日前有媒體報(bào)道，工業(yè)和信息部發(fā)布了《關(guān)于做好應(yīng)對(duì)部分IC卡出現(xiàn)嚴(yán)重安全漏洞工作的通知》，要求各地各機(jī)關(guān)和部門開展對(duì)IC卡使用情況的調(diào)查及應(yīng)對(duì)工作。據(jù)了解，這則通知出臺(tái)的背景是，主要應(yīng)用于IC卡系統(tǒng)的MI芯片的安全算法已遭到破解，目前全國(guó)170個(gè)城市的約1.4億張應(yīng)用此技術(shù)的IC卡將面臨巨大的安全隱患。

    這則通知和相關(guān)報(bào)道被轉(zhuǎn)載于滬上各大論壇，引起網(wǎng)民們強(qiáng)烈反響。不少網(wǎng)民擔(dān)心，以公共交通卡為代表的IC卡芯片算法一旦遭到破解，儲(chǔ)值便可隨意修改，這將導(dǎo)致公共付費(fèi)領(lǐng)域一片混亂，甚至帶來(lái)災(zāi)難性的后果。記者通過(guò)調(diào)查也發(fā)現(xiàn)，不少網(wǎng)絡(luò)“黑客”以破解IC卡為噱頭在網(wǎng)上招攬顧客。對(duì)此，上海公共交通卡有限公司回應(yīng)稱，滬上的交通卡符合建設(shè)部的IC卡標(biāo)準(zhǔn)且具有自主知識(shí)產(chǎn)權(quán)，安全性完全能夠得到保證。

    □晨報(bào)記者 姚克勤 實(shí)習(xí)生 陳 都

    事件回放：國(guó)外專家宣布破解芯片算法

    IC卡，即集成電路卡，它是一種內(nèi)藏大規(guī)模集成電路的塑料卡片。從上世紀(jì)90年代第一張非接觸邏輯加密IC卡推向市場(chǎng)開始，經(jīng)過(guò)十多年的發(fā)展，這類卡被廣泛應(yīng)用于多個(gè)領(lǐng)域。截至去年底，全球非接觸IC卡的發(fā)行量已超過(guò)21億張。

    德國(guó)研究員亨里克·普洛茨和美國(guó)弗吉尼亞大學(xué)計(jì)算機(jī)科學(xué)在讀博士卡爾斯滕·諾爾于今年發(fā)布了一項(xiàng)研究結(jié)果稱：他們最先利用電腦成功破解了恩智浦半導(dǎo)體的 Mifare經(jīng)典芯片（簡(jiǎn)稱MI芯片）安全算法，而MI芯片的安全算法正是目前全世界應(yīng)用最廣泛的非接觸式IC卡的安全算法。不過(guò)，考慮到這一成果如果被不法分子惡意利用的話，大多數(shù)門禁系統(tǒng)、公共繳費(fèi)系統(tǒng)等將面臨巨大的安全隱患，因此，兩名科學(xué)家在第一時(shí)間宣布絕不公布其破解的成果。

    記者調(diào)查：眾多“黑客”自稱能破解IC卡

    隨著國(guó)外科研人員破解IC卡算法的消息傳入國(guó)內(nèi)，一些“黑客”也躍躍欲試并瞄準(zhǔn)了其中蘊(yùn)含的商機(jī)，公然在互聯(lián)網(wǎng)上叫賣破解和克隆設(shè)備。昨天，記者以采購(gòu)設(shè)備的名義與一名自稱姓楊的“黑客”取得聯(lián)系，他表示可以提供包括電話卡、小區(qū)門禁卡、賓館門卡、桑拿卡、食堂卡、學(xué)生卡等多種IC卡的破解和克隆服務(wù)。

    據(jù)這名“黑客”介紹，破解和克隆IC卡的過(guò)程非常簡(jiǎn)單，使用者只需向他購(gòu)買一套破解設(shè)備和一套復(fù)制設(shè)備，再根據(jù)操作說(shuō)明便可自行完成破解和克隆。根據(jù)待破解卡片的加密等級(jí)高低，這兩套設(shè)備的總價(jià)從800元至5000元不等。這名“黑客”還表示，他已掌握了公交卡的破解和克隆技術(shù)，但由于法律風(fēng)險(xiǎn)太大，目前不提供此項(xiàng)服務(wù)。

    在另一個(gè)小有名氣的“黑客”論壇，記者發(fā)現(xiàn)里面充斥了大量有償教授破解IC卡技巧的帖子。一名發(fā)帖者稱，能破解超過(guò)20類IC卡，初學(xué)者只要花800元便能學(xué)會(huì)破解操作，并承諾破解不成功全額退還學(xué)費(fèi)。不過(guò)，論壇的版主告訴記者，這些所謂的“破解黑客”實(shí)際上良莠不齊，不少人是打著“高手”的名義行騙。

    專家解讀：破解算法后能隨意修改儲(chǔ)值

    “Mifare非接觸邏輯加密卡的安全性目前確實(shí)存在一定問(wèn)題，這類卡的密鑰體系被攻破后，會(huì)造成很大的安全隱患?！敝袊?guó)信息產(chǎn)業(yè)商會(huì)智能卡專業(yè)委員會(huì)理事長(zhǎng)潘利華教授在接受記者采訪時(shí)表示，這類邏輯加密卡進(jìn)入我國(guó)已經(jīng)有十多年的歷史，它的價(jià)格比較便宜，使用起來(lái)很方便，目前主要用于門禁系統(tǒng)、城市公交一卡通等領(lǐng)域。

    據(jù)潘利華介紹，一旦安全算法被破解，不法分子就可以隨意修改卡內(nèi)的儲(chǔ)值信息。此外，還可以隨意復(fù)制卡片，這都會(huì)給城市公共事業(yè)造成安全隱患。

    據(jù)了解，截至目前，我國(guó)170余個(gè)城市應(yīng)用了不同規(guī)模的公用事業(yè)IC卡系統(tǒng)，發(fā)卡量已超過(guò)1.5億張，約有95%的城市在應(yīng)用IC卡系統(tǒng)時(shí)選擇使用非接觸式IC卡，即相當(dāng)于約有1.4億張非接觸式IC卡在我國(guó)城市公用事業(yè)IC卡系統(tǒng)中應(yīng)用，其應(yīng)用范圍覆蓋公交、地鐵、出租、輪渡、自來(lái)水、燃?xì)饧靶☆~消費(fèi)等領(lǐng)域。目前，如何解決這個(gè)安全漏洞是業(yè)內(nèi)和相關(guān)部門亟待思考的問(wèn)題。

    公交卡公司回應(yīng)：滬上交通卡很安全

    上海公共交通卡有限公司新聞發(fā)言人在接受記者采訪時(shí)表示，滬上公共交通卡不是Mifare非接觸邏輯加密卡，而是具有自主知識(shí)產(chǎn)權(quán)的非接觸式IC卡，符合建設(shè)部IC卡標(biāo)準(zhǔn)，安全性能夠得到保證，發(fā)卡至今未發(fā)生一起卡內(nèi)金額遭破解、篡改的案例。不過(guò)，對(duì)于滬上交通卡究竟通過(guò)哪些技術(shù)來(lái)防范風(fēng)險(xiǎn)，該新聞發(fā)言人以核心技術(shù)涉及機(jī)密為由拒絕透露。

    據(jù)了解，目前上海公共交通卡的發(fā)卡數(shù)量已超過(guò)2000萬(wàn)張，使用范圍包括公交車、地鐵、輪渡、高速公路、停車場(chǎng)、加油站等多個(gè)與公共交通相關(guān)的領(lǐng)域。目前，交通卡公司已按照建設(shè)部等有關(guān)部門的新要求對(duì)卡片升級(jí)進(jìn)行有益的嘗試。

    應(yīng)對(duì)策略：將邏輯加密卡升級(jí)為CPU卡

    “事實(shí)上，防范Mifare算法遭破解的根本解決方案是改造現(xiàn)有IC卡系統(tǒng)，逐步將邏輯加密卡升級(jí)為CPU卡。”潘利華表示，和目前廣泛使用的邏輯加密卡相比，CPU卡問(wèn)世較晚，但這類卡擁有獨(dú)立的CPU處理器和芯片操作系統(tǒng)，卡內(nèi)部有一套專門用于互相識(shí)別的機(jī)制，在此機(jī)制下密鑰安全算法等設(shè)計(jì)得比較嚴(yán)謹(jǐn)，數(shù)據(jù)安全性較高，能方便快捷地支持多領(lǐng)域需求，交易也更安全。據(jù)介紹，目前歐洲的銀行卡已經(jīng)由磁條卡向CPU卡轉(zhuǎn)變，我國(guó)少數(shù)城市已開始試點(diǎn)使用CPU卡。

    防范支招：一次充值金額不要太多

    雖然IC卡存在安全隱患，但也不能“因噎廢食”而棄之不用。那么，普通市民該如何加強(qiáng)用卡安全呢？潘利華建議，首先，不要將卡隨意借給他人使用，以免卡片信息被人復(fù)制；其次，用卡時(shí)留意周圍環(huán)境，不要讓卡片離開視線范圍；第三，平時(shí)外出時(shí)，不要為了刷卡方便而把卡隨意放在包的外層或掛在手機(jī)、衣物上，以免卡內(nèi)信息在不知不覺間被人讀??；第四，對(duì)于儲(chǔ)值類卡，一次充值金額不要太多，一旦丟失或信息被盜，損失也不會(huì)太大。