日前,工业和信息部发布了《关于做好应对部分IC卡出现严重安全漏洞工作的通知》,要求各地各机关和部门开展对IC卡使用情况的调查及应对工作。记者从专业人士处获知:主要应用于IC卡系统的MI芯片的安全算法已遭到xx!目前全国170个城市的约1.4亿张应用此技术的IC卡也都将面临巨大的安全隐患。
xx专家不公布方法
据介绍,2008年,德国研究员亨里克·普洛茨和美国弗吉尼亚大学计算机在读博士卡尔斯滕·诺尔{zx0}利用电脑成功xx了恩智浦半导体的Mifare经典芯片(简称MI芯片)的安全算法。但对于这项科研成果,亨里克·普洛茨和卡尔斯滕·诺尔却在{dy}时间宣布绝不公布其xx的成果。
他们为何对自己的科研成果讳莫如深?原来,他们所xx的MI芯片的安全算法,正是目前全世界应用最广泛的非接触IC卡的安全算法。可以想见,如果这一科研成果被人恶意利用,那么大多数门禁系统都将失去存在的意义,而其他应用此种技术的IC卡,如各高校学生使用的校园一卡通、高速公路缴费一卡通等也都将面临巨大的安全隐患。
中国信息产业商会智能卡专业委员会理事长潘利华教授对记者表示,“Mifare非接触逻辑加密卡的安全性目前确实存在一定问题,这对目前广泛应用的城市IC卡项目是一个不小的隐患。”据潘教授介绍,一旦不法分子攻破这一技术,“就可以随意修改自己卡内的信息,比如原来充值10元,他就可以随意改成1000元或者10000元,甚至更多。而且一旦复制了别人的卡片,也可以随意修改信息。这对广大持卡人来说,无疑是极大的安全隐患。”
IC卡涉及多个公共领域
据建设部IC卡应用服务中心常务副主任马虹介绍,“截至2008年11月,全国共有170余个城市在公共交通领域建立了不同规模的IC卡应用系统,比2007年增长 30%,90%的城市实现了城市IC卡的一卡多用。”值得注意的是,目前,这部分城市均采用逻辑加密卡。Mifare算法遭xx后,引发业界高度xx。潘利华教授认为,卡片信息一旦遭到大规模复制,可能给城市公共事业造成极大安全隐患。所以目前,如何解决这个安全漏洞,是业内和相关部门亟待思考及解决的问题。
目前城市IC卡正在向“一卡多用”方向发展。在北京,IC卡已扩展到了超市消费领域,“一旦有不法分子xxx片后恶意充值倒卖或自己消费,后果将不堪设想。”潘教授也对此表示了自己的担忧。
CPU卡推广势在必行
据了解,截至目前,我国IC卡系统xx量已超过1.5亿张,约有95%的城市在应用IC卡系统时选择使用非接触式逻辑加密卡,相当于约有1.4亿张逻辑加密卡在我国城市公用事业IC卡系统中应用。其应用范围已覆盖公交、地铁、出租、轮渡、自来水、燃气、风景园林及小额消费等领域。Mifare算法遭xx后给我国城市公用事业IC卡系统安全性造成了极大隐患。卡片信息一旦遭到大规模复制,IC卡系统将会面临巨大的威胁。如何从根本上解决这个安全漏洞,防止危害的发生,是目前行业亟待思考及解决的重要问题。
“有效防范Mifare算法xx的根本解决方案就是升级改造现有IC卡系统,并逐步将逻辑加密卡替换为CPU卡。”据潘教授介绍。相比逻辑加密卡,虽然CPU卡出现的时间较晚,但因为CPU卡拥有独立的CPU处理器和芯片操作系统,可以更灵活的支持各种不同的应用需求,交易也xxx。“目前,欧洲各国的xxx都是采用CPU技术,至今未出现被xx和攻击等恶性事件,充分说明了CPU卡的优势所在。”潘教授告诉记者。
为改变目前逻辑加密卡的安全隐患现状,大力推进CPU卡应用就显得势在必行。而国家相关部门也做了大量工作,建设部IC卡应用服务中心在2008年就制订了两项国家行业标准,同时向建设部申报三项城市互联互通卡系列标准,为CPU卡的广泛应用及实现全国互联互通建立标准体系。
据《北京晨报》
-链接
什么是IC卡
IC卡是集成电路卡的意思,IC卡是一种内藏大规模集成电路的塑料卡片。IC卡通常可分为存储卡、加密卡和智能卡三类,存储卡是可以直接对其进行读、写操作的存储器,加密卡是在存储卡的基础上增加了读、写加密功能,对加密卡进行操作时,必须首先核对卡中的密码,密码正确才能进行正常操作;智能卡则带有微处理器 (CPU),同时也称作CPU卡。
-提醒
IC卡一次充值别太多
潘利华教授建议:不要给陌生人用卡,防止IC卡被复制信息;平时出门,不要把卡随意放在包的外层或露在外面,不要为了刷卡方便而偷懒,有效避免卡被人读取信息。{zh1},潘教授还特别提到“不要一次充太多的钱,即使丢失也不会造成太大损失。”
