窺探“一卡通” 背后的灰色產(chǎn)業(yè)鏈

　　北京老百姓所熟知的“一卡通”，其實(shí)準確說(shuō)來(lái)應該叫“非接觸邏輯加密IC卡”。它和銀行卡不同，背面沒(méi)有磁條，內部由一個(gè)存儲信息的芯片和線(xiàn)圈組成。而之所以叫非接觸，就是因為在使用的時(shí)候可以在距離IC卡接收器一定的范圍內，將卡內的信息傳遞過(guò)去，不記名，不用輸密碼，使用非常方便。像目前應用的公交卡、門(mén)禁卡、停車(chē)卡等大抵都屬這一范疇。

　　照理說(shuō)，在中國，這樣幾乎人手一張的卡片，技術(shù)成熟，成本低廉，實(shí)在是沒(méi)有什么可以專(zhuān)門(mén)拿出來(lái)討論的資本。但最近，工業(yè)與信息化部的一紙通知卻讓其成為從業(yè)內專(zhuān)家到普通民眾共同關(guān)注的焦點(diǎn)。

　　一切，還要從MIFARE遭遇“破解門(mén)”說(shuō)起。

　　灰色鏈條初現

　　今年3月，德國研究員HenrykPlotz和弗吉尼亞大學(xué)計算機科學(xué)在讀博士KarstenNohl對外宣稱(chēng)，已經(jīng)成功破解了荷蘭半導體芯片制造商NXP的MIFARE(非接觸智能卡)Classic芯片安全算法。

　　這一事件的“蝴蝶效應”迅速傳至中國。據北京交通大學(xué)信息安全研究所博士王健介紹，截至2008年11月，我國有200多個(gè)城市應用了不同規模的公用事業(yè)IC卡系統，發(fā)卡量超過(guò)1.4億張，其中有80%正是采用了NXP公司的MIFAREClassic芯片技術(shù)，應用范圍已經(jīng)覆蓋了公交、地鐵、出租、輪渡、自來(lái)水、燃氣、風(fēng)景園林等小額消費的各種領(lǐng)域。

　　中國信息產(chǎn)業(yè)商會(huì )智能卡專(zhuān)業(yè)委員會(huì )理事長(cháng)潘利華教授

　　4月初，工業(yè)和信息部緊急發(fā)布《關(guān)于做好應對部分IC卡出現嚴重安全漏洞工作的通知》，要求各地各機關(guān)和部門(mén)開(kāi)展對IC卡使用情況的調查及應對工作。本著(zhù)“誰(shuí)主管誰(shuí)負責”、“誰(shuí)運營(yíng)誰(shuí)負責”的原則，迅速對使用IC卡的重要系統，如各類(lèi)“一卡通”、門(mén)禁卡等進(jìn)行一次安全檢查，重點(diǎn)檢查系統中是否使用了MIFAREClassic芯片。對于大量使用該芯片的單位，有關(guān)部門(mén)將進(jìn)行指導、督促有關(guān)單位制定并實(shí)施升級改造計劃。

　　在升級改造完成前，工信部表示各有關(guān)單位要因地制宜采取相應的技術(shù)和管理措施，如對IC卡的充值進(jìn)行適當限制，對系統數據及時(shí)分析研判，以降低MIFAREClassic芯片密碼被破解所帶來(lái)的安全風(fēng)險。

　　一時(shí)間，民間關(guān)于IC卡安全的恐慌言論風(fēng)生水起。而早在去年8月，有關(guān)MIFARE的破解軟件及硬件就已經(jīng)在網(wǎng)絡(luò )上開(kāi)始公開(kāi)銷(xiāo)售，價(jià)格僅為500美元。

　　“由于技術(shù)相對成熟、成本又低，所以采用MIFAREClassic芯片技術(shù)的IC卡在行業(yè)中鮮有競爭對手，芯片制造商也從中獲得了巨大的商業(yè)利潤。”王健表示。但正是因為這一技術(shù)的普及性，目前能夠破解IC卡密碼的人也在日益增多，而廣東技術(shù)師范學(xué)院電子信息工程系教授楊振野就是其中一個(gè)。

　　“我不是壞人，也不是黑客，我是大學(xué)老師，也是人大代表，不像別人所想的是專(zhuān)靠破解密碼來(lái)賺錢(qián)的人。”這位還曾經(jīng)出版過(guò)《IC卡技術(shù)及其應用》的學(xué)者因為在2003年發(fā)明了“IC卡密碼破譯裝置”被業(yè)界熟知，而這完全是源于幾年前一家企業(yè)的登門(mén)求助。