悠游卡遭骇,Mifare卡安全性遭质疑
发行超过2,700多万张的台北悠游卡,日前传出有骇客破解悠游卡所使用的第一代Mifare
芯片卡,窜改票面金额、予以加值使用。这也引发许多人对其安全性的质疑。台北悠游卡
公司公关室科长林谕林表示,第二代悠游卡目前发行进度仍须等金管会审核通过,即使日
前已发生悠游卡遭骇事件,该公司仍有其他配套措施,确保悠游卡的安全性。
林谕林表示,在芯片卡安全防护上,除了内存内建的加解密算法Crypto 1的安全防护
外,透过基码多样化,每张悠游卡都是不同金钥,一次只能破解一张悠游卡,无法大量复
制已破解的卡片使用。另外,他说,悠游卡本身也有独特的防伪机制,即便同为Mifare卡
,要破解悠游卡只能拿现成的悠游卡来破解,无法把非悠游卡当成悠游卡使用。最后一关
则是透过后台进行每天交易查核,若有异常资料则会先进行锁卡。此外,前台的读卡机也
有设定检查流程,借此判定有问题的卡片。
此次事件并非是台湾第一起破解Mifare卡事件。早在2010年台湾骇客年会上,台大电机系
教授郑振牟便公开了如何破解Mifare的论文,使用千万等级的设备,包括6台内建8个GPU
的服务器加上侧录资料,在7秒内便可以破解密码。
智慧卡专家倪万升表示,第一代Mifare卡每个金钥长度太短,只有48位元,有心人士可以
购买市面上的RF读卡机,用暴力方式解开密码,预计几个月~2年就可破解。
他认为,悠游卡原本仅供交通应用使用,但只要跨足小额支付时,就必须使用类似二代金
融卡、芯片信用卡等内建3DES、AES或RSA先进加解密标准的芯片卡,才能提供较高的安全
度。
http://www.ithome.com.tw/node/69970