自然人憑證被爆有安全漏洞!內政部:已解決 - iThome
文章推薦指數: 80 %
國外科技媒體報導,台灣使用的1024位元舊版自然人憑證部份使用的金鑰存在安全風險,導致駭客可能破解金鑰後冒用他人的網路身份。
內政部表示,已在一兩 ...
移至主內容
按讚加入iThome粉絲團
文/蘇文彬
|
2013-09-18發表
國外知名科技媒體ArsTechnica引用一份國際研究指出,台灣使用的1024位元自然人憑證公開金鑰存在安全風險,可能被駭客破解並冒用持卡人網路身份。
該報導一出,在網路上引發關注與討論。
對此,內政部澄清,該問題已解決,有風險的用戶現在都已換發新卡。
由台大電機工程系助理教授鄭振牟、文化大學資工系教授周立平與國外研究人員共同發表的這一份資通安全研究,揭露台灣使用的部份1024位元舊版自然人憑證的亂數產生器(RandomNumberGenerator,RNG)產生金鑰存在潛在風險,在某些條件下可能被破解。
該研究驗證比對200多萬的自然人憑證公開金錀資料庫發現,其中184個金鑰「有跡可循」,有103個金鑰驗證出共用質數,可利用數學算式及電腦分析出來,剩下81個可以其他方式解析。
ArsTechnica引用該研究團隊的回覆指出,這些自然人憑證會對使用者帶來影響,攻擊者可能破解金鑰後在網路上冒用他人身份,這份研究可供其他想要建置PKI(PublicKeyInfrastructure)的國家作為參考。
這些憑證通過國際安全標準,但仍不能避免因為錯誤導致的安全風險,如果高科技政府都可能出錯,誰能做好?
據ArsTechnica報導,該團隊表示已向台灣官方反映該問題,但內部估計約有1萬張卡片可能有相同的弱點,官方回應會追踨且更換卡片,但撰寫研究論文時台灣政府仍未有動作。
記者向參與共同研究的鄭振牟詢問,他以電子郵件回覆表示人目前正在國外,但該研究風險已和中華電信、內政部管證管理中心共同合作處理。
他指出憑證雖通過國際驗證但卻還是有安全風險,這顯示驗證上有嚴重問題,也是ArsTechnica報導的重點。
自然人憑證被視為網路身份證,使用者可當作身份識別在網路上使用各項政府網路服務,例如個人綜所稅結算申報、電子發票整合服務、地政及戶政線上申辦系統、勞保局線上服務等等。
對研究揭露的風險,內政部資訊中心主任沈金祥澄清,這些問題在一兩年前就與鄭教授、中華電信合作處理,經過檢查約有100多張自然人憑證使用弱金鑰,弱金鑰區自然人憑證被破解的風險較高,已主動通知這些用戶換發新卡。
民國100年後全面換發新版自然人憑證智慧卡,長度從1024位元提高到2048位元,演算法也從SHA-1改為更嚴密的SHA-2。
目前我國頒發的自然人憑證總數約有374萬張,新卡約100多萬。
舊卡約有200多萬張,約佔自然人憑證卡數的三分之二,沈金祥表示,使用弱金鑰的舊版自然人憑證佔所有舊卡用戶不到萬分之一,比率要比國外低,其他在期間內的舊卡經過檢查安全風險低,最晚於民國107年也將更換新卡。
負責憑證管理維護的中華電信數據分公司則表示,當初和台大教授合作,發現是日本引進的卡片上亂數產生器有瑕疵,因使用質數問題而可能被破解,後續以更嚴謹的方式又發現71張卡有問題,這些此卡片現在都已更換新的憑證處理,不再有原來的安全風險。
對於該研究揭露國內自然人憑證安全風險引發關注,台灣科技大學資管所教授暨資通安全研究與教學中心主任吳宗成表示,理論上RSA金鑰應該選用不同的質數,產生金鑰後需經過比對是否使用相同質數,但實務作法上驗證過程會花費較多時間、成本而略過,這項研究結果證實了部份金鑰確實存在風險,但實務上還在可接受範圍,這是理論安全和實務安全兩者間的落差,技術上的問題仍可從管理層面上克服。
至於憑證通過美國IFPS、歐洲CommonCriteria標準,他指出研究團隊是以取得的公開金鑰資料庫比對,所以能驗證出不同金鑰共用質數,而國外標準單位應該沒有取得大量金鑰資料,所以無法驗證出安全風險,這並非標準驗證單位的問題,但通過國際標準不代表就一定安全。
熱門新聞
超過30萬Android用戶自GooglePlay下載了含有後門的行動程式
2021-11-30
樹莓派打算要上市了
2021-11-29
微軟Edge先買後付功能遭批開倒車、令人失望
2021-11-29
別再縱容與擱置不當組態設定!Google發現這類高風險執行個體最快半小時就會遭侵入
2021-11-29
臺企銀揭露網銀系統翻新過程,2階段轉型系統架構,先容器化再導入微服務技術
2021-12-01
超過30家公司向歐盟抗議微軟Windows搭售Teams及OneDrive
2021-11-29
Panasonic證實網路遭駭
2021-11-30
駭客滲透Ikea內部及供應商,寄送網釣郵件
2021-11-29
Advertisement
2021iThome鐵人賽
專題報導
臺灣第一輛自駕貨車上路
Line2021AI生產力大改造
中國信託服務力的進化
Julia資料科學新女神降臨
公有雲物件儲存服務2021總覽
更多專題報導
延伸文章資訊
- 1自然人憑證遺失風險在PTT/Dcard完整相關資訊 - 小文青生活
若自然人憑證IC卡遺失或損毀,應如何處理?MOICA內政部憑證管理中心-問答集-06 安全性問題-0602 IC卡安全性若申請人卡片遺失,為他人所拾取 ...
- 2自然人憑證有風險嗎? @ csz3720584u6 - 隨意窩
自然人憑證有風險嗎?自然人憑證密碼藏鏡人,憑證,自然人憑證申請,風險,自然人憑證密碼,自然人憑證,金融卡,信用卡被盜用,RSA,盜領存款,自然人法人,何謂自然人自然人, ...
- 3自然人憑證用途?不能錯過的5大功能一次告訴您!
申請完後繳交IC卡工本費250元,就可以拿到自然人憑證卡片,甚至不用另行開卡呢! 自然人憑證申請步驟為何? 申請人攜帶本人身分證(請 ...
- 4自然人憑證被爆有安全漏洞!內政部:已解決 - iThome
國外科技媒體報導,台灣使用的1024位元舊版自然人憑證部份使用的金鑰存在安全風險,導致駭客可能破解金鑰後冒用他人的網路身份。內政部表示,已在一兩 ...
- 5自然人憑證可以給別人嗎 - 藥師家
包含「簽章用」 ... 民眾可以在任何時間、任何地點、透過網路.... IC卡及PIN碼,不可隨意交給別人或販售給他人使. ,自然人憑證的風險,就像金融卡的風險一樣, 金融卡遺失 ...