有消息指新身份證改用 RFID 無線傳輸技術,很些網友指出可能在你不知情的狀況下有機會被人盜走資料甚至被警員隔空「抄牌」要你必需要更換一些 RFID 保護的銀包,但其實真相是否真的如此?
其實八達通/信用咭早已加入 RFID 技術,為甚麼 unwire擔心智能身份證使用 RFID 技術呢 ? RFID 無線技術其實附近只要有一個接收器,便可以遙遠讀取咭內的資料。早前已經有不少保安專家警告過 RFID 信用咭很高機會被盜取,當然首要條件是你必需要解碼
個人身份證就不一樣,每人都有一張,政府也有解密的鎖匙,如果認證機制做得不好,理論上警員無需要叫你拿身份證出來,只要拿個讀咭機站近你身前 beep 一聲(甚至無聲) 就可以知道你姓甚名誰,最恐佈的是讀咭裝置若配以高接收力天線及特別儀器, 原本需要 10cm 距離內的讀咭範圍可提升至 10 米,10 米外都可以讀到身上的身份證。
日後在公眾地方,只要於多處放置這些讀咭裝置,原理上可做到有任何巿民行經機前都可以被紀錄下來。當然這有助警方破案,難免被人擔心日後用於任何遊行集會時,巿民被「隔空」抄牌後,有否政治後遺症。
另一方面,近幾年政府有不少資安事故,萬一解密 key 被洩出,不法份子可以隔空偷身份証資料作其他非法用途,甚至用來隔空「起底」。有傳媒仍同樣提出以上的可行性,我們 unwire 開始很擔心這個假設會成真。
以下我們看看 RFID 信用咭如何簡易被盜咭號 :
首先讀者 William Li 提醒我們,有別於信用咭,這技術要讀取咭上資料受到 BAC Basic Access Control 的限制。讀取者必須有咭上資料(咭號 HKID,到期日,出生日期)方可用 RFID 無線讀取。可被無線讀取的資料全都印在咭上。這技術亦已用於回鄉証及全球所有的 e-Passport。
我們就此問題訪問了保安專家楊和生先生,他指加入 BAC 的確是可以加強保安性,但只限於一般巿民的層面,例如以上盜用信用咭的案例可能不會容易發生,但其實我們不知道將來政府用甚麼加密機制,但任何加密機制也好,只要關鍵的資料在政府那邊,政府可以把資料授權於執法人員仍有機會可隔空讀取咭上的資料,最安全的做法是阻檔 RFID 訊號。
再感謝讀者 kahon chan 提供參考資訊 ,一些網友(包括我們)的誤解得到解答,以下是政府文件中對 RFID 的說明 :
為了在保護資料方面提供額外的保障,我們考慮在啟動晶片的無線通信前,透過光學閱讀技術以控制晶片資料的存取。在啟用該種存取控制後,必須把香港智能身份 證直接放在光學證件閱讀器上,讓閱讀器擷取證件表面某些獨特的資料,以啟動傳 輸。該等獨特的資料將傳送至閱讀該張香港身份證的系統,轉化為密匙,並由該張 香港身份證及系統核實。在系統檢查密匙及認證成功後,方可閱讀晶片上的資料。 換言之,若要從一張香港智能身份證的晶片讀取資料,該張香港智能身份證須直接 放於光學證件閱讀器上,與晶片的距離須少於 2 厘米。(這有別於八達通卡的資料 讀取方法,即將八達通卡存放在錢包或手袋,仍可讀取資料。)由於密匙是從該特 定的香港智能身份證的證件表面資料衍生的,故不能用於讀取另一張香港智能身份 證。在過去十年間,多個司法管轄區(如德國、馬來西亞及澳門特別行政區等)在 推出包含無線傳輸晶片的智能身份證後,已採用類似的技術以防資料外泄。
文件可<在此>觀看
讓 unwire 簡單一點解釋,要讀到你的身份證必需要符合以下條件:
1. 要拿出來放在 2cm 的光學閱讀器上
2. Scan 完後再通過認識,RFID 才會啟動可被閱讀
因此你的身份證理論上必需要先「見光」拿出來,所以放在銀包被掃瞄到是不成立的,因為咭內的 RFID 未被啟動,這解答了以上擔心政府人員「偷讀」身份證是不成立的,這是雙重的保安機制
OCR 光學技術既係 key 印在咭上,確可以減少從未讀過嘅咭被遠距離讀取。但讀過一次之後,就未必需要再用 OCR 技術重讀條 key 亦可啟動 RFID handshake。2 如政府人員 save 起一批人嘅 card unique key,就有可能遠距離偷讀。但這就構成不誠實使用電腦罪。
如果你還是很擔心 RFID 的問題,或懷疑政府有其他方法背後啟動 RFID 模組,可以怎辦 ?你可以購買一些阻檔 RFID 的銀包。其實 unwire 一早已經報導過有關的<保安銀包>,銀包中使用鋁片阻檔無線訊號
除了銀包外,還有防 RFID 的<牛仔褲>
防 RFID Jacket
天恩覺得最直接的方法莫過於買一張防 RFID 掃瞄的身份證咭套,過關及被查牌時才拿出來用。嗯? 看來又是另一門生意..
