類似于Mifare密鑰危機這樣的事件能否從設計上避免?所謂道高一尺,魔高一丈�����。業(yè)內人士普遍認為���,任何一種加密算法或方法都可以被破解,關鍵在于破解所要付出的成本是否比破解后所帶來的好處要多�。有專家提出,實際上這種廣泛被應用的卡并不是單純?yōu)榱税卜缿枚O計的�,而是安防產業(yè)利用了該資源,NXP公司還有一些安全性更高的卡����。
類似于Mifare密鑰危機這樣的事件能否從設計上避免?所謂道高一尺,魔高一丈��。業(yè)內人士普遍認為��,任何一種加密算法或方法都可以被破解�,關鍵在于破解所要付出的成本是否比破解后所帶來的好處要多。有專家提出�,實際上這種廣泛被應用的卡并不是單純?yōu)榱税卜缿枚O計的�,而是安防產業(yè)利用了該資源���,NXP公司還有一些安全性更高的卡�。
因此����,IC卡芯片設計的安全性考慮首先在于它的應用定位,更高的安全性就意味著更高的使用成本���。LEGIC姜鶴松則以超市買來的保險柜及銀行用的金庫門做比較說明:金庫門的復雜性肯定比保險柜復雜得多�����,但他們的應用場合不一樣����,投入成本也不同���,所以一個項目該選用什么產品應該從ROI(投資回報率)整體考慮��。
采訪中���,大家不約而同的提到這樣一個觀念:一個完善和完備的收費系統(tǒng)和應用系統(tǒng),其安全性并不完全依賴于卡片或某種單一技術����,系統(tǒng)的安全性和可靠性完全取決于應用系統(tǒng)的安全性設計。人們在設計產品時���,不可能會考慮得十全十美��,即便是全球廣泛使用的微軟操作系統(tǒng)也會不時地出現安全漏洞����。更有激進者認為����,如果沒有駭客破解密碼,芯片技術就不會不斷向前發(fā)展�����。因此�����,一項技術是否安全���,要從整個系統(tǒng)的安全性設計是否合理來考慮�。
黃志勇提議,未來建設的安防系統(tǒng)可以從系統(tǒng)工程學的角度提升系統(tǒng)安全����,針對原有不安全的門禁系統(tǒng)進行改造要從幾個方面加強,建議不要采用ID卡作為門禁打卡媒介(其可復制性是100%�����,無須專用技術)���,選用IC卡(需專業(yè)技術及專用設備才可復制標準的鑰匙信息)的門通過增加多重密鑰進行雙向��、分區(qū)存儲密鑰認證�、卡加密碼認證����、卡+指紋輔助認證等各種手段,配合實時在線檢測判斷��,可以有效避免杜絕威脅�。
他山之石可以攻玉。針對一些重要的安全部門��,有業(yè)內人士建議借鑒其他國家的做法,出臺相關標準����。例如�����,為了增強政府安全及提升效率��,減少識別欺詐����,美國根據美國國土安全總統(tǒng)指令出臺了身份識別認證標準(FIPS201規(guī)范)。鄭永慶介紹��,該規(guī)范要求首先對持卡人員(聯邦政府雇員和承包商)進行背景調查����,只有通過背景調查的人才可以獲得采用多重驗證技術的卡片,驗證內容包括持卡人的照片�����、卡號����、生物特征模板及對應的識別號�。
除了在讀取技術方面作了相應規(guī)定外���,該規(guī)范還設置多重安全級別:如在流量很大的場所如大門口等非核心區(qū)域不需要采用太復雜的技術;一旦進入核心區(qū)域就要求采用生物識別技術��,除了生物特征識別方式����,還需先輸入生物特征號���,然后進行比對����,并規(guī)定這些區(qū)域不能用無線方式來讀取��,要使用物理接觸方式���,避免信息被竊取��。通過多種措施��,并結合實際使用環(huán)境對整個系統(tǒng)環(huán)節(jié)進行設計�����,可達到保證重要場所安全的目的��。
Mifare卡原始密鑰算法被破解給整個市場提出新的安全課題:如何根據不同場合選擇產品?如何提升系統(tǒng)的安全性?同時也提醒企業(yè)不要一味照搬原始的東西(直接使用原始密碼)���,而要在其基礎上開發(fā)更加安全性的自主知識產權的產品。
有廠商提到���,目前國內很多用戶為了保證安全���,盲目選擇購買國外產品。以門禁卡的芯片為例��,實際上����,國內有些芯片商的產品也很好用。達實智能黃志勇認為�,本次Mifare芯片被破解事件,不僅向所有安防行業(yè)敲響警鐘��,更提醒安防行業(yè)要從單純的技術引進逐漸發(fā)展擁有自主知識產權的技術,把安防的安全指標上升到國家安全的高度�,鼓勵企業(yè)發(fā)展自主知識產權專業(yè)技術產品,避免“拿來主義”����。
免責聲明:本站所使用的字體和圖片文字等素材部分來源于互聯網共享平臺。如使用任何字體和圖片文字有冒犯其版權所有方的��,皆為無意���。如您是字體廠商�����、圖片文字廠商等版權方����,且不允許本站使用您的字體和圖片文字等素材��,請聯系我們����,本站核實后將立即刪除!任何版權方從未通知聯系本站管理者停止使用�����,并索要賠償或上訴法院的,均視為新型網絡碰瓷及敲詐勒索�,將不予任何的法律和經濟賠償!敬請諒解���!
粵公網安備 44030402000264號