IC卡的“命门”被破 安全技术亟待升级

近日，工业和信息化部下发《关于做好应对部分IC卡出现严重安全漏洞工作的通知》，要求各地开展对IC卡使用情况的调查及应对工作。记者了解到，这个通知的背后是应用于IC卡系统的MI芯片的安全加密方法已遭到破解，不法分子利用该破解方法以很低的经济成本对采用MI芯片的各类IC卡如公交一卡通、门禁卡等进行非法充值或复制，对各应用单位的公共安全形成重大威胁。目前全国170个城市的约1.4亿张应用此技术的IC卡存在潜在的安全隐患。

MI芯片IC卡不再安全

　　IC卡，即集成电路卡，是现实生活中最常用的一种小额支付卡，其主要有两大分类：一类是非接触卡，比如公交一卡通、门禁卡、停车卡等;一类是接触类IC卡，如日常使用的购电卡、煤气卡、电话卡等。其中，非接触IC卡的应用非常广泛，来自建设部IC卡应用服务中心的数据表明，截至2008年11月，全国共有170余个城市在公共交通领域建立了不同规模的IC卡应用系统，90%的城市实现了城市IC卡的一卡多用。发卡量已超过1.5亿张，其中95%的城市在应用IC卡系统时选择使用采用MI芯片技术制作的非接触式IC卡，这意味着约1.4亿张采用MI芯片技术IC卡在我国城市公用事业IC卡系统中应用，其应用范围已覆盖公交、地铁、出租、自来水、燃气及小额消费等领域。一般人或许未曾想到，这些卡的MI芯片的安全算法已被破解。

　　德国研究人员亨里克·普洛茨和美国弗吉尼亚大学计算机科学在读博士卡尔斯滕·诺尔于去年年底发布了一项研究结果称，他们利用电脑成功破解了恩智浦半导体的MI经典芯片(简称MI芯片)安全算法，而MI芯片的安全算法正是目前全世界应用最广泛的非接触式IC卡的安全算法。不过，考虑到这一成果如果被不法分子恶意利用的话，大多数门禁系统、公共缴费系统等将面临巨大的安全隐患，因此，两名科学家在第一时间宣布绝不公布其破解的成果。

　　事实上，这并不是第一次破解IC卡的密码了，2002年，《纽约时报》就曾报道，英国剑桥大学两位计算机安全专家在美国展示了一种既巧妙又廉价的破解IC卡芯片数据的技术：只需要一个闪光灯和一个显微镜。

　　一旦IC卡被破解，就可以被肆无忌惮地复制和修改信息了。目前城市IC卡出现了一卡多用的趋势。例如在北京，公交IC卡可以在部分饭店和超市消费，一旦有不法分子复制卡片后恶意充值进行倒卖或自消费，后果将不堪设想。

　　记者还发现，在网上有不少人兜售IC卡密码破解技术，价格在几百元到几千元不等。

IC卡升级是大势所趋

　　MI卡算法遭破解后给我国城市公用事业IC卡系统安全性造成了极大隐患。如何从根本上解决这个安全漏洞，防止危害的发生，是目前亟待解决的重要课题。

　　为了避免MI卡算法遭破解后给我国城市公用事业IC卡系统安全性带来威胁，建设部IC卡应用服务中心特别提出了几个方案：一是加强MI卡安全应用系统方案，二是用CPU卡兼容MI卡应用系统方案，三是用CPU卡替换MI卡应用系统方案，并就这几个方案展开了详细的论证。

　　中国信息产业商会智能卡专业委员会理事长潘利华教授称，有效防范MI算法破解的根本解决方案就是升级改造现有IC卡系统，并逐步将MI卡替换为CPU卡。相比MI卡，虽然CPU卡出现的时间较晚，但CPU卡拥有独立的CPU处理器和芯片操作系统，可以更灵活地支持各种不同的应用需求，交易也更安全。其优势主要体现在数据安全性更高、应用更加灵活、应用能力更多等几个方面。目前，欧洲各国的银行卡已经采用CPU技术，至今未出现被破解和攻击等恶性事件，充分说明了CPU卡的优势所在。

　　“相对采用MI芯片的IC卡来说，CPU卡破解起来难度会很大，但是制卡成本要高很多。”北京远程嘉景商务管理技术研究所专家赵宝胜在接受记者采访时如是说。

　　记者了解到，北京市政交通一卡通公司根据国家有关部门的要求，正在逐步启用CPU卡取代现在的MI卡，目前市民在一卡通售卡点新买到的卡都已经是CPU卡。

　　另据了解，国家相关部门在IC卡的升级上也做了大量工作，建设部IC卡应用服务中心在2008年就制定了两项国家行业标准，同时向建设部申报三项城市互联互通卡系列标准，为CPU卡的广泛应用及实现全国互联互通建立标准体系。

　　专家称，尽管升级改造现有IC卡系统，并逐步将MI卡替换为CPU卡是趋势，但由于我国MI卡基数大，大批量升级系统和更换卡片所需的资金也不是个小数目，加上其他工作，所以换卡的工作必然是一个渐进的过程。

正确使用保证用卡安全

　　在得知IC卡安全存在隐患后，不少消费者都表示了担忧。而相关专家认为，虽然有人破解了IC卡的安全算法，但采取防范措施可以预防，虽然理论上不法分子可以借此技术随意修改卡内的信息，但由于大多数IC卡营运公司及相关单位都设置了后台管理系统，能够及时发现可疑IC卡的数据更改情况，消费者如发现异常应及时采取相关措施，通知有关的发卡部门，或报告警方。

　　目前IC卡出现安全隐患是不争的事实，如何防范自己的IC卡信息不被盗用?赵宝胜给消费者支招：第一，不要将卡随意借给他人使用，以免卡片信息被人复制;第二，用卡时留意周围环境，不要让卡片离开视线范围;第三，平时外出时，不要为了刷卡方便而把卡随意放在包的外层或挂在手机、衣物上，以免卡内信息在不知不觉间被人读取;第四，对于储值类卡，一次充值金额不要太多，一旦丢失或信息被盗，损失也不会太大。