非接觸式讀取便利 防駭設計不可少
將仿效國際民航組織技術規格
〔記者吳柏緯、劉力仁/台北報導〕內政部規劃的晶片身分證,將仿效國際民航組織(ICAO)在二○一五年提出的9303號文件規範,採用機器掃描或生物辨識的非接觸式晶片,特色為透過紅外線等無線感應方式,不須插入讀卡機就能讀取資料,強調保密技術純熟,便利性也更高。但資安專家提醒,類似設計仍曾發生資安外洩事件,除了卡片本身密碼外,建議引用多重方法,強化身分識別機制。
專家建議引用多重方法 強化身分識別
ICAO 9303號晶片規格為結合生物特徵辨識、邏輯數據結構、存取控制、公鑰基模和密碼學,確保所儲存資料之真實性、完整性、原始性與安全性。為配合此一規格,內政部晶片身分證未來登載事項規劃必須加註英文姓名、截止效期,使用期十年。
安華聯網科技總經理洪光鈞表示,「晶片化」並非新的議題,包含健保卡、信用卡都已透過晶片讀取。若要推行晶片身分證,包含個人資料的傳輸、儲存、讀取設備的保護,甚至晶片本身的防盜、防拷設計都須謹慎處理。
他提醒,非接觸式讀取的確比起接觸式讀取更加便利,但也伴隨著相當的資安風險;過去就曾發生歹徒使用掃描器掃描被害人的隨身包包,直接竊取非接觸式晶片卡資料的事件。
資策會資安科技研究所研發經理謝志宏表示,除了自然人憑證與卡式身分證外,晶片身分證未來可能整合悠遊卡、駕照等多項功能,甚至投票、報稅等公民權利義務也能「一卡搞定」,因此,除了卡片本身的密碼外,勢必得引用多因素的方法,來強化身分識別機制。
謝志宏指出,指紋或虹膜等生物識別機制,基本上是獨一無二且永久有效的,可作為驗證身分的方法之一。不過他也坦言,建立生物識別資料庫,將牽涉個人身分隱私與資訊安全強化間應該如何權衡?這將是另一個複雜的議題。