site logo: www.epochtimes.com

新身份证金钥外包 恐酿资安危机

人气: 35
【字号】    
   标签: tags: , , , ,

【大纪元2019年09月11日讯】(大纪元记者袁世钢台湾台北报导)新式电子身份证(New eID)攸关全国人民个资安全,据媒体11日报导,有学者质疑,政府将关键技术“私人金钥”发包给民间厂商,恐有“全民资安危机”;若留下“数位痕迹”,将成为资讯战破口,是骇客绝佳的攻击对象。对此,内政部强调,政府确保资安绝对无虞。

据媒体报导,台大电机系教授林宗男指出,尽管政府要求“私人金钥”的承包厂商必须到中央印制厂进行作业,但厂商如果掌握关键技术,到其他地方重制并非难事,“考量目前两岸处境,恐将成为国安危机。”

“政府高阶资讯主管通常没什么资安概念,唯一做法就是外包厂商,发生问题交由厂商解决。”成大电通所教授李忠宪也质疑,资讯安全的生命周期,从高阶设计、低阶设计、生产制造、交通运送、使用、销毁都有非常高规格的要求,政府提出在中央印制厂制造,仅重视其中一个环节;更缺乏严谨的法源依据。

针对资安问题,内政部表示,私密金钥产制是依据自然人凭证规范,确保其无法汇出、重制,任何人都无法取得,因此不会有被制卡厂商掌握私密金钥的情形;且私密金钥产制时尚未结合个资,其作法与现行自然人凭证相同。而目前透过《个人资料保护法》、《资通安全管理法》、《电子签章法》等法规,可建构严密的保护网,因此无需再另订专法。

曾在国家高速网路中心工作的李忠宪认为,中国有大量超级电脑,一旦新式身份证上路,“系统、晶片一定会遭中国全力弱点扫描、旁通道分析攻击。”若保留全民“数位痕迹”,恐成为资讯战破口。

对此,内政部强调,New eID 发证系统的建置是在封闭隔离的制发环境下运作,不会连结网际网路,且会有严格的安全管理与监控机制,能有效防止骇客的攻击;New eID也并未储存或记录个人地域、人际网络或其他“数位痕迹”等资料,因此不会有隐私资料外泄的疑虑。

内政部进一步说明,开发New eID相关系统服务时,针对晶片本身、资讯传输、感应设备、应用服务等项目上,将委请资安厂商进行检测,相关程式原始码在不涉及安全原则的条件下,将开放让公众进行检测,检测项目包含基本弱点扫描、渗透测试、红队演练等,以挖掘出针对New eID与相关服务之各种可能攻击手法。

另外,有关中央印制厂招标公告所载晶片“追踪”议题,内政部解释,招标公告是针对一般制卡生产流程,是系统在追踪卡片生产的作业状态,而New eID是一张晶片卡,就像晶片护照、信用卡、健保卡、悠游卡、手机晶片卡一样,不会主动发送讯号、泄漏位置,更无法追踪;为避免外界误解将进行更正其文字。◇

责任编辑:陈玟绮

评论