在我國的170多個大小城市,IC卡正在成為許多公用事業和商業服務的“付款單”和“通行證”,使用範圍遍及公交、旅遊、超市、門禁、水電氣表等多個領域。對剛剛享受到持卡便利的消費者而言,IC卡被破解的威脅究竟有多大,目前有沒有辦法應對?
“安全之卡”緣何遭破解?
IC卡即“集成電路卡”的簡稱,其存儲、處理、傳輸信息的全部功能都在於壓制在塑料卡上的集成電路芯片。按照加密方式的不同,IC卡芯片可分為不加密、邏輯加密和CPU加密三種,各自又可根據使用方式的不同分為接觸式和非接觸(射頻)式。
目前,使用中的大多數IC卡芯片都採用邏輯加密方式。這種芯片不僅存儲量大、易於生産,而且由於加密算法複雜,此前被認為是無法破解的,用戶使用時也不用輸入密碼,簡單方便。
然而在2008年,德國和美國的兩名研究員宣佈,他們已利用電腦成功破解了荷蘭芯片製造商恩智浦(NXP)的Mifare經典芯片(簡稱MI芯片)的安全算法,但出於公共利益考慮沒有對外公開技術細節。此後,歐洲和美國又數次傳出個人成功破解MI芯片的消息,互聯網上甚至已有人出售MI芯片的破解軟硬體。
“目前全世界掌握IC卡芯片技術的廠商只有三四家,其中恩智浦的MI芯片是應用最廣泛的。”賽迪顧問半導體研究中心諮詢師李志中表示,我國約有1.4億張IC卡、包括85%%的公交卡都採用MI芯片。而在全球,這種芯片的使用量多達10億張。
李志仲介紹,通常使用的MI芯片包括48位密鑰、32位序列號,就像一個密碼保險箱。加之試探次數很少,難以通過常規的窮舉法破解密碼。但只要掌握相應的算法及技術,砸開芯片的“安全鎖”理論上就是可行的。“而且市面上出自各廠家的芯片,産品的安全機制、技術標準大同小異,邏輯加密原理的IC卡芯片安全性都差不多,能夠破解的話確實會給使用IC卡的系統造成很大威脅。”
手中的卡還能用嗎?
“有點害怕,要是我的IC卡被複製,裏面的錢不是被別人花了嗎?”“看來以後每次得少充點錢,寧可麻煩也別有什麼損失。”IC卡可被破解的消息報道後,許多網民紛紛表示了自己的擔憂。
其實,與普通消費者相比,提供IC卡服務的機構和商家更有理由憂慮。如果公交卡、購物卡或電卡的餘額可以被輕易複製或修改,就可以有人用卡進行無限制地消費,這對整個營運系統的破壞將是災難性的。
北京公交一卡通公司工作人員表示,在現有技術條件下,盜用他人卡號或修改餘額等行為的可疑IC卡雖然可以發現,但難於追查,因IC卡被盜用而造成經濟損失的用戶也很難提供足夠證據以獲得相應索賠。
“人們使用IC卡時一般都是自動刷卡,即便有工作人員也不會仔細核對。”李志中説,“所以一旦有人對IC卡進行不法盜用或修改、複製,隱蔽性極強。”他同時表示,破解IC卡密碼一般需要專用設備和卡的實體,破解成本也比較高,普通消費者對此不必憂慮。
至於曾被認為安全性不如IC卡、卻仍是國內銀行卡和信用卡主流技術的磁條卡,這次反倒未受影響。目前國內絕大多數銀行卡、信用卡採用磁條存儲方式,密碼並不保存在磁條卡上,而是儲存在銀行系統的數據庫裏,持卡人使用時將掌握的密碼與銀行服務器“對暗號”通過後才可使用。如果銀行卡不落入他人手中,密碼也不被他人發現,不法分子就只有通過網上銀行才能盜取他人賬戶,或者通過在ATM機上加裝複製器、攝像頭等竊取密碼。
能否建起安全“防火墻”?
那麼,能不能像電腦軟體裝升級補丁那樣,給現有的邏輯加密IC卡升級呢?李志中認為,這種升級只是加長密鑰或更改部分算法,仍不能根本上使目前的破解方法失效。而且這種升級也需要更換卡片,成本上划不來。
所幸的是,採用邏輯加密方式的IC卡芯片正在被CPU芯片所代替。這種芯片有獨立的處理器和操作系統,兼具信息存儲、運算的功能,因此被稱為“智慧卡”,安全性和多功能性比邏輯加密卡和磁條卡都強。手機卡和二代身份證上,使用的就是CPU芯片。
據介紹,歐洲各國的銀行卡已都採用CPU芯片,至今未出現被破解、攻擊等惡性事件;國內一些城市目前也在穩步推進向CPU卡的升級。北京公交一卡通公司工作人員表示,北京市從去年起就已開始發放採用CPU芯片的公交卡,而刷卡系統也經過升級,可以同時兼容邏輯加密芯片和CPU芯片。
不過,目前國內還有不少較老的系統不能兼容CPU芯片,更換的話就需要升級整套讀卡設備,成本較高。“此外,CPU卡的生産成本是邏輯加密卡的四五倍,短期內仍不會完全取代邏輯加密卡。”李志中説。
有關專家表示,與常需要在互聯網上開通賬戶的銀行卡不同,IC卡只要一直掌握在自己手中,就不必擔心被他人盜用或修改。而隨著IC卡營運單位對監管手段的完善,為貪便宜而私自修改IC卡信息的不法行為也將得到懲處。(記者 董子凡)