馬上註冊  |  找回密碼

SAY討論區

查看: 313|回復: 23
打印 上一主題 下一主題

「自然人憑證」的安全性遭受挑戰? - Facebook [複製鏈接]

Rank: 7Rank: 7Rank: 7

好友
0
帖子
5033
積分
10005
最後登錄
2018-7-30
在線時間
0 小時
跳轉到指定樓層
樓主
發表於 2013-9-18 10:24:33 |只看該作者 |正序瀏覽
此文編譯於美國知名科技媒體 Ars Technica 上的文章 Fatal crypto flaw in some government-certified smartcards makes forgery a snap ,文中以亞洲密碼年會上的一篇報告,進而討論「自然人憑證」的安全性。
對於美國國安局(NSA)日前因承包公司前雇員 Edward Snowden 所掀起的安全風暴,也帶起了「國家是否能掌握人民情資」的討論。在這個「個資至上」的年代,政府的「監聽」、攔截電子郵件等危害人民個資的行動皆會引起軒然大波,但日前在亞洲密碼年會有篇報告,似乎要在臺灣獲取個資,不需要像美國國安局一般大費周章。
於印度舉行的 Asiacrypt 2013 (亞洲密碼年會)中,有科學家發表了一項報告,其中對於臺灣政府所通用的「自然人憑證」提出嚴重的安全性警告。
130007kmt3gk41kf3.jpg 「自然人憑證」實體卡片

於 2003 年臺灣官方開始推行的「自然人憑證」,採用的是硬件亂數產生器( Hardware Random Number Generator )技術,簡稱 RNG ,以及 RSA (加密演算法),以形成難以破解的密碼。


在報告中研究人員則指出,在此種技術上發現了致命的錯誤( fatal flaw ),「隨機性」本是 RNG 中極為重要的要素,以確保他人無法攻破加密過的密碼,進而取得資訊。研究人員試驗了超過兩百萬個 RSA (加密演算法)密碼,其中有 184 個密碼可使用普通電腦,找出核心質數,再進行破解演算,甚至不需要用到超級電腦或是網絡攻擊。
研究團隊在寫給 Ars 的電子郵件中這麼說:
「對於已經拿到缺陷卡片的民眾,這項發現非常重大,因為任何攻擊者都可以在網上假冒他們的身份。」
他們進一步表明:
「我們的研究應當暫緩了許多想推出此種服務的國家,這種得到國際安全標準認證的智慧型卡片,會產生有缺陷的密碼。但如果一個科技進步的政府在遵循規則、進而去實踐,仍出現問題,那誰能做的對呢?」
關於自然人憑證的安全問題,報導裡這麼闡述:
「目前沒辦法排除 NSA 或是其他國家的情報機構,事先不知道臺灣這個計畫的加密弱點,或是其他國家也面臨了相同問題。」
研究人員以 220 萬個 1024 位元加密的臺灣「自然人憑證」(新版使用 2048 位元)做試驗,他們很快的確認了 103 個密碼使用相同的質數( prime numbers )。
「200 萬中有 100 多個密碼共享一樣的質數,聽起來這百分比似乎很低,但以一個密碼專家的角度看來,代表致命的錯誤。」
研究者根據臺灣內政部、中華電信等機關的發卡記錄,提醒臺灣政府大約有一萬張的卡片有此類似缺陷。
研究人員表示:
「臺灣政府聲稱他們會追蹤並更換所有有瑕疵的卡片,但直到此時都還沒有動作。」
「所以拿到了以 RSA 1024 位元為底的卡片都很可能有缺陷。」
新版採取 RSA 2048 的卡片,目前經他們檢查過後沒有相同的問題,但基於之前 RSA 1024 位元密碼的經驗,他們仍不排除有瑕疵的可能性。
此研究的根源,是一個去年驚人的發現:在網上每 1000 個 1024 位元的密碼,其中就有 4 個沒有加密性。
其中一個研究團隊之後發表了一個詳細的分析,討論事情哪裡出了錯。原因出在臺灣使用的三種演算法的其中兩種,雖然知名但規則並不複雜,兩者分別是試除法( trial division )和最大公因數演算法( Binary Greatest Common Divisory Algorithm )。
為了防止這種常見錯誤,由世界各地政府所資助的安全機構,已經制定了一系列嚴格經密的加密系統,只給予可信任的認證通過。在 RNG 規則下所產生的卡片很顯然的不符規定。
「這種失敗影響的不僅僅是臺灣公民,而是無處不在的國際加密認證技術。」研究人員表示。
這七名研究者分別是 Daniel J. Bernstein, Yun-An Chang, Chen-Mou Cheng, Li-Ping Chou, Nadia Heninger, Tanja Lange, and Nicko van Someren ,更多關於他們的資訊和報告資料於此。
台大資工系助理教授洪士灝也於個人 Facebook 頁面上發表看法:

由洪士灝留言。
分享分享0 收藏收藏0 讚好讚好0 Unlike!Unlike!0 分享 傳送 邀請

好友
0
帖子
123862
積分
123879
最後登錄
2019-2-28
在線時間
0 小時
24#
發表於 2013-9-22 07:50:44 |只看該作者
尼伊達看起來是個不錯的站喔

好友
0
帖子
124567
積分
124584
最後登錄
2019-2-28
在線時間
0 小時
23#
發表於 2013-9-21 13:34:39 |只看該作者
回復一下

好友
0
帖子
130227
積分
136402
最後登錄
2019-2-28
在線時間
0 小時
22#
發表於 2013-9-21 06:23:12 |只看該作者
加油啊!偶一定會追隨你左右,偶堅定此貼必然會起到抛磚引玉的作用~

好友
0
帖子
125055
積分
125065
最後登錄
2019-2-28
在線時間
0 小時
21#
發表於 2013-9-20 22:32:42 |只看該作者
好貼壞貼,一眼就看出去

好友
0
帖子
125462
積分
125468
最後登錄
2019-2-28
在線時間
0 小時
20#
發表於 2013-9-20 10:49:42 |只看該作者
好文章,和大家一起分享

好友
0
帖子
134293
積分
143681
最後登錄
2019-2-28
在線時間
0 小時
19#
發表於 2013-9-20 07:30:20 |只看該作者
像蝴蝶一樣漂亮的帖子

好友
0
帖子
124245
積分
124252
最後登錄
2019-2-28
在線時間
0 小時
18#
發表於 2013-9-20 04:08:53 |只看該作者
幫你項項吧

好友
0
帖子
125294
積分
125300
最後登錄
2019-2-28
在線時間
0 小時
17#
發表於 2013-9-19 21:55:44 |只看該作者
先看看怎麼樣!

好友
0
帖子
112384
積分
124214
最後登錄
2019-2-28
在線時間
0 小時
16#
發表於 2013-9-19 16:14:25 |只看該作者
能告訴我去那邊分享的嗎?
您需要登錄後才可以回帖 登錄 | 馬上註冊 |

Archiver|手機版|SAY討論區

GMT+8, 2026-7-4 23:28 , Processed in 0.775300 second(s), 11 queries .

Powered by go2tutor.comDiscuz! X2

© 2026 Community Networks Limited

回頂部