針對近段時(shí)間IC卡出現(xiàn)嚴(yán)重安全漏洞的傳聞，昨日，武漢大學(xué)計(jì)算機(jī)學(xué)院講師、湖北省智能卡研發(fā)中心研究員丁玉龍表示，以公交卡為主的武漢IC卡存在安全漏洞，但尚不足以影響系統(tǒng)安全，目前新發(fā)的楚通卡將有效解決這一問題。 

芯片算法遭破解

     丁玉龍長期從事智能卡研究，據(jù)其介紹，2008年初，主要應(yīng)用于IC卡系統(tǒng)的Mifare經(jīng)典芯片（簡稱MI芯片）的安全算法被德國和美國人破解。雖然二人聲稱絕不對外公布破解方法，但到當(dāng)年4月，該方法在業(yè)內(nèi)已成公開的秘密。“我包里都有他們的文章原文。”

     直到同年10月，這一問題才引起國內(nèi)有關(guān)方面重視。今年初，工信部發(fā)文，要求各地各機(jī)關(guān)和部門開展對IC卡使用情況的調(diào)查及應(yīng)對工作。湖北省春節(jié)后已著手對省內(nèi)IC卡的數(shù)量、開發(fā)單位、建設(shè)時(shí)間等現(xiàn)狀進(jìn)行調(diào)查。

     IC卡隱現(xiàn)城市安全漏洞

     據(jù)統(tǒng)計(jì)，武漢市從1999年開始發(fā)行IC卡以來，目前已發(fā)各類IC卡40余種，總發(fā)行量近600萬張，涉及公交、輕軌、超市、水電氣等領(lǐng)域。其中，公交IC卡發(fā)行量約280萬張。

     丁玉龍介紹，這些IC卡絕大部分屬于邏輯加密卡，每張卡上有16個(gè)算區(qū)，每個(gè)算區(qū)有2個(gè)密鑰，每次卡片與終端刷卡設(shè)備傳輸信息時(shí)，要驗(yàn)證其中的4-6個(gè)密鑰。密鑰通過明文或簡單加密傳遞，如果傳輸過程中被攻擊，截取信息，就能復(fù)制卡片，修改卡中金額。“現(xiàn)在，這種攻擊設(shè)備在網(wǎng)上售價(jià)已從最初的9000美元跌到500美元。”

    據(jù)悉，解密主要有兩種方式。一種是暴力攻擊，也就是一個(gè)一個(gè)地試可能的密鑰，破解單個(gè)密鑰需2-8小時(shí)。另一種是“竊聽”，即在傳輸時(shí)接收無線波信號(hào)，破解單個(gè)密鑰僅需40毫秒。

三道防線保系統(tǒng)安全

    雖說IC卡存在安全隱患，但丁玉龍強(qiáng)調(diào)，解密和加密好比硬幣的兩面，信息安全被破譯是經(jīng)常出現(xiàn)的現(xiàn)象，除卡片外，系統(tǒng)還有三道防線，市民不必過于擔(dān)心。目前，武漢還未發(fā)現(xiàn)此類作案手法。

    以刷公交卡為例，所有刷卡信息均被存儲(chǔ)在終端設(shè)備里，會(huì)有人定期采集數(shù)據(jù)，匯總到系統(tǒng)中。如果發(fā)現(xiàn)某張卡的交易與系統(tǒng)內(nèi)記錄不相符，即可把該卡列入黑名單，這張卡將無法使用。

    此外，系統(tǒng)可以對單日、單筆消費(fèi)金額做出限制，并對卡中金額規(guī)定上限。此舉均為把損失降到最低。

升級為CPU卡是王道

    與銀行卡的實(shí)時(shí)交易不同，IC卡為離線交易模式，有一定的滯后性。因此，丁玉龍建議，最有效的防范方式還是將IC卡升級為CPU卡。

    據(jù)悉，IC卡按芯片類別可分為存儲(chǔ)卡、邏輯加密卡和CPU卡三類。存儲(chǔ)卡無任何保護(hù)措施，U盤、MP3就屬此類；邏輯加密卡簡單加密；CPU卡內(nèi)裝有CPU處理器和操作系統(tǒng)，通過密文通信，安全級別最高。

    目前，香港、北京、廣州等地的城市一卡通均使用的是CPU卡。武漢年初開始推行的楚通卡也是CPU卡。這種卡片的成本是MI芯片卡的2-5倍。

市民防范有巧招 

     在未更換鄂通卡前，市民應(yīng)該如何防范？丁玉龍表示，IC卡的讀寫距離為2-10厘米，因此市民最好不要將卡放在包的最外層。同時(shí)，用卡時(shí)應(yīng)注意周圍是否有可疑之人，不要將卡交給陌生人，并密切注意卡內(nèi)金額變化，不要在卡上放太多錢。對于設(shè)備管理方，丁玉龍建議，應(yīng)改造刷卡設(shè)備，如加裝金屬罩屏蔽信號(hào)，及時(shí)回收數(shù)據(jù)、更新黑名單等。

銀行卡不是IC卡無需過慮

    IC卡存在安全隱患，那么銀行卡安全嗎？武漢大學(xué)計(jì)算機(jī)學(xué)院講師、湖北省智能卡研發(fā)中心研究員丁玉龍表示，銀行卡不是IC卡，市民不必?fù)?dān)心。

    “銀行卡是磁條卡，本身不具有任何安全性。”丁玉龍說，銀行卡背面的黑色磁條，只起到記錄卡片基本信息的作用，本身沒有任何加密功能。銀行卡的安全，還是靠6位數(shù)字密碼保障。

    以前，很多自助銀行的門禁系統(tǒng)需刷卡才能進(jìn)入，這給不法分子可乘之機(jī)。盜取磁條信息后，再靠“坑蒙拐騙偷”獲取密碼，就能復(fù)制卡片、取現(xiàn)。

    丁玉龍說，銀行也曾考慮將磁條卡換成CPU芯片的IC卡。但二者成本相差上十倍，加之現(xiàn)有銀行卡用戶太多，因此并未大規(guī)模推廣。但目前幾大銀行均有IC卡試點(diǎn)，如工行已推出多款裝有芯片的信用卡。（記者胡楠黃斌）

網(wǎng)銀usb-key待升級

     目前備受銀行推崇的網(wǎng)銀保護(hù)神——usb-key移動(dòng)證書也是一種IC卡，武漢大學(xué)計(jì)算機(jī)學(xué)院講師、湖北省智能卡研發(fā)中心研究員丁玉龍表示，移動(dòng)證書同樣存在安全漏洞，目前升級產(chǎn)品已經(jīng)問世。

    據(jù)介紹，移動(dòng)證書本質(zhì)上也是一種IC卡，只不過加上了外殼和usb插口。丁玉龍說，如果不法分子在持卡人使用移動(dòng)證書時(shí)，利用木馬程序遠(yuǎn)程操作，讓證書誤以為是持卡人，同樣能轉(zhuǎn)走卡里的錢。

    針對這一漏洞，第二代移動(dòng)證書加裝了確認(rèn)按鈕，需動(dòng)用資金時(shí)，只有持卡人按一下該按鈕，才能完成操作。但這種方式無法顯示實(shí)際扣款金額，因此，第三代移動(dòng)證書又加裝顯示屏，實(shí)時(shí)顯示金額變動(dòng)情況。更高級的第四代移動(dòng)證書，裝上了數(shù)字鍵盤，直接在證書上輸入金額，避免了木馬盜取鍵盤信息。

    據(jù)悉，上述升級產(chǎn)品均已研制成功，但從成本考慮，目前僅處于宣傳推廣階段。