離開
進入再談卡式台胞證資安 李忠憲:影像、指紋都會被收集
成大電機系教授李忠憲在臉書指中國發出的卡式台胞證將能收集台灣民眾的影像和指紋資料。(圖擷取自李忠憲臉書)
〔即時新聞/綜合報導〕針對中國片面實施的卡式台胞證資安爭議,曾於服貿開放電信類時點出資安疑慮的成功大學電機系教授李忠憲指出,當時在反服貿座談會上有一名陸委會官員和他說「你講的這些資安的問題,我們真的都不知道,所以才會變成這樣!」讓他真的很懷疑我們國家到底有沒有科技幕僚在提供資安和國安意見?「還是為了統一,什麼都不在乎?」
行政院長毛治國以及陸委會對於上月21日中國強勢全面實施的「卡式台胞證」資安問題,聲稱卡片內置的晶片,容量僅0.1MB,沒有個資洩漏和被追蹤的疑慮。而針對中國在實施前20分鐘才以電話通知我方,陸委會主委夏立言說,會在今天於中國廣州登場的「夏張二會」上表達抗議。
李忠憲在臉書不滿指出,在反服貿電信時,他就曾在一座談會上和陸委會處長同台,那位官員還和他說「李老師,你講的這些資安的問題,我們真的都不知道,所以才會變成這樣!」讓他真的很懷疑我們國家到底有沒有科技幕僚提供資訊安全、國家安全的意見?「還是為了統一,什麼都不在乎?」
李忠憲批評,今天看到媒體的新聞,對於卡式台胞證的資安問題,都是輕描淡寫,讓他擔憂卡式台胞證讓台灣民眾在不知不覺間,「就這樣過關了」。
卡式台胞證 會搜集台灣民眾影像和指紋的資料
李忠憲表示,卡式台胞證裡晶片的資安問題,最大的不是射頻標籤的部份,而是「生物特徵,臉部影像或指紋資料被大規模地搜集,再加上高度效率的臉部辨識軟體」,這個可怕的臉部資料庫和辨識系統對於社會有很大的影響。
從外部人的攻擊來說,保護這個晶片資料的協定,第一個是基本存取控制(Basic Access Control),先在機器閲讀區(Machine Readable Zone)利用光學掃瞄器,讀取姓名生日等資訊,建立一把會議金鑰之後,再利用射頻標籤(RFID,Radio Frequency IDentification)主動驗證晶片內的生物特徵資料,這些生物特徵資料,是由發卡國家加密保護,因為產生金鑰的亂度(熵entropy)很低,已經有駭客在兩個小時內破解 BAC,另外完全複製晶片內容也有多起案例。
而從內部人的攻擊來說,管理這個晶片相關的資料庫十分重要,李忠憲以歐洲資料保護組織「Data Protection Directive」為例,有一技術和組織管理的應對措施,其中光金鑰保護的原則,8-key principle ,要8把不同的金鑰,就十分的嚴格,中國政府可不可以信任?中國並沒有加入什麼資料保護的組織,或是公布如何管理這些資料的方法,而且,就算中國政府是可以信任的,中國可不是一個人,不同的政治勢力、商業公司、犯罪集團等,都可能會覬覦這個資料庫系統,「因為生物辨識的資料,可以說是永遠有效,不會隨時間而失去作用,所以這個資料的價值是十分的重要。」
李忠憲說,昨天有朋友表示希望有「命運好好玩」裡那種快轉時間的遙控器,可以快速度過現在到明年520,不然這半年,「全台灣也做不了什麼事」,但他覺得現在看起來不是這樣,他認為馬政府雖然「講維持現狀,九二共識」,但到明年520前不知道還會繼續發生多少出賣台灣的事情!
成大電機教授李忠憲臉書全文
反服貿電信的時候,曾經在一個座談會上,陸委會的一位處長同台坐在我的旁邊,跟我說:「李老師,你講的這些資安的問題,我們真的都不知道,所以才會變成這樣!」
我們的國家到底有沒有科技幕僚提供資訊安全的意見?提供國家安全的意見?還是為了統一,什麼都不在乎?即使要統一,應該也不是投降式的統一吧?看到今天中央社等媒體的新聞,對於卡式台胞證的資安問題,都是輕描淡寫,其實卡式台胞證,一點都不卡,排山倒海的壓力,讓台灣民眾不知不覺間,就這樣過關了。
昨天有朋友説「命運好好玩」有一個快轉時間的遙控器,可以快速度過現在到明年520的時間,不然這半年,全台灣也做不了什麼事,現在看起來好像不是這樣,早就知道馬政府是「統派」,講維持現狀,什麼九二共識的統派,不知道馬政府竟然是「投降式的統派」,到明年520不知道還會繼續發生多少出賣台灣的事情!
卡式台胞證:
射頻標籤生物特徵晶片的資安問題
這個晶片的資安問題,最大不是射頻標籤的部分,最大的部分是生物特徵,臉部影像或指紋資料被大規模的搜集,再加上高度效率的臉部辨識軟體,這個可怕的臉部資料庫和辨識系統對於社會有很大的影響。
先從外部人的攻擊來説,保護這個晶片資料的協定,第一個是基本存取控制(Basic Access Control),先在機器閲讀區(Machine Readable Zone)利用光學掃瞄器,讀取姓名生日等資訊,建立一把會議金鑰之後,再利用射頻標籤(RFID)主動驗證晶片內的生物特徵資料,這些生物特徵資料,是由發卡國家加密保護,因為產生金鑰的亂度(熵 entropy)很低,已經有駭客在兩個小時內破解 BAC,另外完全複製晶片內容也有多起案例。
再從內部人的攻擊來說,管理這個晶片相關的資料庫十分重要,所以歐洲資料保護組織「Data Protection Directive」有一個技術和組織管理的應對措施,其中光金鑰保護的原則,8-key principle,要8把不同的金鑰,就十分的嚴格,中國政府可不可以信任?中國並沒有加入什麼資料保護的組織,或是公布如何管理這些資料的方法,即使中國政府是可以信任的,中國可不是一個人,不同的政治勢力,商業公司,犯罪集團等等,都會覬覦這個資料庫系統,因為生物辨識的資料,可以説是永遠有效,不會隨時間而失去作用,所以這個資料的價值是十分的重要。
第二個重要的部分,才是射頻標籤 RFID 的部分,晶片卡用的射頻標準是 ISO 14443,標籤的本身當然不會主動發出訊號,更不會發出現在定位的訊號,但是只要有射頻標籤的讀取器在附近,就可以讀取這個標籤,ISO 14443 的標準,晶片可以讀取的範圍是 10-15 公分,但是有人用加強的天線,可以在 50-60 公分讀取晶片,並且在 eBay 上以 250 USD 販賣,實驗室的研究,5 公尺的讀取範圍被證實是可能的,所以能不能被隔空讀取,已經不是問題,問題是距離多遠?射頻標籤晶片可怕之處在於可以明確的對應標籤和人的關係,犯罪集團很難了解台灣鉅富女兒手機到底用那一隻,但是只要能夠讀取射頻標籤,就一定可以確認是不是她!
美國的晶片卡,基本上套子就是法拉地籠子「Faraday Cage」,這要可以防止非法讀取,歐洲現在也很多人提出要用這個保護套,所以如果台胞證要拿,一定要有這個保護套,另外,千萬不要在旅館或是其他地方,把卡式台胞證交給別人,因為這個資料十分有用,很多人很想要,一輩子都有用,除非你能夠變臉或是換掉指紋。
李忠憲批評,當初反服貿座談會時,陸委會官員還跟他說「李老師,你講的這些資安的問題,我們真的都不知道,所以才會變成這樣!」(圖擷取自李忠憲臉書)
