哲思官方群认证群组  - 讨论区

标题:[zeuux-universe] [Fwd: 二代身份证可能导致身份信息泄露]

2009年02月26日 星期四 09:57

Bill Xu bill在zeuux.org
星期四 二月 26 09:57:00 CST 2009

FYI................


 
 


    二代身份证可能导致身份信息泄露 <http://www.sinoutopia.org/wp/?p=1954>

via 牛博山寨头条 <http://feed.bullog.org/> by sbilly on 2/25/09

一直以来我都对二代身份证的安全问题比较感兴趣(20081005 
<http://www.sinoutopia.org/wp/?p=1506>、20080808 
<http://www.sinoutopia.org/wp/?p=1348>、20040216 
<http://www.sinoutopia.org/wp/?p=51>)。前面 
<http://www.sinoutopia.org/wp/?p=1918>说过,二代身份证是符合 ISO14443 
TYPE B 的非接触式 IC 卡,具有 4k 的存储空间(下图是 ISO14443 Type A 的数 
据存储区域,二代身份证由于是封闭技术,但很可能采用的是类似原理)。

ISO14443 Type A

非接触 IC 卡存储数据都是通过密码限制的,卡片中的每个数据存储扇区都有相应 
的读密码和写密码。二代身份证是公安部委托清华大学微电子学研究所和清华同方 
微电子有限公司共同研制的 
<http://news.tsinghua.edu.cn/new/news.php?id=7005>,因此在二代身份证中, 
读取密码很可能是国产某种加密算法的密钥。目前,存储在二代身份证中的数据包 
括身份证表面能看到的所有信息(包括照片)。

二代身份证的适配器是通过符合国际标准的读卡器,再加上国内研制的安全模块来 
实现对二代身份证的读写操作。安全模块是专控产品,社会上使用的设备都只具备 
读权限,而公安系统使用的安全模块具有写权限。我想,这样的权限差别应该是通 
过密码/密钥来实现的。从我自己办理二代身份证的经验来看,目前二代身份证一 
般是由各省公安厅统一制作,而市局目前只有数据采集的权限。也就是说,具有完 
全操作权限的安全模块仅限于各省公安厅。而继承了读取权限安全模块的二代证读 
卡器(模块),也可以用 2000 元以下的价格从公开的渠道获得 
<http://search1.taobao.com/browse/0/n-g,w37lj6wwuq-------2---------40--commend 
-0-all-0.htm?at_topsearch=1>。目前,大多数的读卡器(模块)都提供了相应的 
SDK <http://www.sinoutopia.org/resources/ID.SDK.RAR>(下载时需要把连接中 
的 .RAR 修改成 .rar 才能正常下载) 。

因此,如果有需要,任何人都可以用相对较小的成本,获得读取二代身份证数据的 
能力。二代身份证的读取距离为 10cm,虽然目前还没有证明二代身份证可以被远 
程读取。比如,我在商场的入口处设置一个场强(恰好不超过二代身份证安全机制 
的触发阈值),然后在整将整个门框变为我的读取天线。通过这样的手段,我就可 
以获得进出这个狭窄区域的所有二代身份证的全部数据。

目前还没有看到有人公开对二代身份证做逆向的研究,进行向 SIM 卡或者一卡通 
卡那样的逆向分析,因此在公开的范围内还没有人能够破解二代身份证的读写密码 
/密钥。同时,由于具有完全写权限的安全模块目前只有各个省公安厅才拥有,因 
此这个密码/密钥失密的可能性也较低。与此相对应的是,具备读取权限的安全模 
块很可能被破解,二代身份证的读取设备有可能价格更低。

综上所述,目前个人认为*二代身份证内信息被盗读的威胁很可能就会发生在身 
边,而出现伪造或篡改身份证的可能性较低*。我自己是一发现二代身份证的读卡 
器可以公开购买,就立马用烹饪用的锡纸把二代证包起来了 ……

和前篇文章一样,这篇文章都是从公开渠道获得的信息总结而来,如果有不正确的 
地方请告知我,我会及时修改文章中存在的错误。


 
 


      Things you can do from here:

    * Subscribe to 牛博山寨头条
      <http://www.google.com/reader/view/feed%2Fhttp%3A%2F%2Ffeed.bullog.org%2F?source=email>
      using *Google Reader*
    * Get started using Google Reader
      <http://www.google.com/reader/?source=email> to easily keep up
      with *all your favorite sites*

 
 

--~--~---------~--~----~------------~-------~--~----~
Notice:
记得在回复前清空引用内容。
方法:将光标定位于框中,然后右键全选(ctrl+A)再按Del删除引用内容。
您收到此信息是由于您订阅了 Google 论坛“Ideas Factory China”论坛。
要在此论坛发帖,请发电子邮件到 ideasfactorychina在googlegroups.com
要退订此论坛,请发邮件至 ideasfactorychina-unsubscribe在googlegroups.com
更多选项,请通过 http://groups.google.com/group/ideasfactorychina 访问该论坛
-~----------~----~----~----~------~----~------~--~---

-------------- 下一部分 --------------
一个HTML附件被移除...
URL: <http://www.zeuux.org/pipermail/zeuux-universe/attachments/20090226/c3817ca0/attachment.html>

[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

如下红色区域有误,请重新填写。

    你的回复:

    请 登录 后回复。还没有在Zeuux哲思注册吗?现在 注册 !

    Zeuux © 2024

    京ICP备05028076号