類似于Mifare密鑰危機這樣的事件能否從設(shè)計上避免?所謂道高一尺����,魔高一丈�。業(yè)內(nèi)人士普遍認為���,任何一種加密算法或方法都可以被破解�����,關(guān)鍵在于破解所要付出的成本是否比破解后所帶來的好處要多�。有專家提出,實際上這種廣泛被應(yīng)用的卡并不是單純?yōu)榱税卜缿?yīng)用而設(shè)計的��,而是安防產(chǎn)業(yè)利用了該資源,NXP公司還有一些安全性更高的卡�����。
類似于Mifare密鑰危機這樣的事件能否從設(shè)計上避免?所謂道高一尺�����,魔高一丈��。業(yè)內(nèi)人士普遍認為,任何一種加密算法或方法都可以被破解���,關(guān)鍵在于破解所要付出的成本是否比破解后所帶來的好處要多����。有專家提出���,實際上這種廣泛被應(yīng)用的卡并不是單純?yōu)榱税卜缿?yīng)用而設(shè)計的����,而是安防產(chǎn)業(yè)利用了該資源���,NXP公司還有一些安全性更高的卡����。
因此,IC卡芯片設(shè)計的安全性考慮首先在于它的應(yīng)用定位����,更高的安全性就意味著更高的使用成本。LEGIC姜鶴松則以超市買來的保險柜及銀行用的金庫門做比較說明:金庫門的復雜性肯定比保險柜復雜得多��,但他們的應(yīng)用場合不一樣�,投入成本也不同�����,所以一個項目該選用什么產(chǎn)品應(yīng)該從ROI(投資回報率)整體考慮���。
采訪中���,大家不約而同的提到這樣一個觀念:一個完善和完備的收費系統(tǒng)和應(yīng)用系統(tǒng),其安全性并不完全依賴于卡片或某種單一技術(shù)����,系統(tǒng)的安全性和可靠性完全取決于應(yīng)用系統(tǒng)的安全性設(shè)計。人們在設(shè)計產(chǎn)品時,不可能會考慮得十全十美����,即便是全球廣泛使用的微軟操作系統(tǒng)也會不時地出現(xiàn)安全漏洞。更有激進者認為�,如果沒有駭客破解密碼,芯片技術(shù)就不會不斷向前發(fā)展�����。因此��,一項技術(shù)是否安全�����,要從整個系統(tǒng)的安全性設(shè)計是否合理來考慮�����。
黃志勇提議��,未來建設(shè)的安防系統(tǒng)可以從系統(tǒng)工程學的角度提升系統(tǒng)安全�,針對原有不安全的門禁系統(tǒng)進行改造要從幾個方面加強,建議不要采用ID卡作為門禁打卡媒介(其可復制性是100%�,無須專用技術(shù))���,選用IC卡(需專業(yè)技術(shù)及專用設(shè)備才可復制標準的鑰匙信息)的門通過增加多重密鑰進行雙向、分區(qū)存儲密鑰認證�����、卡加密碼認證�、卡+指紋輔助認證等各種手段,配合實時在線檢測判斷�,可以有效避免杜絕威脅。
他山之石可以攻玉��。針對一些重要的安全部門�,有業(yè)內(nèi)人士建議借鑒其他國家的做法,出臺相關(guān)標準��。例如�,為了增強政府安全及提升效率�����,減少識別欺詐�,美國根據(jù)美國國土安全總統(tǒng)指令出臺了身份識別認證標準(FIPS201規(guī)范)。鄭永慶介紹����,該規(guī)范要求首先對持卡人員(聯(lián)邦政府雇員和承包商)進行背景調(diào)查�,只有通過背景調(diào)查的人才可以獲得采用多重驗證技術(shù)的卡片���,驗證內(nèi)容包括持卡人的照片�����、卡號�、生物特征模板及對應(yīng)的識別號���。
除了在讀取技術(shù)方面作了相應(yīng)規(guī)定外��,該規(guī)范還設(shè)置多重安全級別:如在流量很大的場所如大門口等非核心區(qū)域不需要采用太復雜的技術(shù);一旦進入核心區(qū)域就要求采用生物識別技術(shù)����,除了生物特征識別方式�����,還需先輸入生物特征號�����,然后進行比對,并規(guī)定這些區(qū)域不能用無線方式來讀取��,要使用物理接觸方式��,避免信息被竊取���。通過多種措施����,并結(jié)合實際使用環(huán)境對整個系統(tǒng)環(huán)節(jié)進行設(shè)計����,可達到保證重要場所安全的目的。
Mifare卡原始密鑰算法被破解給整個市場提出新的安全課題:如何根據(jù)不同場合選擇產(chǎn)品?如何提升系統(tǒng)的安全性?同時也提醒企業(yè)不要一味照搬原始的東西(直接使用原始密碼)���,而要在其基礎(chǔ)上開發(fā)更加安全性的自主知識產(chǎn)權(quán)的產(chǎn)品�。
有廠商提到����,目前國內(nèi)很多用戶為了保證安全����,盲目選擇購買國外產(chǎn)品�。以門禁卡的芯片為例�,實際上,國內(nèi)有些芯片商的產(chǎn)品也很好用�。達實智能黃志勇認為,本次Mifare芯片被破解事件���,不僅向所有安防行業(yè)敲響警鐘���,更提醒安防行業(yè)要從單純的技術(shù)引進逐漸發(fā)展擁有自主知識產(chǎn)權(quán)的技術(shù),把安防的安全指標上升到國家安全的高度�,鼓勵企業(yè)發(fā)展自主知識產(chǎn)權(quán)專業(yè)技術(shù)產(chǎn)品,避免“拿來主義”����。
免責聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的�,皆為無意。如您是字體廠商��、圖片文字廠商等版權(quán)方���,且不允許本站使用您的字體和圖片文字等素材���,請聯(lián)系我們�,本站核實后將立即刪除�����!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用�����,并索要賠償或上訴法院的�����,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索����,將不予任何的法律和經(jīng)濟賠償!敬請諒解����!
粵公網(wǎng)安備 44030402000264號