重申新身分證無資安疑慮 內政部:將辦駭客比賽測試
內政部重申新版數位身分證安全無虞。圖取自內政部網站參考樣張。(資料照)
〔記者黃欣柏/台北報導〕針對內政部將於明年換發的新版數位身分證(New eID),近日有學者出面質疑恐有資安疑慮。對此,內政部今表示,New eID是在晶片自行產製私密金鑰,無法匯出及重製,而且是在封閉隔離的環境中製作,任何人都無法取得,資安絕對無虞,請民眾放心,未來在New eID發行前還將規劃賞金獵人競賽,讓駭客社群驗測New eID的安全等級和防護能力。
內政部表示,私密金鑰產製是公開金鑰基礎建設的程序之一,依據自然人憑證CPS(內政部憑證管理中心憑證作業基準)規範,金鑰對是在通過安全評估共通準則(Common Criteria,CC)國際安全認證的晶片中自行運算產生,且無法匯出、重製,任何人都無法取得該私密金鑰,因此不會有製卡廠商掌握私密金鑰的情形。
此外,內政部也強調,私密金鑰在產製時尚未結合個資,且是在百分百國營、絕無中資的中央印製廠內,於安全封閉環境中由專人執行產製,其作法與現行自然人憑證相同。
內政部表示,New eID 發證系統的建置,只是為了製發數位身分證,除了是在封閉隔離的製發環境下運作,也不會連結網際網路,並會有嚴格的安全管理與監控機制,能有效防止駭客的攻擊。此外New eID並不會儲存或記錄個人地域、人際網絡或其他數位痕跡,不會有隱私資料外洩的疑慮。
有關中央印製廠招標公告上提及「晶片追蹤」,引發疑慮,內政部解釋,New eID與護照、信用卡、健保卡、悠遊卡等一樣為晶片卡,不會主動發送訊號或洩漏位置,無法進行追蹤,該招標公告的意思其實是指「追蹤卡片生產的作業狀態」,為避免外界誤解,將對文字進行更正。
內政部也說明,開發New eID相關系統服務時,內政部除了要求導入安全軟體開發相關原則,也將委請資安廠商針對晶片本身、資訊傳輸、感應設備、應用服務等項目進行檢測,並在不涉及安全原則的條件下,把相關程式原始碼開放讓公眾進行基本弱點掃描、滲透測試、紅隊演練等檢測,以挖掘出各種可能攻擊手法。
內政部重申,內政部不會蒐集New eID的使用紀錄,公、私部門若要使用民眾個資也均受到「個人資料保護法」規範,透過「個資法」、「資通安全管理法」及「電子簽章法」已可建構嚴密的保護網,無需另訂專法。