就算卡片符合 ISO 標準，不代表滿足安全需求。

文｜林冠廷；編輯｜耿璐

9 月 12 日有國民黨立委召開記者會，指出預計明年開始換發的新式晶片身分證有監控人民的風險。雖然反觀國民黨過去二二八事件和戒嚴時代白色恐怖的黑歷史，這樣的指控顯得有些矛盾和衝突，然而，此說法卻也並非空穴來風。

記者會中，政府被批評「淪為香港特區」，理由是新式晶片身分證中，採納與香港類似的 RFID 感應技術，也就是只要有讀取設備，便可近距離讀取卡片中的資料。本次負責印製晶片身分證的中央印製廠，在招標規範中，規範感應技術需「符合ISO/IEC 14443 第 2 至 4 部分」，讀取距離為10公分以內。這個規範看起來很「標準」，還有什麼問題？

問題在於，臺灣最大宗的感應卡片悠遊卡，同樣「符合 ISO/IEC 14443 第 2 至 4 部分」，且早已遭到破解。早在 2010 年，臺大電機系教授鄭振牟等人，就已經用感應的方式駭入悠遊卡，更能修改卡片餘額。他們在〈MIFARE Classic: Practical Attacks and Defenses〉一文中，更指出悠遊卡的 MIFARE Classic 技術，若是竊聽讀卡機與卡片溝通所發出的訊號，可以在 2 公尺之外讀取，遠比我們想像中一般悠遊卡使用時的有效範圍來得高。

就算卡片原先並沒有在進行感應操作，竊聽者讀取卡片的距離也遠大於招標規範中的 10 公分。學者 Gerhard Hancke 在 2009 年在劍橋大學電腦實驗室（University of Cambridge Computer Laboratory）發表的研究報告〈Security of proximity identification systems〉*中指出，如果強波器為 4 瓦，不用 A4 大小的 148 乘以 210毫米之天線，就足以在 19 公分攻擊卡片；若將天線放大到 294 乘以 420 毫米，距離可以遠到 27 公分。該論文認為這個距離就「足以在擁擠的場所中執行攻擊，並且讀取某人包包或口袋中的標籤（token）」。

從多年前的研究中就可以證明，就算卡片符合 ISO 標準，不代表滿足安全需求。9 年來破解技術日新月異，如果新的晶片身分證使用同樣標準的技術，並將敏感個資存於卡片之中，遭到外部攻擊的可能性不堪設想。

我們尚不清楚卡片的隨機辨識碼（random UID）產生方法為何，但若有心人士找出公式，能推導回原本卡片的識別碼（UID），或是利用前述方法駭入卡片、取得身分證字號等個資，就能在抗爭現場，或是政治活動等敏感場所附近部署竊聽器 ，取得進出名單。即使外面沒有駭客，政府的監控同樣不容小覷。雖然政府口口聲聲表示不會監控，不過擁有卡片各種密鑰與製作技術的政府，技術上仍可能留有後門。

本來就能取得敏感個資權限的政府，違法調閱民眾資料、監聽的案例就已經時有所聞。2014 年 318 運動學運時，政府就曾經拍下占領議場民眾的影像，被在野黨立委李俊俋質疑，可在警察「M-police」軟體中辨識、連結戶政系統，對抗爭者秋後算賬；現在有了感應式的晶片身分證，依照《戶籍法》第 56條，規定滿 14 歲國民均須申請、隨身攜帶，國家監控直接升級成「隨身版 eTag」，戴口罩或整容都不影響，政府有機會在一定範圍內內輕易讀取卡中個資。

就算掛保證的現任民進黨政府信守承諾，不裝設儀器監測民眾行蹤，這個承諾也難保政黨輪替後別的政權能否把持。因為在技術上，無論是政府或是外部工程師，破解身分證仍有一定可行性。2018 年底，香港新一代「智能身分證」正式上路，外觀與十幾年前的舊卡相去不大，唯獨多了 RFID 這個新功能，讓許多香港居民人心惶惶。港府口口聲聲不監控，並與臺灣政府一樣宣稱身分證採用隨機辨識碼，可有效保護隱私，但國民黨立委許毓仁引述香港社運代表黃之鋒的話指出，「香港政府都靠 eID 追蹤誰參加遊行，還要裝隔絕套避免被追蹤」。

目前臺灣核發的護照以 RFID 版本為主，民眾亦可選擇沒有感應功能的一般護照。只是新式身分證暫時沒有看到類似規劃，也就是說，新的晶片身分證，是臺灣政府第一次強迫全民申辦的感應式證件。如果民眾想要抵抗，頂多只能使用遮蔽 RFID 訊號的保護套，讓卡片在套中時不至於遭到竊聽。為什麼堅持要一個疑點重重的感應技術，對民間長期質疑統一身分證件的聲浪避而不談，政府仍然應該解釋。

雖然 9 月 25 日內政部長徐國勇親上火線說明，並再次強調兩點：1) 數位身分證符合 ISO 14443，2) 卡片使用的 RFID 功能採國際標準，感應距離僅有數釐米。然而，許多研究已經顯示，光是滿足這兩點仍有不足。學者實測感應的有效距離，也超出「數釐米」相當多，因此，不斷重申這樣的規範，到底是否真能保護民眾隱私個資，需要更多的關注和討論。

---

本文章授權條款為以下：
文章發佈 48 小時內，採創用 CC BY-NC-ND (姓名標示-非商業性-禁止改作) 3.0 台灣。
文章發佈 48 小時後，採創用 CC BY (姓名標示) 3.0 台灣。