張中一/相關專業人士不應該製造無謂的恐慌
作者/張中一
日前自由時報報導成功大學電機系李忠憲教授在個人臉書擔憂卡式臺胞證的隱私與資安問題,因爲與真實情況相差太遠,這裡有必要澄清以免社會大衆因不安產生情緒恐慌與動搖。
首先要澄清卡式臺胞證用的eMRTD是中國自己發明的嗎?是一個毫無防護的隨便讀取的RF ID嗎?不是。eMRTD的定義者是ICAO(世界民航組織),相關的所有規格都是公開的定義在ICAO DOC 9303。這是全世界晶片護照通用的規格,安全性也是世界同意的。
一個最重要的事情是,你可以隨便SCAN就把eMRTD裡面的資料讀出來嗎?不行。因爲他認證過程中的一個關鍵因素是印在卡片上的文字資料,必須要用OCR(光學辨識)或是手動輸入。
你反對卡式臺胞證用eMRTD就跟你反對全世界的晶片護照一樣愚蠢。不過卡式臺胞證有一個晶片護照沒有的缺點。晶片護照的封皮是特殊設計過的,蓋起來就讀不到資料。卡式臺胞證沒有這層防護。因此相對風險比較高。請注意只是相對風險比較高,他還是一個公認安全的設計。
至於我國晶片身份證會不會用eMRTD?我不能理解使用eMRTD的理由,因爲MRTD其實是(machine readable travel document;機器可讀旅行文件)的縮寫。晶片身份證,不是旅行文件,爲什麼會用MRTD的規格?
美國的PASSPORT卡(專供從加拿大等地進入美國用)就不是走MRTD規格。晶片身份證使用的國家稍微WIKI一下就有以下國家:比利時、保加利亞、德國、以色列、義大利、盧森堡、荷蘭、墨西哥、摩洛哥、巴基斯坦、葡萄牙、羅馬尼亞、愛沙尼亞、拉脫維亞、立陶宛、西班牙、斯洛伐克、馬爾他、模里西斯。晶片身份證被很多國家使用了。
李教授指出的兩個案例其實指的是兩個完全不同的東西:其中一個案例講的是如果有人可以拿讀取器靠近某些管制較差的海關櫃檯時,有可能可以取得某一個晶片護照的唯一識別碼。那麼未來當這個晶片護照或卡靠近時,可以辨別出來。但這個追蹤的距離很短,主要是在實驗室驗證晶片卡的缺點在現實生活中要構成隱私威脅的可能性太低。
而李教授舉的第二個例子美國的護照卡(passport card)是用來給美國公民從加拿大等鄰近國進入美國實用的卡片。這不是用MRTD規格,他就跟我們的條碼一樣只是回傳一個獨特的序號,所有的資料都在雲端,因此沒有任何防護。因爲沒有使用MRTD規格,根本不適合作爲討論MRTD是否安全。
世界上沒有完美的身份證明文件,不管是紙本、接觸式晶片卡或無線式晶片卡,只有在成本與效益中取得平衡的抉擇。而顯然世界各國都還是接受MRTD做爲護照規格的使用。但我必須要說鄉民無知就算了,一個堂堂資通訊教授根據不完整的資訊恐慌晶片護照與晶片身份證像話嗎?
李忠憲教授從服貿二類電信開始一路逢中必反,反到自己的專業都拋棄了,我的失望也就從服貿二類電信爭議開始一直失望到現在。
●作者張中一,專案經理。本文言論不代表本報立場。88論壇歡迎更多聲音與討論,文章請寄editor88@ettoday.net