2011年9月30日

悠遊卡遭駭,Mifare卡安全性遭質疑

100.09.29 IT Home

【文/黃彥棻 】這並不是臺灣第一起破解Mifare卡事件。早在2010年臺灣駭客年會上,臺大電機系教授鄭振牟便公開了如何破解Mifare的論文。 

發行超過2,700多萬張的臺北悠遊卡,日前傳出有駭客破解悠遊卡所使用的第一代Mifare晶片卡,竄改票面金額、予以加值使用。這也引發許多人對其安全性的質疑。臺北悠遊卡公司公關室科長林諭林表示,第二代悠遊卡目前發行進度仍須等金管會審核通過,即使日前已發生悠遊卡遭駭事件,該公司仍有其他配套措施,確保悠遊卡的安全性。

林諭林表示,在晶片卡安全防護上,除了記憶體內建的加解密演算法Crypto 1的安全防護外,透過基碼多樣化,每張悠遊卡都是不同金鑰,一次只能破解一張悠遊卡,無法大量複製已破解的卡片使用。另外,他說,悠遊卡本身也有獨特的防偽機制,即便同為Mifare卡,要破解悠遊卡只能拿現成的悠遊卡來破解,無法把非悠遊卡當成悠遊卡使用。最後一關則是透過後臺進行每天交易查核,若有異常資料則會先進行鎖卡。此外,前臺的讀卡機也有設定檢查流程,藉此判定有問題的卡片。

此次事件並非是臺灣第一起破解Mifare卡事件。早在2010年臺灣駭客年會上,臺大電機系教授鄭振牟便公開了如何破解Mifare的論文,使用千萬等級的設備,包括6臺內建8個GPU的伺服器加上側錄資料,在7秒內便可以破解密碼。

智慧卡專家倪萬昇表示,第一代Mifare卡每個金鑰長度太短,只有48位元,有心人士可以購買市面上的RF讀卡機,用暴力方式解開密碼,預計幾個月~2年就可破解。

他認為,悠遊卡原本僅供交通應用使用,但只要跨足小額支付時,就必須使用類似二代金融卡、晶片信用卡等內建3DES、AES或RSA先進加解密標準的晶片卡,才能提供較高的安全度。

沒有留言:

張貼留言