IC卡被破解的可能性到底有多大?

近日,工業(yè)和信息化部發(fā)布了《關(guān)于做好應(yīng)對部分IC卡出現(xiàn)嚴(yán)重安全漏洞工作的通知》,要求各地有關(guān)部門對IC卡使用情況開展調(diào)查,對MI芯片的安全算法可能遭破解予以應(yīng)對。那么———

    在我國的170多個大小城市,IC卡正在成為許多公用事業(yè)和商業(yè)服務(wù)的"付款

    單"和"通行證",使用范圍遍及公交、旅游、超市、門禁、水電氣表等多個領(lǐng)域。對剛剛享受到持卡便利的消費者而言,IC卡被破解的威脅究竟有多大,目前有沒有辦法應(yīng)對?

    "安全之卡"緣何遭破解?

    IC卡即"集成電路卡"的簡稱,其存儲、處理、傳輸信息的全部功能都在于壓制在塑料卡上的集成電路芯片。按照加密方式的不同,IC卡芯片可分為不加密、邏輯加密和CPU加密三種,各自又可根據(jù)使用方式的不同分為接觸式和非接觸(射頻)式。

    目前,使用中的大多數(shù)IC卡芯片都采用邏輯加密方式。這種芯片不僅存儲量大、易于生產(chǎn),而且由于加密算法復(fù)雜,此前被認(rèn)為是無法破解的,用戶使用時也不用輸入密碼,簡單方便。

    然而在2008年,德國和美國的兩名研究員宣布,他們已利用電腦成功破解了荷蘭芯片制造商恩智浦(NXP)的Mifare經(jīng)典芯片(簡稱MI芯片)的安全算法,但出于公共利益考慮沒有對外公開技術(shù)細(xì)節(jié)。此后,歐洲和美國又?jǐn)?shù)次傳出個人成功破解MI芯片的消息,互聯(lián)網(wǎng)上甚至已有人出售MI芯片的破解軟硬件。

    "目前全世界掌握IC卡芯片技術(shù)的廠商只有三四家,其中恩智浦的MI芯片是應(yīng)用最廣泛的。"賽迪顧問半導(dǎo)體研究中心咨詢師李志中表示,我國約有1.4億張IC卡、包括85%%的公交卡都采用MI芯片。而在全球,這種芯片的使用量多達(dá)10億張。

    李志中介紹,通常使用的MI芯片包括48位密鑰、32位序列號,就像一個密碼保險箱。加之試探次數(shù)很少,難以通過常規(guī)的窮舉法破解密碼。但只要掌握相應(yīng)的算法及技術(shù),砸開芯片的"安全鎖"理論上就是可行的。"而且市面上出自各廠家的芯片,產(chǎn)品的安全機制、技術(shù)標(biāo)準(zhǔn)大同小異,邏輯加密原理的IC卡芯片安全性都差不多,能夠破解的話確實會給使用IC卡的系統(tǒng)造成很大威脅。"

    手中的卡還能用嗎?

    "有點害怕,要是我的IC卡被復(fù)制,里面的錢不是被別人花了嗎?""看來以后每次得少充點錢,寧可麻煩也別有什么損失。"IC卡可被破解的消息報道后,許多網(wǎng)民紛紛表示了自己的擔(dān)憂。

    其實,與普通消費者相比,提供IC卡服務(wù)的機構(gòu)和商家更有理由憂慮。如果公交卡、購物卡或電卡的余額可以被輕易復(fù)制或修改,就可以有人用卡進(jìn)行無限制地消費,這對整個營運系統(tǒng)的破壞將是災(zāi)難性的。

    北京公交一卡通公司工作人員表示,在現(xiàn)有技術(shù)條件下,盜用他人卡號或修改余額等行為的可疑IC卡雖然可以發(fā)現(xiàn),但難于追查,因IC卡被盜用而造成經(jīng)濟損失的用戶也很難提供足夠證據(jù)以獲得相應(yīng)索賠。

    "人們使用IC卡時一般都是自動刷卡,即便有工作人員也不會仔細(xì)核對。"李志中說,"所以一旦有人對IC卡進(jìn)行不法盜用或修改、復(fù)制,隱蔽性極強。"他同時表示,破解IC卡密碼一般需要專用設(shè)備和卡的實體,破解成本也比較高,普通消費者對此不必憂慮。

    至于曾被認(rèn)為安全性不如IC卡、卻仍是國內(nèi)銀行卡和信用卡主流技術(shù)的磁條卡,這次反倒未受影響。目前國內(nèi)絕大多數(shù)銀行卡、信用卡采用磁條存儲方式,密碼并不保存在磁條卡上,而是儲存在銀行系統(tǒng)的數(shù)據(jù)庫里,持卡人使用時將掌握的密碼與銀行服務(wù)器"對暗號"通過后才可使用。如果銀行卡不落入他人手中,密碼也不被他人發(fā)現(xiàn),不法分子就只有通過網(wǎng)上銀行才能盜取他人賬戶,或者通過在ATM機上加裝復(fù)制器、攝像頭等竊取密碼。