卡,一次充值金额不要太多,一旦丢失或信息被盗,损失也不会太大。