IC卡:加强防范意识 构筑安全之“盾”
作者:白鸿
来源:中国智能卡网
日期:2009-04-09 14:25:51
摘要:那么非接触IC卡的安全问题,究竟将为广大民众的生活带来怎样的影响?我们目前使用的诸如公交卡、市民卡等有没有可能被盗刷或者克隆?我们目前应用的智能卡系统是否足够安全?
从上世纪90年代第一张非接触逻辑加密IC卡(以下简称非接触卡)推向市场,到目前为止,非接触卡在世界应用市场上的推广与发展已经经历了十几个年头,在这十多年间,非接触IC卡在门禁、公交、小额支付等人们的日常生活中得到了广泛的应用。截止去年,根据国际智能卡组织的统计数据显示,世界上该类IC卡的发行量已超过21亿张。巨量的IC卡发行给芯片制造商带来了巨大的商业利润,当人们沉浸于非接触卡给生活带来巨大便利的时候,在2008欧洲计算机安全研讨会(Esorics)上,Jacobs教授将一份有关非接触式IC卡的漏洞的报告公布于众,一时间,引起轩然大波。由非接触逻辑加密IC卡引发的安全问题,犹如一股“旋风”,在业界引发大讨论。
中国智能卡专业委员会于3月26日还专门就非接触IC卡的安全问题,召开了研讨会。会上有关专家各抒己见,发表了精彩的演讲。那么非接触IC卡的安全问题,究竟将为广大民众的生活带来怎样的影响?我们目前使用的诸如公交卡、市民卡等有没有可能被盗刷或者克隆?我们目前应用的智能卡系统是否足够安全?在具体进行分析前,我们先看一下,近年来发生在国际上的有关事件。
2008年2月,在美国华盛顿举行的BlackHat DC大会上,研究人员Adam Laurie发布了其最新的研究成果——能够直接在RFID或磁条介质的信用卡和其他卡片上读写信息的攻击程序,黑客只需通过这个程序,结合最普通的读卡器,便可直接进行相关攻击。此外,这名研究人员还发现,相当多种类的卡片上所存储用户隐私信息并没有经过妥善加密,攻击者可轻易的从这些卡片上读出合法用户的隐私信息,并进行卡片复制或其他类似的非法活动……
2008年2月下旬,荷兰半导体芯片制造商NXP起诉了荷兰的Radboud大学,以阻止其公布关于NXP无线智能卡安全漏洞的研究细节。据称该大学成功破解了这种智能卡系统,而这种无线智能卡被广泛应用于世界各地的门禁或安全系统上。据悉,Radboud大学计划把研究结果刊登在今年10月份的技术杂志上。经荷兰Radboud大学证实,它们已经可以克隆NXP的门禁卡,并在理论上可利用被盗身份访问装有门禁系统的建筑物和设施。另外,Radboud大学的Bart Jacobs博士在上个月演示了如何免费乘坐伦敦的公交系统,他与其他乘客擦肩而过,利用笔记本电脑和智能卡资料收集装置成功的克隆了使用NXP系统的OYSTER公交卡……
2008年8月11日,美国麻省理工学院的3名学生成功破解波士顿地铁乘车卡的密码,他们打算在赌城拉斯维加斯的黑客大会上,与“同行”分享他们如何免费乘搭地铁的心得;但波士顿市捷运公司先发制人,成功取得法院禁令阻止他们这么做。据报道,波士顿捷运公司8日向联邦法院提出申请,要求禁止麻省理工学院这3个学生在大会上演说,法院在次日批准了申请,对3名学生下了“封口令”……
2008年8月,由于Oyster卡系统服务器瘫痪造成卡片无法使用,成千上万伦敦上班族只能更换他们的Oyster卡。这一支付架构瘫痪的,公交司机们只能让人们免费乘坐地铁和巴士。这一事件非常严重,因为人们依赖RFID卡系统的程度很高。自2003年以来已经发行了1,700多万张卡,目前有80%的交通卡都是这种卡。2008年10月关于如何破解世界上最流行非接触式IC卡的方法现在已经公布到互联网上……
2008年10月26日,据韩国议员陈秀希拿到的《IC现金卡复制结果报告书》,韩国电子通讯研究院(ETRI)旗下的国家保安技术研究院(NSRI)在8月份进行了复制IC现金卡的实验,并成功的导出了密码及复制IC卡。 韩国国家保安技术研究院在报告书上表示“复制卡后,可非法转账,并能够进行正常的交易。而且,可输出明细表” ……
今年初,德国研究员亨里克.普洛茨(Henryk Plotz)和弗吉尼亚大学计算机科学在读博士卡尔斯滕.诺尔(Karsten Nohl)申称,成功地破解了NXP的Mifare(非接触智能卡)经典芯片的安全算法。
从以上国外媒体所报道的事件来看,非接触卡加密算法被攻破,已经是不争的事实,那么接下来面临的问题是,使用非接触卡将存在巨大的安全隐患,因为非接触卡加密算法的破解,使原始持卡人遭受经济甚至安全上的侵害,这自然引起了人们的担忧和恐慌。不过假如我们仔细分析上面所报道的信息不难发现,破解Mifare芯片的主体,主要集中于学校,科研院所,等相关的学术与研究机构,也就是说,加密算法的破解仅限于专业技术人员范围之内,并未在社会上广泛流行,同时司法机关也已经及时采取了相关的限制行动。因此Mifare芯片的安全漏洞将被局限于一个较小的范围之内,对普通民众的实际影响将非常有限,即便有也可能仅仅是心理上的安全担忧,恐慌是没有必要的。与现在犯罪分子大肆克隆银行卡(磁条卡)来比较,其实际危害几乎可以忽略不计。
从民众的角度来说不必过于担心,但对与专业机构,及相关的智能卡安全监管机构来说却是要保持高度警惕的。在加密与反加密的斗争中,我们习惯了“道高一尺,魔高一丈”的说法,在危险与安全的角逐中,而危险往往最终消弭于安全。这是历史的必然。因此广大民众完全没有必要过度担忧甚至恐慌。
目前国内的企业由于早就认识到了非接触卡所面临的安全隐患,所以大多已转向加密性更高的CPU智能卡生产,新上马的智能卡项目如社保卡、公交卡等也大多采用了CPU智能卡,如果现在大家手里所拿的是新卡,就可以完全放心大胆的使用,因为目前的CPU智能卡的安全系数要比原来的非接触卡高达万倍,并且目前世界上还没有破解CPU卡的信息出现。
目前的智能卡系统是安全的。从现实的角度来分析,黑客或犯罪分子攻击非接触卡的成本与风险要远远高于目前的银行卡,一张小额支付非接触卡,往往只充值几十元,而一个用于破解非接触卡的读卡器就要上千元,再加上电脑,还必须了解相关的技术知识。这对于大多犯罪分子来说是有些难以企及的。相对于动辄储存数千数万元的银行卡来说,或许黑客或犯罪分子更倾向于攻击银行卡及其应用系统。从目前的现实情况来看也确实是这样。就国内来说,每年关于银行卡的犯罪所造成的经济损失高达近亿元,而针对非接触卡方面的犯罪,目前还没有媒体的公开报道。并且随着时间的推移,民众使用的非接触卡即将在几年内到期,更换成高安全性的CPU卡成为必然。因此大家完全可以放心大胆继续使用。
就智能卡行业内部来说,有实力的企业或机构,大多设计了最新的国产加密算法并应用于新的CPU卡芯片,同时加强了相关系统的安全防范,行业的技术精英们也时刻警惕着,不但在紧盯国际智能卡发展的动向,同时也在大力开发与研究安全性更高的技术或产品。
做为普通民众的我们,也要加强防范之心,经常对自己卡片内资金状况与实际应用的状况核对,发现异常及时采取相关措施,或通知有关的发卡部门,或报告警方。在加上政府有关安全方面的部门的高度重视,智能卡应用的安全环境将依然乐观。
只要我们智能卡行业的精英们与政府安全部门的工作者们,以及我们广大的普通持卡者们加强防范意识,一定能够构筑我们国家自己的智能卡应用的安全之“盾”。
最后,在这春光明媚的日子里,预祝我国智能卡应用的明天,更加安全、和谐!预祝智能卡在未来的日子里,为民生,为社会,为国家的发展贡献更大的力量。
中国智能卡专业委员会于3月26日还专门就非接触IC卡的安全问题,召开了研讨会。会上有关专家各抒己见,发表了精彩的演讲。那么非接触IC卡的安全问题,究竟将为广大民众的生活带来怎样的影响?我们目前使用的诸如公交卡、市民卡等有没有可能被盗刷或者克隆?我们目前应用的智能卡系统是否足够安全?在具体进行分析前,我们先看一下,近年来发生在国际上的有关事件。
2008年2月,在美国华盛顿举行的BlackHat DC大会上,研究人员Adam Laurie发布了其最新的研究成果——能够直接在RFID或磁条介质的信用卡和其他卡片上读写信息的攻击程序,黑客只需通过这个程序,结合最普通的读卡器,便可直接进行相关攻击。此外,这名研究人员还发现,相当多种类的卡片上所存储用户隐私信息并没有经过妥善加密,攻击者可轻易的从这些卡片上读出合法用户的隐私信息,并进行卡片复制或其他类似的非法活动……
2008年2月下旬,荷兰半导体芯片制造商NXP起诉了荷兰的Radboud大学,以阻止其公布关于NXP无线智能卡安全漏洞的研究细节。据称该大学成功破解了这种智能卡系统,而这种无线智能卡被广泛应用于世界各地的门禁或安全系统上。据悉,Radboud大学计划把研究结果刊登在今年10月份的技术杂志上。经荷兰Radboud大学证实,它们已经可以克隆NXP的门禁卡,并在理论上可利用被盗身份访问装有门禁系统的建筑物和设施。另外,Radboud大学的Bart Jacobs博士在上个月演示了如何免费乘坐伦敦的公交系统,他与其他乘客擦肩而过,利用笔记本电脑和智能卡资料收集装置成功的克隆了使用NXP系统的OYSTER公交卡……
2008年8月11日,美国麻省理工学院的3名学生成功破解波士顿地铁乘车卡的密码,他们打算在赌城拉斯维加斯的黑客大会上,与“同行”分享他们如何免费乘搭地铁的心得;但波士顿市捷运公司先发制人,成功取得法院禁令阻止他们这么做。据报道,波士顿捷运公司8日向联邦法院提出申请,要求禁止麻省理工学院这3个学生在大会上演说,法院在次日批准了申请,对3名学生下了“封口令”……
2008年8月,由于Oyster卡系统服务器瘫痪造成卡片无法使用,成千上万伦敦上班族只能更换他们的Oyster卡。这一支付架构瘫痪的,公交司机们只能让人们免费乘坐地铁和巴士。这一事件非常严重,因为人们依赖RFID卡系统的程度很高。自2003年以来已经发行了1,700多万张卡,目前有80%的交通卡都是这种卡。2008年10月关于如何破解世界上最流行非接触式IC卡的方法现在已经公布到互联网上……
2008年10月26日,据韩国议员陈秀希拿到的《IC现金卡复制结果报告书》,韩国电子通讯研究院(ETRI)旗下的国家保安技术研究院(NSRI)在8月份进行了复制IC现金卡的实验,并成功的导出了密码及复制IC卡。 韩国国家保安技术研究院在报告书上表示“复制卡后,可非法转账,并能够进行正常的交易。而且,可输出明细表” ……
今年初,德国研究员亨里克.普洛茨(Henryk Plotz)和弗吉尼亚大学计算机科学在读博士卡尔斯滕.诺尔(Karsten Nohl)申称,成功地破解了NXP的Mifare(非接触智能卡)经典芯片的安全算法。
从以上国外媒体所报道的事件来看,非接触卡加密算法被攻破,已经是不争的事实,那么接下来面临的问题是,使用非接触卡将存在巨大的安全隐患,因为非接触卡加密算法的破解,使原始持卡人遭受经济甚至安全上的侵害,这自然引起了人们的担忧和恐慌。不过假如我们仔细分析上面所报道的信息不难发现,破解Mifare芯片的主体,主要集中于学校,科研院所,等相关的学术与研究机构,也就是说,加密算法的破解仅限于专业技术人员范围之内,并未在社会上广泛流行,同时司法机关也已经及时采取了相关的限制行动。因此Mifare芯片的安全漏洞将被局限于一个较小的范围之内,对普通民众的实际影响将非常有限,即便有也可能仅仅是心理上的安全担忧,恐慌是没有必要的。与现在犯罪分子大肆克隆银行卡(磁条卡)来比较,其实际危害几乎可以忽略不计。
从民众的角度来说不必过于担心,但对与专业机构,及相关的智能卡安全监管机构来说却是要保持高度警惕的。在加密与反加密的斗争中,我们习惯了“道高一尺,魔高一丈”的说法,在危险与安全的角逐中,而危险往往最终消弭于安全。这是历史的必然。因此广大民众完全没有必要过度担忧甚至恐慌。
目前国内的企业由于早就认识到了非接触卡所面临的安全隐患,所以大多已转向加密性更高的CPU智能卡生产,新上马的智能卡项目如社保卡、公交卡等也大多采用了CPU智能卡,如果现在大家手里所拿的是新卡,就可以完全放心大胆的使用,因为目前的CPU智能卡的安全系数要比原来的非接触卡高达万倍,并且目前世界上还没有破解CPU卡的信息出现。
目前的智能卡系统是安全的。从现实的角度来分析,黑客或犯罪分子攻击非接触卡的成本与风险要远远高于目前的银行卡,一张小额支付非接触卡,往往只充值几十元,而一个用于破解非接触卡的读卡器就要上千元,再加上电脑,还必须了解相关的技术知识。这对于大多犯罪分子来说是有些难以企及的。相对于动辄储存数千数万元的银行卡来说,或许黑客或犯罪分子更倾向于攻击银行卡及其应用系统。从目前的现实情况来看也确实是这样。就国内来说,每年关于银行卡的犯罪所造成的经济损失高达近亿元,而针对非接触卡方面的犯罪,目前还没有媒体的公开报道。并且随着时间的推移,民众使用的非接触卡即将在几年内到期,更换成高安全性的CPU卡成为必然。因此大家完全可以放心大胆继续使用。
就智能卡行业内部来说,有实力的企业或机构,大多设计了最新的国产加密算法并应用于新的CPU卡芯片,同时加强了相关系统的安全防范,行业的技术精英们也时刻警惕着,不但在紧盯国际智能卡发展的动向,同时也在大力开发与研究安全性更高的技术或产品。
做为普通民众的我们,也要加强防范之心,经常对自己卡片内资金状况与实际应用的状况核对,发现异常及时采取相关措施,或通知有关的发卡部门,或报告警方。在加上政府有关安全方面的部门的高度重视,智能卡应用的安全环境将依然乐观。
只要我们智能卡行业的精英们与政府安全部门的工作者们,以及我们广大的普通持卡者们加强防范意识,一定能够构筑我们国家自己的智能卡应用的安全之“盾”。
最后,在这春光明媚的日子里,预祝我国智能卡应用的明天,更加安全、和谐!预祝智能卡在未来的日子里,为民生,为社会,为国家的发展贡献更大的力量。