SAY討論區
標題: 「自然人憑證」的安全性遭受挑戰? - Facebook [打印本頁]
作者: doggyXD 時間: 2013-9-18 10:24:33 標題: 「自然人憑證」的安全性遭受挑戰? - Facebook
此文編譯於美國知名科技媒體 Ars Technica 上的文章 Fatal crypto flaw in some government-certified smartcards makes forgery a snap ,文中以亞洲密碼年會上的一篇報告,進而討論「自然人憑證」的安全性。
對於美國國安局(NSA)日前因承包公司前雇員 Edward Snowden 所掀起的安全風暴,也帶起了「國家是否能掌握人民情資」的討論。在這個「個資至上」的年代,政府的「監聽」、攔截電子郵件等危害人民個資的行動皆會引起軒然大波,但日前在亞洲密碼年會有篇報告,似乎要在臺灣獲取個資,不需要像美國國安局一般大費周章。
於印度舉行的 Asiacrypt 2013 (亞洲密碼年會)中,有科學家發表了一項報告,其中對於臺灣政府所通用的「自然人憑證」提出嚴重的安全性警告。
「自然人憑證」實體卡片
於 2003 年臺灣官方開始推行的「自然人憑證」,採用的是硬件亂數產生器( Hardware Random Number Generator )技術,簡稱 RNG ,以及 RSA (加密演算法),以形成難以破解的密碼。
在報告中研究人員則指出,在此種技術上發現了致命的錯誤( fatal flaw ),「隨機性」本是 RNG 中極為重要的要素,以確保他人無法攻破加密過的密碼,進而取得資訊。研究人員試驗了超過兩百萬個 RSA (加密演算法)密碼,其中有 184 個密碼可使用普通電腦,找出核心質數,再進行破解演算,甚至不需要用到超級電腦或是網絡攻擊。
研究團隊在寫給 Ars 的電子郵件中這麼說:「對於已經拿到缺陷卡片的民眾,這項發現非常重大,因為任何攻擊者都可以在網上假冒他們的身份。」
他們進一步表明:「我們的研究應當暫緩了許多想推出此種服務的國家,這種得到國際安全標準認證的智慧型卡片,會產生有缺陷的密碼。但如果一個科技進步的政府在遵循規則、進而去實踐,仍出現問題,那誰能做的對呢?」
關於自然人憑證的安全問題,報導裡這麼闡述:「目前沒辦法排除 NSA 或是其他國家的情報機構,事先不知道臺灣這個計畫的加密弱點,或是其他國家也面臨了相同問題。」
研究人員以 220 萬個 1024 位元加密的臺灣「自然人憑證」(新版使用 2048 位元)做試驗,他們很快的確認了 103 個密碼使用相同的質數( prime numbers )。
「200 萬中有 100 多個密碼共享一樣的質數,聽起來這百分比似乎很低,但以一個密碼專家的角度看來,代表致命的錯誤。」
研究者根據臺灣內政部、中華電信等機關的發卡記錄,提醒臺灣政府大約有一萬張的卡片有此類似缺陷。
研究人員表示:「臺灣政府聲稱他們會追蹤並更換所有有瑕疵的卡片,但直到此時都還沒有動作。」
「所以拿到了以 RSA 1024 位元為底的卡片都很可能有缺陷。」
新版採取 RSA 2048 的卡片,目前經他們檢查過後沒有相同的問題,但基於之前 RSA 1024 位元密碼的經驗,他們仍不排除有瑕疵的可能性。
此研究的根源,是一個去年驚人的發現:在網上每 1000 個 1024 位元的密碼,其中就有 4 個沒有加密性。
其中一個研究團隊之後發表了一個詳細的分析,討論事情哪裡出了錯。原因出在臺灣使用的三種演算法的其中兩種,雖然知名但規則並不複雜,兩者分別是試除法( trial division )和最大公因數演算法( Binary Greatest Common Divisory Algorithm )。
為了防止這種常見錯誤,由世界各地政府所資助的安全機構,已經制定了一系列嚴格經密的加密系統,只給予可信任的認證通過。在 RNG 規則下所產生的卡片很顯然的不符規定。
「這種失敗影響的不僅僅是臺灣公民,而是無處不在的國際加密認證技術。」研究人員表示。
這七名研究者分別是 Daniel J. Bernstein, Yun-An Chang, Chen-Mou Cheng, Li-Ping Chou, Nadia Heninger, Tanja Lange, and Nicko van Someren ,更多關於他們的資訊和報告資料於此。
台大資工系助理教授洪士灝也於個人 Facebook 頁面上發表看法:
由洪士灝留言。
附件: [130007kmt3gk41kf3.jpg] 130007kmt3gk41kf3.jpg (2013-9-18 10:24:33, 0 Bytes) / 下載次數 0
http://forum.go2tutor.com/forum.php?mod=attachment&aid=NDIzNjY2fGY1MTRlM2IwfDE3ODMyMzI0MDF8MHww
作者: jackjack99 時間: 2013-9-18 12:55:58
認真回覆每一篇,希望能得到好分數
作者: ^^SaSabb 時間: 2013-9-18 13:07:52
看起來不錯的樣子
作者: 北極蝦 時間: 2013-9-18 13:26:36
樓主福如東海,萬壽無疆!
作者: 尊貴的基佬 時間: 2013-9-18 13:35:11
好帖,有才
作者: 底褲超人 時間: 2013-9-18 13:48:48
長時間沒來看了 ~~
作者: Some1 時間: 2013-9-18 13:50:49
太棒了!
作者: frankyhui 時間: 2013-9-18 14:55:29
偶啥時才能熬出頭啊.
作者: skykingdom 時間: 2013-9-18 15:21:30
其實回帖算是一種沒德德,所以我快成聖人了
作者: plas_hoz 時間: 2013-9-18 22:16:14
暈 不信啊
作者: kenneth_sweet 時間: 2013-9-18 23:52:13
自己知道了
作者: mic167 時間: 2013-9-19 04:23:39
這個帖不錯!!
作者: 盲搶鹽 時間: 2013-9-19 05:16:11
一樓的位置好啊..
作者: 切雞飯 時間: 2013-9-19 07:26:35
幫你頂,人還是厚道點好
作者: tissss 時間: 2013-9-19 08:54:49
好看的程度,心照不宣
作者: [email protected] 時間: 2013-9-19 16:14:25
能告訴我去那邊分享的嗎?
作者: 世界沒日 時間: 2013-9-19 21:55:44
先看看怎麼樣!
作者: kensiu123 時間: 2013-9-20 04:08:53
幫你項項吧
作者: Gopper 時間: 2013-9-20 07:30:20
像蝴蝶一樣漂亮的帖子
作者: vol1210 時間: 2013-9-20 10:49:42
好文章,和大家一起分享
作者: chrity__summer 時間: 2013-9-20 22:32:42
好貼壞貼,一眼就看出去
作者: xdxd125 時間: 2013-9-21 06:23:12
加油啊!偶一定會追隨你左右,偶堅定此貼必然會起到抛磚引玉的作用~
作者: 津村浩介 時間: 2013-9-21 13:34:39
回復一下
作者: tracy10quTE~~ 時間: 2013-9-22 07:50:44
尼伊達看起來是個不錯的站喔
| 歡迎光臨 SAY討論區 (http://forum.go2tutor.com/) |
Powered by Discuz! X2 |