加密程式出錯引致台灣身分證的保安功能作廢

資料來源:http://arstechnica.com/security/2013/09/fatal-crypto-flaw-in-some-government-certified-smartcards-makes-forgery-a-snap/

台灣的身分證使用 RSA 公鑰加密技術來實現自然人憑證 (Citizen Digital Certificate),市民憑藉著憑證在網上確認自己的身份,使用政府的網上服務,例如交稅,汽車登記等。將於本年十二月在印度 Bangalore 舉行的 Asiacrypt 2013 會議,數位科學家將發表一份論文,指部分憑證存在致命的缺陷,讓攻擊者輕易偽冒憑證持有人的身份。產生憑證的系統都已經通過 FIPS 140-2 Level 2Common Criteria 標準,所以有理由相信其他使用那些系統的國家所產生的憑證,都有相同的缺陷。若果一個科技先進的政府在緊守最佳操作原則下仍然出亂子,其他人應該怎樣做?

該論文指出,缺陷來自產生憑證的系統的隨機數產生器 (Random Number Generator),受影響的市民可能多達 10,000 人,參與研究的科學家已經把發現通知台灣內政部憑證管理中心中華電信,政府回覆說他們將追蹤及更換所有有問題的身分證,但至今仍未有任何行動或公告,所以所有持有 RSA-1024 身分證的台灣人都有身份被冒認的危險。至於較新使用較長密鑰的 RSA-2048 身分證則暫時未發現有問題。