台湾内政部发行的“自然人凭证 IC 卡”被发现存在严重加密漏洞。该 IC 卡可用于个人所得税结算申报、汽车登记等,通过了 FIPS140-1 等级 2 的安全认证。美国和台湾的科学家计划在晚些时候举行的 Asiacrypt 2013 会议上公布研究报告,介绍该 IC 卡的安全漏洞,其他使用类似加密系统的智能卡有可能存在相似的问题。漏洞存在于硬件随机数生成器中,随机数生成器是为了确保密钥不是基于可区分的模式,防止攻击者根据可区分模式识别破解密钥。研究人员检查了自然人凭证数据库 200 多万 1024 位 RSA 密钥,发现 184 个密钥是用不安全的方式生成,可以用标准计算机在几个小时内分解出使用的大素数。他们还发现,103 个密钥共享了素数。为了生成 1024 位 RSA 密钥,可选的素数几乎是无限的(2502 ,比已知宇宙的原子数 2266 还多),共享素数本不可能。研究人员估计,大约有 1 万张 1024 位 RSA 密钥自然人凭证 IC 卡存在漏洞,而使用 2048 位 RSA 密钥的 IC 卡没有问题。
相关文章
