窺探“一卡通” 背后的灰色產(chǎn)業(yè)鏈

北京老百姓所熟知的“一卡通”，其實準確說來應(yīng)該叫“非接觸邏輯加密IC卡”。它和銀行卡不同，背面沒有磁條，內(nèi)部由一個存儲信息的芯片和線圈組成。而之所以叫非接觸，就是因為在使用的時候可以在距離IC卡接收器一定的范圍內(nèi)，將卡內(nèi)的信息傳遞過去，不記名，不用輸密碼，使用非常方便。像目前應(yīng)用的公交卡、門禁卡、停車卡等大抵都屬這一范疇。

照理說，在中國，這樣幾乎人手一張的卡片，技術(shù)成熟，成本低廉，實在是沒有什么可以專門拿出來討論的資本。但最近，工業(yè)與信息化部的一紙通知卻讓其成為從業(yè)內(nèi)專家到普通民眾共同關(guān)注的焦點。

一切，還要從MIFARE遭遇“破解門”說起。

灰色鏈條初現(xiàn)

今年3月，德國研究員HenrykPlotz和弗吉尼亞大學(xué)計算機科學(xué)在讀博士KarstenNohl對外宣稱，已經(jīng)成功破解了荷蘭半導(dǎo)體芯片制造商NXP的MIFARE(非接觸智能卡)Classic芯片安全算法。

這一事件的“蝴蝶效應(yīng)”迅速傳至中國。據(jù)北京交通大學(xué)信息安全研究所博士王健介紹，截至2008年11月，我國有200多個城市應(yīng)用了不同規(guī)模的公用事業(yè)IC卡系統(tǒng)，發(fā)卡量超過1.4億張，其中有80%正是采用了NXP公司的MIFAREClassic芯片技術(shù)，應(yīng)用范圍已經(jīng)覆蓋了公交、地鐵、出租、輪渡、自來水、燃氣、風(fēng)景園林等小額消費的各種領(lǐng)域。

中國信息產(chǎn)業(yè)商會智能卡專業(yè)委員會理事長潘利華教授

4月初，工業(yè)和信息部緊急發(fā)布《關(guān)于做好應(yīng)對部分IC卡出現(xiàn)嚴重安全漏洞工作的通知》，要求各地各機關(guān)和部門開展對IC卡使用情況的調(diào)查及應(yīng)對工作。本著“誰主管誰負責(zé)”、“誰運營誰負責(zé)”的原則，迅速對使用IC卡的重要系統(tǒng)，如各類“一卡通”、門禁卡等進行一次安全檢查，重點檢查系統(tǒng)中是否使用了MIFAREClassic芯片。對于大量使用該芯片的單位，有關(guān)部門將進行指導(dǎo)、督促有關(guān)單位制定并實施升級改造計劃。

在升級改造完成前，工信部表示各有關(guān)單位要因地制宜采取相應(yīng)的技術(shù)和管理措施，如對IC卡的充值進行適當限制，對系統(tǒng)數(shù)據(jù)及時分析研判，以降低MIFAREClassic芯片密碼被破解所帶來的安全風(fēng)險。

一時間，民間關(guān)于IC卡安全的恐慌言論風(fēng)生水起。而早在去年8月，有關(guān)MIFARE的破解軟件及硬件就已經(jīng)在網(wǎng)絡(luò)上開始公開銷售，價格僅為500美元。

“由于技術(shù)相對成熟、成本又低，所以采用MIFAREClassic芯片技術(shù)的IC卡在行業(yè)中鮮有競爭對手，芯片制造商也從中獲得了巨大的商業(yè)利潤。”王健表示。但正是因為這一技術(shù)的普及性，目前能夠破解IC卡密碼的人也在日益增多，而廣東技術(shù)師范學(xué)院電子信息工程系教授楊振野就是其中一個。

“我不是壞人，也不是黑客，我是大學(xué)老師，也是人大代表，不像別人所想的是?？科平饷艽a來賺錢的人。”這位還曾經(jīng)出版過《IC卡技術(shù)及其應(yīng)用》的學(xué)者因為在2003年發(fā)明了“IC卡密碼破譯裝置”被業(yè)界熟知，而這完全是源于幾年前一家企業(yè)的登門求助。