目前���,非接觸IC卡的安全性問題已經(jīng)成為IC卡行業(yè)最熱門的話題之一��。本文將從介紹非接觸IC卡的種類以及其在國內(nèi)外的應(yīng)用情況入手���,進(jìn)而分析Mifare的安全性問題,最后向Mifare用戶介紹應(yīng)對(duì)之策���。
非接觸IC卡
非接觸IC卡可分為兩大類:非接觸邏輯加密卡(又稱“非接觸儲(chǔ)存卡”)和非接觸智能卡(又稱“非接觸CPU卡”)���。
非接觸邏輯加密卡由射頻電路�����、普通加密模塊和存儲(chǔ)器等組成��,由于它使用方便�����、成本低廉����,同時(shí)也具備一定的安全功能����,因此目前它是市場占有率最高的非接觸IC卡�。以NXP半導(dǎo)體(原Philips半導(dǎo)體)的Mifare Classic卡為例,在其推出至今的十多年里�,全球出貨量超過10億張。在中國����,Mifare也占據(jù)了非接觸IC卡市場的領(lǐng)導(dǎo)地位,特別在國內(nèi)的公交�、高速、校園等領(lǐng)域����,其幾乎達(dá)到了100%的市場份額。
非接觸CPU卡(以下簡稱“CPU卡”)內(nèi)置CPU和嵌入式操作系統(tǒng)���,支持高強(qiáng)度硬件加密算法���,金融等對(duì)安全性要求比較高的應(yīng)用領(lǐng)域多規(guī)定必須使用CPU卡。雖然目前CPU卡市場占有率不太高��,但隨著其成本的逐步降低以及用戶安全意識(shí)的加強(qiáng),其出貨量正逐年上升��,在高端領(lǐng)域呈現(xiàn)逐步取代邏輯加密卡的趨勢�����。
邏輯加密卡 VS. CPU卡�����,誰更安全�����?
雖然以Mifare為代表的非接觸邏輯加密卡目前市場占有率占絕對(duì)優(yōu)勢����,但近年來其所暴露出來的安全漏洞�,已經(jīng)使它的市場受到較大影響。同時(shí)�����,我們也認(rèn)為這些安全事件也大大加速國內(nèi)CPU卡的普及進(jìn)程��。據(jù)了解,攻擊者對(duì)Mifare的攻擊主要針對(duì)其兩個(gè)弱點(diǎn):偽隨機(jī)數(shù)僅為16位����,周期太短,攻擊者很容易利用偽隨機(jī)數(shù)的缺陷進(jìn)行“重放攻擊”����;Mifare 48位密鑰長度太短,而加密算法結(jié)構(gòu)本身也太簡單�,加密函數(shù)缺陷明顯,攻擊者可以利用普通PC機(jī)在很短的時(shí)間內(nèi)倒推出密鑰���,從而達(dá)到克隆合法卡的目的����。
以上這些問題在CPU卡中是不存在的�。CPU卡的隨機(jī)數(shù)產(chǎn)生器比Mifare復(fù)雜得多,且往往需要通過第三方權(quán)威機(jī)構(gòu)的隨機(jī)數(shù)檢測����,如要通過國內(nèi)銀行卡檢測中心的隨機(jī)數(shù)檢測就必須通過《NIST Special Publication 800-22》標(biāo)準(zhǔn)測試,這樣就可以有效地防止攻擊者利用隨機(jī)數(shù)進(jìn)行攻擊�。另外,CPU卡通常采用高強(qiáng)度的DES加密算法��,該算法由IBM公司在1975年公開,后來被包括美國在內(nèi)的政府�、機(jī)構(gòu)所使用,目前金融領(lǐng)域IC卡標(biāo)準(zhǔn)中所規(guī)定加密算法標(biāo)準(zhǔn)就是DES算法����。多年來的實(shí)踐證明,DES算法在對(duì)付強(qiáng)力攻擊時(shí)是比較安全的����。非接觸CPU卡在DES算法實(shí)現(xiàn)過程中通常使用3條64位的密鑰對(duì)數(shù)據(jù)進(jìn)行三次加密,密鑰長度為128位��,這優(yōu)于Mifare的加密方式����。
如何應(yīng)對(duì)Mifare的不安全?
從上面的介紹可以看到Mifare的安全性問題是真實(shí)存在的�,因此筆者建議國內(nèi)用戶應(yīng)當(dāng)采取有效措施加以應(yīng)對(duì)。
對(duì)已運(yùn)行的項(xiàng)目來說�����,首先要完善管理和處罰(包括刑事)手段�����,對(duì)潛在攻擊者進(jìn)行震懾��;其次�,需要縮短系統(tǒng)中交易數(shù)據(jù)上傳和分析處理時(shí)間,盡量做到實(shí)時(shí)處理�����;再次�,終端設(shè)備需支持黑名單下載,并盡量增大黑名單容量和更新能力����;最后,也是最根本的解決方法���,即盡快向非接觸CPU卡等高安全產(chǎn)品升級(jí)��。
而對(duì)于新項(xiàng)目來說���,建議直接采用非接觸CPU卡等高安全產(chǎn)品,做到一步到位的安全應(yīng)用����。
目前包括復(fù)旦微電子公司在內(nèi)的國內(nèi)廠商已經(jīng)具備自主設(shè)計(jì)研發(fā)非接觸CPU卡的能力�。由于復(fù)旦微電子公司等國內(nèi)廠商介入CPU卡市場�,CPU卡的使用成本也因此逐步降低,并將逐漸下降到一個(gè)理想的價(jià)格�����,過去唯一阻礙CPU卡市場推廣的價(jià)格因素也會(huì)消除�,因此選擇國產(chǎn)高性價(jià)比的CPU卡將是用戶應(yīng)對(duì)Mifare帶來的安全問題的最優(yōu)選擇。
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺(tái)����。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的,皆為無意�。如您是字體廠商、圖片文字廠商等版權(quán)方���,且不允許本站使用您的字體和圖片文字等素材���,請(qǐng)聯(lián)系我們,本站核實(shí)后將立即刪除����!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用,并索要賠償或上訴法院的,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索�����,將不予任何的法律和經(jīng)濟(jì)賠償�����!敬請(qǐng)諒解���!
粵公網(wǎng)安備 44030402000264號(hào)