漏洞已破解 你手中的IC卡一卡通還安全嗎？

“聽說有人把IC卡密碼破解了，我使用的北京市政交通一卡通還安全嗎？”近日，讀者王女士給本報(bào)來電話。

IC卡是現(xiàn)實(shí)生活中最常用的一種小額支付卡。和銀行卡不同的是IC卡背面沒有磁條，其內(nèi)部由一個(gè)存儲(chǔ)信息的芯片和線圈組成。使用者在使用時(shí)不需要輸入密碼，非常方便。IC卡主要有兩大分類：一類是非接觸的，其芯片在卡內(nèi)，比如我們使用的公交一卡通、門禁卡、停車卡等。使用者只需要使卡片位于距離IC卡接收器一定的范圍內(nèi)，卡內(nèi)的信息就可以傳遞給接收器。而接觸類IC卡的芯片是暴露在卡外的，使用者必須把卡插入接收器才能讀取卡內(nèi)數(shù)據(jù)，比如我們使用的購(gòu)電卡、煤氣卡、電話卡等。

引起王女士擔(dān)憂的是工業(yè)和信息部近期發(fā)布的《關(guān)于做好應(yīng)對(duì)部分IC卡出現(xiàn)嚴(yán)重安全漏洞工作的通知》。一些專業(yè)人士表示，主要應(yīng)用于IC卡系統(tǒng)的MIFARE芯片的安全算法已被破解！目前全國(guó)170個(gè)城市的約1.4億張應(yīng)用此技術(shù)的IC卡面臨巨大的安全隱患。

北京交通大學(xué)信息安全研究所博士王健告訴《北京科技報(bào)》，20世紀(jì)90年代，第一張非接觸邏輯加密IC卡推向市場(chǎng)，在其應(yīng)用的十幾年間，在全世界發(fā)行量已超過21億張。

記者了解到，截至2008年11月，我國(guó)有200多個(gè)城市應(yīng)用了不同規(guī)模的公用事業(yè)IC卡系統(tǒng)，發(fā)卡量超過1.4億張，其中有80%采用了恩智浦半導(dǎo)體MIFARE經(jīng)典芯片（簡(jiǎn)稱MI）技術(shù)，應(yīng)用范圍覆蓋公交、地鐵、出租、輪渡、自來水、燃?xì)?、風(fēng)景園林等小額消費(fèi)的各種領(lǐng)域。

“由于技術(shù)相對(duì)成熟、成本低，所以采用MIFARE經(jīng)典芯片技術(shù)的IC卡在行業(yè)中鮮有競(jìng)爭(zhēng)對(duì)手，芯片制造商也獲得了巨大的商業(yè)利潤(rùn)?！蓖踅〗榻B說，就在人們沉浸于IC卡給生活帶來巨大便利的時(shí)候，它的安全性問題也逐漸顯現(xiàn)，破解IC卡密碼的人日益增多。

“其實(shí)，破解IC卡密碼已經(jīng)不是新鮮事了?！蓖踅≌f。早在2002年，《紐約時(shí)報(bào)》就曾報(bào)道，英國(guó)劍橋大學(xué)兩位計(jì)算機(jī)安全專家在美國(guó)展示了一種既巧妙又廉價(jià)的破解IC卡芯片數(shù)據(jù)的技術(shù)：只需要一個(gè)閃光燈和一個(gè)顯微鏡。

英國(guó)研究人員發(fā)現(xiàn)，用閃光燈照射IC卡的微處理器，就能干擾其運(yùn)算，把微處理器電路外層的防護(hù)膜刮除，電路在閃光燈的光線下就會(huì)完全曝光。研究人員用實(shí)驗(yàn)室標(biāo)準(zhǔn)的顯微鏡，將閃光燈的光束對(duì)準(zhǔn)芯片內(nèi)個(gè)別的晶體管，循序改變貯存信息的晶體管內(nèi)的數(shù)值，獲取了IC卡內(nèi)的信息。

此后，德國(guó)研究員亨里克·普洛茨和弗吉尼亞大學(xué)計(jì)算機(jī)科學(xué)在讀博士卡爾斯滕·諾宣稱成功地破解了恩智浦的MIFARE經(jīng)典芯片安全算法。雖然有關(guān)部門禁止普洛茨公布他的研究報(bào)告，但還是沒能阻止破解辦法的流傳。“人們?cè)诨ヂ?lián)網(wǎng)上可以輕易地搜索到MIFARE經(jīng)典芯片安全算法的破解辦法。”王健說。

漢王科技的技術(shù)專家石踐告訴記者，對(duì)于這套破解的方法，只要是有些基礎(chǔ)的或者業(yè)內(nèi)人員就可以很快搞明白。其基本原理近似于“窮舉法”，只要知道MIFARE經(jīng)典芯片邏輯算法，專業(yè)人員即便使用一般的計(jì)算機(jī)，三個(gè)小時(shí)也足以完成分析和破解的整個(gè)過程。目前市場(chǎng)上廣泛應(yīng)用的IC卡在使用上并沒有做出相應(yīng)的限制，一旦IC卡被破解，就可以被肆無忌憚地復(fù)制了。

在眾多能夠利用被破解的MIFARE的邏輯算法來破解IC卡密碼的人中，廣東技術(shù)師范學(xué)院電子信息工程系教授楊振野就是其中一個(gè)。

“我不是壞人，也不是黑客，我是大學(xué)老師，也是人大代表，不像別人所想的是專靠破解密碼賺錢的人?！睏钫褚昂敛谎陲椀馗嬖V《北京科技報(bào)》，專業(yè)并不是信息安全的他，和破解IC卡密碼的事情聯(lián)系上，完全緣于幾年前一家企業(yè)的登門求援。

當(dāng)時(shí)，生產(chǎn)IC卡的一家廣東企業(yè)到楊振野所在的學(xué)校尋求幫助。原來，該企業(yè)有一名關(guān)鍵技術(shù)人員突然不辭而別，在沒有留下關(guān)鍵技術(shù)數(shù)據(jù)的情況下，企業(yè)面臨著大量IC卡和應(yīng)用裝置因不知道密碼而報(bào)廢的巨大損失。

楊振野答應(yīng)這家企業(yè)嘗試破解密碼。在之后的研究中，他發(fā)現(xiàn)，破解這種IC卡密碼其實(shí)并不難。楊振野在很短的時(shí)間內(nèi)就研制出了一種專門破解IC卡密碼的裝置，只需幾秒鐘就可將IC卡密碼顯示出來，并且不會(huì)損壞IC卡?！捌鋵?shí)，原理就是截獲讀卡器的無線電波的傳遞數(shù)據(jù)，進(jìn)行分析，找到其中的邏輯密碼?！睏钫褚罢f。

令楊振野沒有想到的是，解決那家企業(yè)的燃眉之急之后，由于媒體的報(bào)道，他成了當(dāng)?shù)氐拿?，找他破解IC卡密碼的單位和個(gè)人絡(luò)繹不絕。這些單位除了是發(fā)行IC卡的公司外，大部分是學(xué)校、賓館小區(qū)物業(yè)等大量使用IC卡的單位。由于這些單位人員流動(dòng)比較大，所以這些單位每年都需要更新一部分IC卡。但是，這些單位發(fā)現(xiàn)，他們所面臨的情況是，不是原來發(fā)行IC卡的公司倒閉，就是再也找不到這些公司的蹤影，而購(gòu)買新卡的成本又太高，所以才會(huì)想到找楊振野來破解IC卡密碼。

楊振野透露，其實(shí)他破解IC卡密碼的設(shè)備非常廉價(jià)，只有幾百元。而且，每次他為單位破解IC卡密碼的收費(fèi)也不高，根據(jù)卡的使用范圍和發(fā)行量，少的幾百元，多則上千元。

“我的主要工作是教書和做科研，破解IC卡密碼的工作只是在業(yè)余時(shí)間帶領(lǐng)幾個(gè)學(xué)生來做?！睏钫褚案嬖V記者，同時(shí)他破解IC卡密碼是有“底線”的。每一次，他都會(huì)要求這些企業(yè)出具蓋有單位公章的保證書，保證“僅用于破解本單位的IC卡系統(tǒng)”。其次，他只破解存儲(chǔ)金額小于600元的IC卡密碼，對(duì)于超過600元的，他都會(huì)選擇拒絕。

“我這么做主要是強(qiáng)調(diào)我只為那些丟失IC卡密碼的單位服務(wù)，絕不為個(gè)人提供破解密碼的服務(wù)?！睏钫褚胺磸?fù)強(qiáng)調(diào)。

在楊振野的眼中，破解IC卡密碼的裝置就像一把“刀”，用在好人手里是做工的利器，用在壞人手里則是殺人的兇器。他強(qiáng)調(diào)自己只向企業(yè)出售該裝置，但是在市場(chǎng)上仍然存在著大量利用破解IC卡密碼賺錢的人。

記者在網(wǎng)上搜索有關(guān)IC卡密碼破解的信息。一個(gè)江蘇泰州的帖子這樣寫道，“我們可以為各單位和個(gè)人（網(wǎng)吧、賓館門鎖管理、IC卡水表、IC卡電表管理、停車場(chǎng)預(yù)付費(fèi)管理、小區(qū)門禁管理、社會(huì)保障、醫(yī)院管理、免疫疫苗注射管理等系統(tǒng)）提供IC卡密碼破解裝置，也可以直接為有需要的單位提供破解密碼服務(wù)?！痹撎€注明成功破解的案例：泰州國(guó)泰賓館（三星級(jí)）、浙江桃源賓館（三星級(jí)）、溪口大酒店三元大酒店等，破解費(fèi)用為：泰州客戶2000元人民幣，外地客戶為3000元人民幣。[!--empirenews.page--]

“如果能夠改寫IC卡內(nèi)數(shù)據(jù)，那么我充值100元，就可以用破解密碼的機(jī)器直接改寫成500元甚至1000元！但是，如果IC卡被破解了，別人就會(huì)復(fù)制我的卡，對(duì)我的經(jīng)濟(jì)利益產(chǎn)生影響吧？”一個(gè)網(wǎng)友留言到。

北京中銀律師事務(wù)所律師董立偉告訴《北京科技報(bào)》，從法律層面來看，破解IC卡密碼、改寫卡內(nèi)金額以及克隆IC卡，并實(shí)施盜竊行為，金額在1000元以上，已經(jīng)具備刑事犯罪條件，可以追究當(dāng)事人刑事責(zé)任。但是，由于法律上沒有明確規(guī)定，因此，各省市在處理這類案件時(shí)使用的都是彈性機(jī)制。

“雖然，楊振野教授只破解600元以內(nèi)小額的IC卡密碼，從犯罪金額上不具備刑事犯罪條件，但是，此舉觸犯了非法侵犯計(jì)算機(jī)信息罪?！倍ヂ蓭煆?qiáng)調(diào)，通常情況下，非法侵犯計(jì)算機(jī)信息罪的刑期判決規(guī)定在7年以內(nèi)。如果當(dāng)事人在信息盜竊過程中又涉及盜取數(shù)目較大的金額，法官、最高檢察院等司法機(jī)關(guān)掌握自由裁量權(quán)，會(huì)對(duì)其進(jìn)行更重的刑事判決。

對(duì)于MIFARE經(jīng)典芯片邏輯算法被破解的現(xiàn)實(shí)，恩智浦半導(dǎo)體上海辦公室的大中華區(qū)媒體公關(guān)經(jīng)理李佳告訴《北京科技報(bào)》，恩智浦半導(dǎo)體了解到，一些研究機(jī)構(gòu)已檢索到基于恩智浦MIFARE經(jīng)典芯片的智能卡的算法，發(fā)現(xiàn)破解其密鑰的方法。他們也了解了一些破解技術(shù)專家的情況。

在恩智浦半導(dǎo)體給本報(bào)發(fā)的聲明中顯示，恩智浦公司已就MIFARE經(jīng)典芯片的安全性與奈梅亨大學(xué)和其他研究人員展開對(duì)話，恩智浦認(rèn)為，對(duì)破解手段的詳細(xì)信息進(jìn)行廣泛傳播，有悖于保護(hù)敏感信息以及對(duì)敏感信息負(fù)責(zé)的科學(xué)態(tài)度。

但是，恩智浦認(rèn)為，MIFARE經(jīng)典芯片邏輯算法被破解并不意味著使用該技術(shù)的IC卡就不安全?！盁o論系統(tǒng)設(shè)計(jì)如何，都應(yīng)考慮整體安全性，而不能僅僅局限于某個(gè)部件層面。安全是端到端的，對(duì)于整個(gè)系統(tǒng)的安全來說，MIFARE經(jīng)典芯片只是整個(gè)系統(tǒng)的一環(huán)。”李佳強(qiáng)調(diào)。

密碼被破解會(huì)不會(huì)對(duì)市民使用的IC卡安全產(chǎn)生威脅？

楊振野介紹，與IC卡發(fā)生利益關(guān)系的主要有三方：使用IC卡的普通消費(fèi)者、使用IC卡系統(tǒng)的單位和生產(chǎn)IC卡系統(tǒng)或IC卡的企業(yè)。但因?yàn)镮C卡的密碼持有者不是持卡人，而是使用IC卡系統(tǒng)的公司或機(jī)構(gòu)，即普通人不需要知道IC卡密碼，因此IC卡密碼破譯裝置對(duì)普通消費(fèi)者不會(huì)產(chǎn)生太大影響。IC卡破譯裝置可能影響到的利益方主要是使用IC卡系統(tǒng)的單位和生產(chǎn)IC卡或IC卡系統(tǒng)的企業(yè)。

“只要發(fā)行IC卡的公司對(duì)卡內(nèi)的金額設(shè)定上限，就有可能把這種風(fēng)險(xiǎn)控制住?！睏钫褚皬?qiáng)調(diào)。為此，他還專門上書廣州市的公交部門，呼吁他們對(duì)沒有設(shè)定充值上限的“羊城通”IC卡設(shè)定金額上限。

北京靈創(chuàng)科新技術(shù)有限公司謝德育總經(jīng)理告訴《北京科技報(bào)》，IC卡加密算法被攻破，已經(jīng)是不爭(zhēng)的事實(shí)。不過這些破解MIFARE芯片的人群主要集中于學(xué)校、科研院所等相關(guān)的學(xué)術(shù)與研究機(jī)構(gòu)，也就是說，加密算法的破解僅限于專業(yè)技術(shù)人員范圍之內(nèi)，并未在社會(huì)上廣泛流行。

同時(shí)，國(guó)外的司法機(jī)關(guān)也已經(jīng)及時(shí)采取了相關(guān)的限制行動(dòng)。因此，MIFARE芯片的安全漏洞將被局限于一個(gè)較小的范圍之內(nèi)，對(duì)普通民眾的實(shí)際影響將非常有限，即便有也可能僅僅是心理上的安全擔(dān)憂，恐慌更是沒有必要的。

“因?yàn)镮C卡從使用上講是用于小額支付的，卡內(nèi)金額被限定在幾百元以內(nèi)，所以很少被犯罪分子盯上。但是，也不能排除不為金錢、故意擾亂公共安全的壞人?！敝x德育說。

北京市政交通一卡通在推行之初曾經(jīng)遇到過很大的困難，為了降低成本，有關(guān)部門采用了國(guó)外比較成熟、發(fā)行量大的運(yùn)用MIFARE芯片的IC卡，其每張新卡的成本只有1塊多錢。但是有關(guān)部門在卡本身的安全性方面考慮較少，只是設(shè)定1000元的金額上限。而為了方便市民購(gòu)物，北京市政交通一卡通又被賦予了新的“使命”，可在藥店、超市、物美大賣場(chǎng)等1000多家商戶使用，還可以在長(zhǎng)安街等地的部分電話亭充當(dāng)電話IC卡。

面對(duì)采用MIFARE芯片的IC卡遭遇密碼破解的尷尬境地，北京市政交通一卡通公司總經(jīng)理汪連啟表示，目前，北京市民使用的IC卡已由原來的S50卡全部置換成S70卡，擁有48種功能，在全國(guó)的IC卡里，北京市政交通一卡通的安全等級(jí)是最高的。

但是，楊振野教授對(duì)于汪連啟的說法表示質(zhì)疑，在他看來，S50卡和S70卡在破解難度上沒有什么區(qū)別，只是在卡的內(nèi)存上，S70卡比S50卡要多一些，但是其安全性沒有多少提升。

謝德育對(duì)于在沒有提高IC卡安全性就急忙擴(kuò)展卡的使用功能的做法表示強(qiáng)烈反對(duì)，“IC卡的使用初衷是方便市民乘車，其消費(fèi)的數(shù)額只有幾毛錢，或者幾塊錢，所以在卡的安全性方面就不會(huì)考慮太多。但是，要是擴(kuò)展卡的支付功能，那涉及的金額就會(huì)增大，卡的安全漏洞就會(huì)被犯罪分子利用。”而一旦發(fā)生IC卡被改寫卡內(nèi)數(shù)據(jù)和克隆卡，其損失將由發(fā)卡公司承擔(dān)。

“在損失承擔(dān)上，持卡人和發(fā)卡公司都是受害者。但是，發(fā)卡公司作為持卡人的第一責(zé)任人，應(yīng)當(dāng)向持卡人提供賠償。對(duì)于發(fā)卡公司而言，它們可以向破解IC卡密碼的犯罪人給予法律追究。法庭不但會(huì)追究犯罪人的刑事責(zé)任，還會(huì)對(duì)犯罪人給予民事追究，由犯罪人賠償發(fā)卡公司退還丟失的全部金額?！倍フf。

但是，謝德育告訴記者，發(fā)卡公司對(duì)此也不是“無能為力”。由于每張IC卡都有獨(dú)立的ID號(hào)，所以，發(fā)卡公司非常容易發(fā)現(xiàn)這種犯罪行為，因?yàn)?，每天公交公司都?huì)對(duì)乘車的數(shù)據(jù)進(jìn)行采集和分析，很容易發(fā)現(xiàn)哪張IC卡內(nèi)的金額被惡意修改，哪張卡被克隆，在同一時(shí)間不同的地方消費(fèi)。但是，這樣做勢(shì)必會(huì)增加企業(yè)的成本。

為了避免MIFARE卡算法遭破解后給我國(guó)城市公用事業(yè)IC卡系統(tǒng)安全性造成“不良隱患”，建設(shè)部IC卡應(yīng)用服務(wù)中心特別提出了幾個(gè)方案：一是加強(qiáng)MIFARE卡安全應(yīng)用系統(tǒng)方案，二是用CPU卡兼容MIFARE卡應(yīng)用系統(tǒng)方案，三是用CPU卡替換MIFARE卡應(yīng)用系統(tǒng)方案，并就這幾個(gè)方案展開了詳細(xì)的解讀。

記者了解到，北京市政交通一卡通公司根據(jù)國(guó)家有關(guān)部門的要求，正在逐步啟用CPU卡取代現(xiàn)在的S70邏輯加密卡。

“目前市民在一卡通售卡點(diǎn)買到的卡都已經(jīng)是CPU卡，相比邏輯加密卡，CPU卡出現(xiàn)的時(shí)間較晚，但因?yàn)镃PU卡擁有獨(dú)立的CPU處理器和芯片操作系統(tǒng)，可以更靈活地支持各種不同的應(yīng)用需求，交易也更安全。而原先市民手中的S70卡仍舊可以使用，不會(huì)要求市民在較短時(shí)間內(nèi)換卡?！蓖暨B啟說。[!--empirenews.page--]

面對(duì)現(xiàn)在IC卡市場(chǎng)的重新洗牌，有關(guān)專家分析背后的原因有可能是行業(yè)競(jìng)爭(zhēng)。楊振野就告訴記者，曾經(jīng)有一家生產(chǎn)CPU卡的美國(guó)公司找到他，讓他證明MIFARE技術(shù)是不安全的，以此來推行他們的CPU卡。

“目前的CPU智能卡的安全系數(shù)要比原來的非接觸卡高很多，并且目前世界上還沒有破解CPU卡的信息出現(xiàn)。CPU卡由于有CPU芯片，屬于智能卡，相對(duì)采用MIFARE經(jīng)典芯片的IC卡來說，破解起來難度會(huì)很大，但是成本要上升4到6倍?！睏钫褚罢f。

“由于IC卡在推行的時(shí)候，國(guó)家有關(guān)部門沒有想到其發(fā)展速度如此之快，所以在管理上就沒有太注意。”謝德育說，但是，反過來，如果國(guó)家有關(guān)部門在一開始推行的時(shí)候，就嚴(yán)加管理，可能會(huì)束縛IC卡的順利推廣。對(duì)于中國(guó)已經(jīng)發(fā)展到的1.4億的IC卡使用量，謝德育認(rèn)為，國(guó)家有關(guān)部門是時(shí)候加強(qiáng)管理了。國(guó)家密碼管理局已經(jīng)在今年年初對(duì)國(guó)內(nèi)的IC卡市場(chǎng)進(jìn)行摸底，那些沒有經(jīng)過國(guó)家有關(guān)部門批準(zhǔn)的IC卡公司可能將被取締。

“從民眾的角度來說，對(duì)于MIFARE芯片邏輯算法被破解不必過于擔(dān)心，但對(duì)于專業(yè)機(jī)構(gòu)及相關(guān)的智能卡安全監(jiān)管機(jī)構(gòu)來說卻是要保持高度警惕的。”王健說，技術(shù)有缺陷，就要改進(jìn)，有隱患，就要升級(jí)。普通民眾，也要加強(qiáng)防范之心，經(jīng)常對(duì)自己卡片內(nèi)資金狀況與實(shí)際應(yīng)用的狀況核對(duì)，發(fā)現(xiàn)異常及時(shí)采取相關(guān)措施，或通知有關(guān)的發(fā)卡部門，或報(bào)告警方。