學者:新式身分證 恐釀資安危機/關鍵「私人金鑰」發包民間廠商處理 晶片、系統將成駭客攻擊對象
政院核定新式身分證,將於明年10月全面換發。(圖:取自內政部網站)
〔記者吳佳穎/台北報導〕內政部日前宣布明年十月全面換發新式身分證(New eID),但台大電機系教授林宗男認為,新式身分證攸關全民個資,政府卻將關鍵技術「私人金鑰」發包給民間廠商,恐將成為「全民資安危機」;成大電通所教授李忠憲則認為,新式身分證上路,晶片、系統將提供駭客絕佳攻擊對象,質疑政府是否有能力維護民眾個資安全。
若遭重製 將造成國安危機
林宗男指出,目前新式身分證中,攸關民眾個資取得的「私人金鑰」委由民間廠商處理,若獲得民眾私人金鑰,有心人士可藉此取得民眾個資,甚至到網銀開戶、洗錢;儘管政府要求承包廠商到中央印製廠產生私人金鑰,但廠商如果掌握關鍵技術,到其他地方重製並非難事,「考量目前兩岸處境,恐將成為國安危機。」
李忠憲也指出,資訊安全的生命週期,從高階設計、低階設計、生產製造、交通運送、使用、銷毀都有非常高規格的要求,政府提出在中央印製廠製造,僅重視其中一個環節。此外,政府常引述愛沙尼亞、德國,做為數位政府典範,為新式身分證背書,但愛沙尼亞推動數位政府,背後有嚴謹法源依據,如身分文件法、電子身分證法,歐盟也有「一般資料保護規範」(GDPR)保護民眾個資;反觀台灣,「新式身分證」上路缺乏專法保障,且透過「發包民間廠商」進行,資安措施寫入「招標文件」。
缺乏專法保障 個資安全堪慮
李忠憲批評,「政府高階資訊主管通常沒什麼資安概念,唯一做法就是外包廠商,發生問題交由廠商解決」,以七月八大情治系統文官個資外洩為例,當時政府僅解釋遭木馬病毒攻擊,從未回應哪個單位、哪個人員必須為資料外流負責,「在缺乏究責機制的情況下,全面換發晶片身分證,政府如何確保民眾資訊安全?」
中國對台資訊戰可能升級
李忠憲引述過去在國家高速網路中心工作,曾參與世界高速電腦年會,看到中國有大量超級電腦,「一旦新式身分證上路,系統、晶片一定會遭中國全力弱點掃描和旁通道分析攻擊等,從最底層一直到最高層。」
李忠憲也認為,新式身分證保留全民「數位痕跡」,若外流恐將成為有心人士操作資訊戰的依據;長年研究「資訊戰」的台北大學犯罪所助理教授沈伯洋則分析,目前中國對台資訊戰,是依據民眾喜好分化群體,未來新式身分證上路,等於提供駭客絕佳的攻擊對象,資訊戰可能將升級為對區域,如針對特定村里人際網絡的攻擊。
新式身分證資安疑慮