就算卡片符合 ISO 標準,不代表滿足安全需求。

文|林冠廷;編輯|耿璐

9 月 12 日有國民黨立委召開記者會,指出預計明年開始換發的新式晶片身分證有監控人民的風險。雖然反觀國民黨過去二二八事件和戒嚴時代白色恐怖的黑歷史,這樣的指控顯得有些矛盾和衝突,然而,此說法卻也並非空穴來風。

記者會中,政府被批評「淪為香港特區」,理由是新式晶片身分證中,採納與香港類似的 RFID 感應技術,也就是只要有讀取設備,便可近距離讀取卡片中的資料。本次負責印製晶片身分證的中央印製廠,在招標規範中,規範感應技術需「符合ISO/IEC 14443 第 2 至 4 部分」,讀取距離為10公分以內。這個規範看起來很「標準」,還有什麼問題?

問題在於,臺灣最大宗的感應卡片悠遊卡,同樣「符合 ISO/IEC 14443 第 2 至 4 部分」,且早已遭到破解。早在 2010 年,臺大電機系教授鄭振牟等人,就已經用感應的方式駭入悠遊卡,更能修改卡片餘額。他們在〈MIFARE Classic: Practical Attacks and Defenses〉一文中,更指出悠遊卡的 MIFARE Classic 技術,若是竊聽讀卡機與卡片溝通所發出的訊號,可以在 2 公尺之外讀取,遠比我們想像中一般悠遊卡使用時的有效範圍來得高。

就算卡片原先並沒有在進行感應操作,竊聽者讀取卡片的距離也遠大於招標規範中的 10 公分。學者 Gerhard Hancke 在 2009 年在劍橋大學電腦實驗室(University of Cambridge Computer Laboratory)發表的研究報告〈Security of proximity identification systems〉*中指出,如果強波器為 4 瓦,不用 A4 大小的 148 乘以 210毫米之天線,就足以在 19 公分攻擊卡片;若將天線放大到 294 乘以 420 毫米,距離可以遠到 27 公分。該論文認為這個距離就「足以在擁擠的場所中執行攻擊,並且讀取某人包包或口袋中的標籤(token)」。

從多年前的研究中就可以證明,就算卡片符合 ISO 標準,不代表滿足安全需求。9 年來破解技術日新月異,如果新的晶片身分證使用同樣標準的技術,並將敏感個資存於卡片之中,遭到外部攻擊的可能性不堪設想。

我們尚不清楚卡片的隨機辨識碼(random UID)產生方法為何,但若有心人士找出公式,能推導回原本卡片的識別碼(UID),或是利用前述方法駭入卡片、取得身分證字號等個資,就能在抗爭現場,或是政治活動等敏感場所附近部署竊聽器 ,取得進出名單。即使外面沒有駭客,政府的監控同樣不容小覷。雖然政府口口聲聲表示不會監控,不過擁有卡片各種密鑰與製作技術的政府,技術上仍可能留有後門。

本來就能取得敏感個資權限的政府,違法調閱民眾資料、監聽的案例就已經時有所聞。2014 年 318 運動學運時,政府就曾經拍下占領議場民眾的影像,被在野黨立委李俊俋質疑,可在警察「M-police」軟體中辨識、連結戶政系統,對抗爭者秋後算賬;現在有了感應式的晶片身分證,依照《戶籍法》第 56條,規定滿 14 歲國民均須申請、隨身攜帶,國家監控直接升級成「隨身版 eTag」,戴口罩或整容都不影響,政府有機會在一定範圍內內輕易讀取卡中個資。

就算掛保證的現任民進黨政府信守承諾,不裝設儀器監測民眾行蹤,這個承諾也難保政黨輪替後別的政權能否把持。因為在技術上,無論是政府或是外部工程師,破解身分證仍有一定可行性。2018 年底,香港新一代「智能身分證」正式上路,外觀與十幾年前的舊卡相去不大,唯獨多了 RFID 這個新功能,讓許多香港居民人心惶惶。港府口口聲聲不監控,並與臺灣政府一樣宣稱身分證採用隨機辨識碼,可有效保護隱私,但國民黨立委許毓仁引述香港社運代表黃之鋒的話指出,「香港政府都靠 eID 追蹤誰參加遊行,還要裝隔絕套避免被追蹤」。

目前臺灣核發的護照以 RFID 版本為主,民眾亦可選擇沒有感應功能的一般護照。只是新式身分證暫時沒有看到類似規劃,也就是說,新的晶片身分證,是臺灣政府第一次強迫全民申辦的感應式證件。如果民眾想要抵抗,頂多只能使用遮蔽 RFID 訊號的保護套,讓卡片在套中時不至於遭到竊聽。為什麼堅持要一個疑點重重的感應技術,對民間長期質疑統一身分證件的聲浪避而不談,政府仍然應該解釋。

雖然 9 月 25 日內政部長徐國勇親上火線說明,並再次強調兩點:1) 數位身分證符合 ISO 14443,2) 卡片使用的 RFID 功能採國際標準,感應距離僅有數釐米。然而,許多研究已經顯示,光是滿足這兩點仍有不足。學者實測感應的有效距離,也超出「數釐米」相當多,因此,不斷重申這樣的規範,到底是否真能保護民眾隱私個資,需要更多的關注和討論。


本文章授權條款為以下:
文章發佈 48 小時內,採創用 CC BY-NC-ND (姓名標示-非商業性-禁止改作) 3.0 台灣。
文章發佈 48 小時後,採創用 CC BY (姓名標示) 3.0 台灣。

One comment

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com 標誌

您的留言將使用 WordPress.com 帳號。 登出 /  變更 )

Google photo

您的留言將使用 Google 帳號。 登出 /  變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 /  變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 /  變更 )

連結到 %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.