IC卡的“命门”被破 安全技术亟待升级
扫描二维码
随时随地手机看文章
近日,工业和信息化部下发《关于做好应对部分IC卡出现严重安全漏洞工作的通知》,要求各地开展对IC卡使用情况的调查及应对工作。记者了解到,这个通知的背后是应用于IC卡系统的MI芯片的安全加密方法已遭到破解,不法分子利用该破解方法以很低的经济成本对采用MI芯片的各类IC卡如公交一卡通、门禁卡等进行非法充值或复制,对各应用单位的公共安全形成重大威胁。目前全国170个城市的约1.4亿张应用此技术的IC卡存在潜在的安全隐患。
MI芯片IC卡不再安全
IC卡,即集成电路卡,是现实生活中最常用的一种小额支付卡,其主要有两大分类:一类是非接触卡,比如公交一卡通、门禁卡、停车卡等;一类是接触类IC卡,如日常使用的购电卡、煤气卡、电话卡等。其中,非接触IC卡的应用非常广泛,来自建设部IC卡应用服务中心的数据表明,截至2008年11月,全国共有170余个城市在公共交通领域建立了不同规模的IC卡应用系统,90%的城市实现了城市IC卡的一卡多用。发卡量已超过1.5亿张,其中95%的城市在应用IC卡系统时选择使用采用MI芯片技术制作的非接触式IC卡,这意味着约1.4亿张采用MI芯片技术IC卡在我国城市公用事业IC卡系统中应用,其应用范围已覆盖公交、地铁、出租、自来水、燃气及小额消费等领域。一般人或许未曾想到,这些卡的MI芯片的安全算法已被破解。
德国研究人员亨里克·普洛茨和美国弗吉尼亚大学计算机科学在读博士卡尔斯滕·诺尔于去年年底发布了一项研究结果称,他们利用电脑成功破解了恩智浦半导体的MI经典芯片(简称MI芯片)安全算法,而MI芯片的安全算法正是目前全世界应用最广泛的非接触式IC卡的安全算法。不过,考虑到这一成果如果被不法分子恶意利用的话,大多数门禁系统、公共缴费系统等将面临巨大的安全隐患,因此,两名科学家在第一时间宣布绝不公布其破解的成果。
事实上,这并不是第一次破解IC卡的密码了,2002年,《纽约时报》就曾报道,英国剑桥大学两位计算机安全专家在美国展示了一种既巧妙又廉价的破解IC卡芯片数据的技术:只需要一个闪光灯和一个显微镜。
一旦IC卡被破解,就可以被肆无忌惮地复制和修改信息了。目前城市IC卡出现了一卡多用的趋势。例如在北京,公交IC卡可以在部分饭店和超市消费,一旦有不法分子复制卡片后恶意充值进行倒卖或自消费,后果将不堪设想。
记者还发现,在网上有不少人兜售IC卡密码破解技术,价格在几百元到几千元不等。
IC卡升级是大势所趋
MI卡算法遭破解后给我国城市公用事业IC卡系统安全性造成了极大隐患。如何从根本上解决这个安全漏洞,防止危害的发生,是目前亟待解决的重要课题。
为了避免MI卡算法遭破解后给我国城市公用事业IC卡系统安全性带来威胁,建设部IC卡应用服务中心特别提出了几个方案:一是加强MI卡安全应用系统方案,二是用CPU卡兼容MI卡应用系统方案,三是用CPU卡替换MI卡应用系统方案,并就这几个方案展开了详细的论证。
中国信息产业商会智能卡专业委员会理事长潘利华教授称,有效防范MI算法破解的根本解决方案就是升级改造现有IC卡系统,并逐步将MI卡替换为CPU卡。相比MI卡,虽然CPU卡出现的时间较晚,但CPU卡拥有独立的CPU处理器和芯片操作系统,可以更灵活地支持各种不同的应用需求,交易也更安全。其优势主要体现在数据安全性更高、应用更加灵活、应用能力更多等几个方面。目前,欧洲各国的银行卡已经采用CPU技术,至今未出现被破解和攻击等恶性事件,充分说明了CPU卡的优势所在。
“相对采用MI芯片的IC卡来说,CPU卡破解起来难度会很大,但是制卡成本要高很多。”北京远程嘉景商务管理技术研究所专家赵宝胜在接受记者采访时如是说。
记者了解到,北京市政交通一卡通公司根据国家有关部门的要求,正在逐步启用CPU卡取代现在的MI卡,目前市民在一卡通售卡点新买到的卡都已经是CPU卡。
另据了解,国家相关部门在IC卡的升级上也做了大量工作,建设部IC卡应用服务中心在2008年就制定了两项国家行业标准,同时向建设部申报三项城市互联互通卡系列标准,为CPU卡的广泛应用及实现全国互联互通建立标准体系。
专家称,尽管升级改造现有IC卡系统,并逐步将MI卡替换为CPU卡是趋势,但由于我国MI卡基数大,大批量升级系统和更换卡片所需的资金也不是个小数目,加上其他工作,所以换卡的工作必然是一个渐进的过程。
正确使用保证用卡安全
在得知IC卡安全存在隐患后,不少消费者都表示了担忧。而相关专家认为,虽然有人破解了IC卡的安全算法,但采取防范措施可以预防,虽然理论上不法分子可以借此技术随意修改卡内的信息,但由于大多数IC卡营运公司及相关单位都设置了后台管理系统,能够及时发现可疑IC卡的数据更改情况,消费者如发现异常应及时采取相关措施,通知有关的发卡部门,或报告警方。
目前IC卡出现安全隐患是不争的事实,如何防范自己的IC卡信息不被盗用?赵宝胜给消费者支招:第一,不要将卡随意借给他人使用,以免卡片信息被人复制;第二,用卡时留意周围环境,不要让卡片离开视线范围;第三,平时外出时,不要为了刷卡方便而把卡随意放在包的外层或挂在手机、衣物上,以免卡内信息在不知不觉间被人读取;第四,对于储值类卡,一次充值金额不要太多,一旦丢失或信息被盗,损失也不会太大。
长三角科技创新创业蓬勃发展
本报上海5月17日电记者从今天召开的长三角区域创新体系建设工作座谈会上获悉:长三角两省一市聚焦国家战略和长三角经济社会发展重大需求,开展科技联合攻关和科技资源共享和协同服务。目前长三角组织重大科技活动近百场,院士、教授、海外科学家等高层次专家交流超过千人次,区域内企业、高校、科研院所、高新园区签署合作协议近百份,开展各类技术合作项目超千项,规模过百亿元,形成了区域协同创新的蓬勃发展态势。
长三角科技合作始于改革开放初期。进入新世纪,政府逐步成为推动区域科技合作的主导力量。2003年在科技部的指导帮助下,长三角两省一市政府正式签署了《关于沪苏浙共同推进长三角创新体系建设协议书》;2005年共同编制了《长三角区域“十一五”科技发展规划》;2008年又联合制定了《长三角科技合作三年行动计划(2008-2010年)》,确定了4大基本任务、5大科技行动以及14个优先主题。[!--empirenews.page--]
为推动国家自主创新战略与长三角科技创新工作的有机结合,上海出台“国家重大(科技)专项资金配套管理办法”、“国家级重要科研设施和基地建设的配套支持办法”等资金扶持措施;江苏在全国率先成立省国家科技重大专项组织实施协调小组,并安排落实了1亿元省级财政专项配套资金。目前国家重点项目高性能宽带信息网已在上海、南京和杭州完成实验建设,正进入大规模示范运行阶段。上海成为极大规模集成电路制造装备及成套工艺专项、大飞机专项的牵头单位,浙江、江苏充分发挥各自优势和基础,瞄准国家战略目标推动产业骨干企业群体突破,仅集成电路专项江苏就组织项目达27个。在传染病防治、水治理等关系民生的专项中,三方密切配合,围绕艾滋病防治、乙肝治疗、太湖流域综合整治等加强重点突破,总投入3.37亿元的太湖流域综合整治技术集成与示范工程已在浙江动工。此外,两省一市目前已累计安排联合攻关项目20多项,投入经费7000多万元。
据了解,目前长三角区域已共同建立完善了“长三角大型科学仪器协作共用网”、“长三角科技文献资源共享服务平台”等公共科技基础设施,目前长三角大仪网已与国家主网实现对接,入网科学仪器3954台(套),2008年提供跨区域服务近万次。仅2007年上海与江苏、浙江就达成技术转移合同2565项,成交金额达20亿元。其中,浙江湖州就有211家企业与上海255家科研机构建立了长期合作关系。去年,两省一市又共同举办“长三角高层次创新创业人才高峰论坛”,分享创新创业成功经验。