新身分證金鑰外包 恐釀資安危機

【記者袁世鋼/台北報導】

新式電子身分證(New eID)攸關全國人民個資安全,據媒體11日報導,有學者質疑,政府將關鍵技術「私人金鑰」發包給民間廠商,恐有「全民資安危機」;若留下「數位痕跡」,將成為資訊戰破口,是駭客絕佳的攻擊對象。對此,內政部強調,政府確保資安絕對無虞。

據媒體報導,台大電機系教授林宗男指出,儘管政府要求「私人金鑰」的承包廠商必須到中央印製廠進行作業,但廠商如果掌握關鍵技術,到其他地方重製並非難事,「考量目前兩岸處境,恐將成為國安危機。」

「政府高階資訊主管通常沒什麼資安概念,唯一做法就是外包廠商,發生問題交由廠商解決。」成大電通所教授李忠憲也質疑,資訊安全的生命週期,從高階設計、低階設計、生產製造、交通運送、使用、銷毀都有非常高規格的要求,政府提出在中央印製廠製造,僅重視其中一個環節;更缺乏嚴謹的法源依據。

針對資安問題,內政部表示,私密金鑰產製是依據自然人憑證規範,確保其無法匯出、重製,任何人都無法取得,因此不會有被製卡廠商掌握私密金鑰的情形;且私密金鑰產製時尚未結合個資,其作法與現行自然人憑證相同。而目前透過《個人資料保護法》、《資通安全管理法》、《電子簽章法》等法規,可建構嚴密的保護網,因此無需再另訂專法。

曾在國家高速網路中心工作的李忠憲認為,中國有大量超級電腦,一旦新式身分證上路,「系統、晶片一定會遭中國全力弱點掃描、旁通道分析攻擊。」若保留全民「數位痕跡」,恐成為資訊戰破口。

對此,內政部強調,New eID 發證系統的建置是在封閉隔離的製發環境下運作,不會連結網際網路,且會有嚴格的安全管理與監控機制,能有效防止駭客的攻擊;New eID也並未儲存或記錄個人地域、人際網絡或其他「數位痕跡」等資料,因此不會有隱私資料外洩的疑慮。

內政部進一步說明,開發New eID相關系統服務時,針對晶片本身、資訊傳輸、感應設備、應用服務等項目上,將委請資安廠商進行檢測,相關程式原始碼在不涉及安全原則的條件下,將開放讓公眾進行檢測,檢測項目包含基本弱點掃描、滲透測試、紅隊演練等,以挖掘出針對New eID與相關服務之各種可能攻擊手法。

另外,有關中央印製廠招標公告所載晶片「追蹤」議題,內政部解釋,招標公告是針對一般製卡生產流程,是系統在追蹤卡片生產的作業狀態,而New eID是一張晶片卡,就像晶片護照、信用卡、健保卡、悠遊卡、手機晶片卡一樣,不會主動發送訊號、洩漏位置,更無法追蹤;為避免外界誤解將進行更正其文字。◇

延伸閱讀
9/20全國防震災演習 留意簡訊警報
2019年09月06日 | 5年前
取消