普通IC卡安全算法遭破解需升级堵漏

     针对近段时间IC卡出现严重安全漏洞的传闻，昨日，武汉大学计算机学院讲师、湖北省智能卡研发中心研究员丁玉龙表示，以公交卡为主的武汉IC卡存在安全漏洞，但尚不足以影响系统安全，目前新发的楚通卡将有效解决这一问题。 

芯片算法遭破解

     丁玉龙长期从事智能卡研究，据其介绍，2008年初，主要应用于IC卡系统的Mifare经典芯片（简称MI芯片）的安全算法被德国和美国人破解。虽然二人声称绝不对外公布破解方法，但到当年4月，该方法在业内已成公开的秘密。“我包里都有他们的文章原文。”

     直到同年10月，这一问题才引起国内有关方面重视。今年初，工信部发文，要求各地各机关和部门开展对IC卡使用情况的调查及应对工作。湖北省春节后已着手对省内IC卡的数量、开发单位、建设时间等现状进行调查。

     IC卡隐现城市安全漏洞

     据统计，武汉市从1999年开始发行IC卡以来，目前已发各类IC卡40余种，总发行量近600万张，涉及公交、轻轨、超市、水电气等领域。其中，公交IC卡发行量约280万张。

     丁玉龙介绍，这些IC卡绝大部分属于逻辑加密卡，每张卡上有16个算区，每个算区有2个密钥，每次卡片与终端刷卡设备传输信息时，要验证其中的4-6个密钥。密钥通过明文或简单加密传递，如果传输过程中被攻击，截取信息，就能复制卡片，修改卡中金额。“现在，这种攻击设备在网上售价已从最初的9000美元跌到500美元。”

    据悉，解密主要有两种方式。一种是暴力攻击，也就是一个一个地试可能的密钥，破解单个密钥需2-8小时。另一种是“窃听”，即在传输时接收无线波信号，破解单个密钥仅需40毫秒。

三道防线保系统安全

    虽说IC卡存在安全隐患，但丁玉龙强调，解密和加密好比硬币的两面，信息安全被破译是经常出现的现象，除卡片外，系统还有三道防线，市民不必过于担心。目前，武汉还未发现此类作案手法。

    以刷公交卡为例，所有刷卡信息均被存储在终端设备里，会有人定期采集数据，汇总到系统中。如果发现某张卡的交易与系统内记录不相符，即可把该卡列入黑名单，这张卡将无法使用。

    此外，系统可以对单日、单笔消费金额做出限制，并对卡中金额规定上限。此举均为把损失降到最低。

升级为CPU卡是王道

    与银行卡的实时交易不同，IC卡为离线交易模式，有一定的滞后性。因此，丁玉龙建议，最有效的防范方式还是将IC卡升级为CPU卡。

    据悉，IC卡按芯片类别可分为存储卡、逻辑加密卡和CPU卡三类。存储卡无任何保护措施，U盘、MP3就属此类；逻辑加密卡简单加密；CPU卡内装有CPU处理器和操作系统，通过密文通信，安全级别最高。

    目前，香港、北京、广州等地的城市一卡通均使用的是CPU卡。武汉年初开始推行的楚通卡也是CPU卡。这种卡片的成本是MI芯片卡的2-5倍。

市民防范有巧招 

     在未更换鄂通卡前，市民应该如何防范？丁玉龙表示，IC卡的读写距离为2-10厘米，因此市民最好不要将卡放在包的最外层。同时，用卡时应注意周围是否有可疑之人，不要将卡交给陌生人，并密切注意卡内金额变化，不要在卡上放太多钱。对于设备管理方，丁玉龙建议，应改造刷卡设备，如加装金属罩屏蔽信号，及时回收数据、更新黑名单等。

银行卡不是IC卡无需过虑

    IC卡存在安全隐患，那么银行卡安全吗？武汉大学计算机学院讲师、湖北省智能卡研发中心研究员丁玉龙表示，银行卡不是IC卡，市民不必担心。

    “银行卡是磁条卡，本身不具有任何安全性。”丁玉龙说，银行卡背面的黑色磁条，只起到记录卡片基本信息的作用，本身没有任何加密功能。银行卡的安全，还是靠6位数字密码保障。

    以前，很多自助银行的门禁系统需刷卡才能进入，这给不法分子可乘之机。盗取磁条信息后，再靠“坑蒙拐骗偷”获取密码，就能复制卡片、取现。

    丁玉龙说，银行也曾考虑将磁条卡换成CPU芯片的IC卡。但二者成本相差上十倍，加之现有银行卡用户太多，因此并未大规模推广。但目前几大银行均有IC卡试点，如工行已推出多款装有芯片的信用卡。（记者胡楠黄斌）

网银usb-key待升级

     目前备受银行推崇的网银保护神——usb-key移动证书也是一种IC卡，武汉大学计算机学院讲师、湖北省智能卡研发中心研究员丁玉龙表示，移动证书同样存在安全漏洞，目前升级产品已经问世。

    据介绍，移动证书本质上也是一种IC卡，只不过加上了外壳和usb插口。丁玉龙说，如果不法分子在持卡人使用移动证书时，利用木马程序远程操作，让证书误以为是持卡人，同样能转走卡里的钱。

    针对这一漏洞，第二代移动证书加装了确认按钮，需动用资金时，只有持卡人按一下该按钮，才能完成操作。但这种方式无法显示实际扣款金额，因此，第三代移动证书又加装显示屏，实时显示金额变动情况。更高级的第四代移动证书，装上了数字键盘，直接在证书上输入金额，避免了木马盗取键盘信息。

    据悉，上述升级产品均已研制成功，但从成本考虑，目前仅处于宣传推广阶段。