看板 Gossiping
作者 JayReed (平心靜氣在網路上學習)
標題 [新聞] 悠遊卡遭駭,Mifare卡安全性遭質疑
時間 Mon Sep 29 13:46:04 2014



悠遊卡遭駭,Mifare卡安全性遭質疑

發行超過2,700多萬張的臺北悠遊卡,日前傳出有駭客破解悠遊卡所使用的第一代Mifare
晶片卡,竄改票面金額、予以加值使用。這也引發許多人對其安全性的質疑。臺北悠遊卡
公司公關室科長林諭林表示,第二代悠遊卡目前發行進度仍須等金管會審核通過,即使日
前已發生悠遊卡遭駭事件,該公司仍有其他配套措施,確保悠遊卡的安全性。


林諭林表示,在晶片卡安全防護上,除了記憶體內建的加解密演算法Crypto 1的安全防護
外,透過基碼多樣化,每張悠遊卡都是不同金鑰,一次只能破解一張悠遊卡,無法大量複
製已破解的卡片使用。另外,他說,悠遊卡本身也有獨特的防偽機制,即便同為Mifare卡
,要破解悠遊卡只能拿現成的悠遊卡來破解,無法把非悠遊卡當成悠遊卡使用。最後一關
則是透過後臺進行每天交易查核,若有異常資料則會先進行鎖卡。此外,前臺的讀卡機也
有設定檢查流程,藉此判定有問題的卡片。


此次事件並非是臺灣第一起破解Mifare卡事件。早在2010年臺灣駭客年會上,臺大電機系
教授鄭振牟便公開了如何破解Mifare的論文,使用千萬等級的設備,包括6臺內建8個GPU
的伺服器加上側錄資料,在7秒內便可以破解密碼。


智慧卡專家倪萬昇表示,第一代Mifare卡每個金鑰長度太短,只有48位元,有心人士可以
購買市面上的RF讀卡機,用暴力方式解開密碼,預計幾個月~2年就可破解。

他認為,悠遊卡原本僅供交通應用使用,但只要跨足小額支付時,就必須使用類似二代金
融卡、晶片信用卡等內建3DES、AES或RSA先進加解密標準的晶片卡,才能提供較高的安全
度。


http://www.ithome.com.tw/node/69970
悠遊卡遭駭,Mifare卡安全性遭質疑 | iThome
這並不是臺灣第一起破解Mifare卡事件。早在2010年臺灣駭客年會上,臺大電機系教授鄭振牟便公開了如何破解Mifare的論文。 ...

 

--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.124.15.196
※ 文章網址: http://www.ptt.cc/bbs/Gossiping/M.1411969566.A.749.html
tml7415 
tml7415: 還不是學運搞的鬼1F 09/29 13:47
WeAntiTVBS: 對阿 都學運害的(?)2F 09/29 13:47
moodgid: 請問..甚麼事GPU??3F 09/29 13:47
wts4832: 肯定是境外反華勢力 勾結一小搓無知民眾造成的4F 09/29 13:47
vintw: GPU簡單的說就顯示卡上主要用來算的那顆晶片啦5F 09/29 13:48
sexonly: GPU就顯示卡上面的處理器阿 有些超級電腦愛拿這個來用6F 09/29 13:48
kairi5217: 強國人搞的啦 我非常確定7F 09/29 13:48
sexonly: GPU因為核心數超多 適合平行運算8F 09/29 13:49
silentence: 喔  捷運害的9F 09/29 13:49
cocolico: GPU=圖形運算單元10F 09/29 13:49
vaio5566: 不就暴力破解,悠遊卡交易都有連網的只破卡片沒用11F 09/29 13:49
sexonly: 不過48bit的金鑰也太短了吧 現在都是256bit起跳12F 09/29 13:50
voodist: GPU運算會比CPU還快13F 09/29 13:51
lht2: 大概是那個年代48BIT就夠用了..(?14F 09/29 13:52
sexonly: 不過破解悠遊卡意義不大吧 頂多複製相同的卡片15F 09/29 13:52
screwer5566: 連營:悠遊卡並非連勝文製造,與連營無關,但政績是      連勝文所有,籲柯陣營與外界勿見獵心喜16F 09/29 13:52
sexonly: 悠遊卡上面頂多幾百元 花那麼多電計算 不如去挖bitcoin18F 09/29 13:53
iceyeman: 重繞線圈,玩起來其實挺多餘...有被抓風險19F 09/29 13:59
既然這麼放心就不用換卡啦
※ 編輯: JayReed (59.124.15.196), 09/29/2014 14:03:55
birdy590: 破解完也沒用啊 獲利小風險高刑責重 有啥好怕的20F 09/29 14:09
erik777: 破解一張頂多讓你賺1萬, 而且還不能兌現只能消費
使用時比對餘額不對立刻就鎖卡了, 很難賺阿21F 09/29 14:10
birdy590: 每日單卡消費上限 3000... 一對帳保證就查出來列警示
還敢繼續用的就會跟之前被抓那位一樣 等著吃免費牢飯23F 09/29 14:11
erik777: 另外再比對交易紀錄馬上可以鎖定破解卡的使用位置
配合監視器一下就抓到人了25F 09/29 14:12
sorcxnegi: 說真的 破解這個並沒有太大好處 壞處>>>>>好處27F 09/29 14:13
ilikefet: 學運害的28F 09/29 14:24
bilibala: 48bit 加密根本垃圾,不用幾個月,一般個人電腦幾天吧29F 09/29 14:25
xisland: 只能用一次而已,第二次就會被抓,考慮每張卡都要100元押金根本划不來30F 09/29 14:48

--