因為過程的不夠透明,釋出資訊的缺乏,臺灣政府原訂今年10月換發數位身分證(eID),持續造成民眾議論,包括缺乏專法就宣布將要上路等。雖然,現在換發日期又延後,但是,對於國外政府的eID是怎麼做?國內作法上有哪些不足?即便3年前就已有歐洲eID專家來臺分享推動經驗,可能仍有多數民眾感到霧煞煞。近日臺灣駭客年會(HITCON 2020)的一場演講上,難得有人完整介紹他國經驗,或許能提供一些方向,讓大家對於臺灣eID的問題,能有更多觀察面向。

這次研究的主講者,是臺灣大學生醫電資所資訊組研究生何明洋,他表示,他們的研究小組由4人組成,以歐洲4個國家推行eID的實行狀況做深入分析,關注的焦點不只是卡片本身的設計及專法的設置,還包括通訊加密、通訊協定(protocol)等系統架構,以及申請流程,並與臺灣目前揭露的資訊逐一分析比較。

至今已有47國發行eID,歐洲國家數量最多,馬來西亞第一

自今年4月開始,國內就有很多關於臺灣eID的新聞,許多民眾可能看了報導,但還是有很多不明白之處,何明洋也有相同的疑問,不過他們實際採取行動,開始展開研究。隨著他們的深入分析,他認為,資安與隱私議題只是冰山一角,其實,eID裡面還有很多議題沒有被突顯。

國際間難道沒有全球eID的相關研究嗎?何明洋說,在他們找尋國家發行eID資料的過程中,曾發現有研究是把臺灣列為已發行eID國家,他推測,這是國內曾推行自然人憑證的關係,既然如此,他們便自行從各國政府公開資料逐一盤點。

在他們的統計中,排除北歐一些國家是由金融單位發行,至今已有47個國家發行eID,以歐洲國家數量最多,亞洲次之。而第一個發展eID的國家,多數人會想到2002年的愛沙尼亞(Estonia),其實不然,他說,馬來西亞在2001年就已經率先發布。接下來是2003年的比利時、2006年的西班牙,以及2008年的摩洛哥與2009年的拉脫維亞,到了2010年後,國際間發行eID的風潮更盛,大概每年都有3到4個國家施行。

這次盤點過程他們遇到的挑戰,最主要就是語言上的問題。何明洋表示,有些國家若是沒有提供英文版本的資料,要精準翻譯該國文字以理解內容,並不容易。因此,他們先以英文資料較為充足的國家作為分析標的。

從公開資訊檢視歐洲4國eID發行概況

在這次他們實際分析的4個案例中,都是歐洲國家,包括了愛沙尼亞、比利時(Belgium)、德國與克羅埃西亞(Croatia)。

值得注意的是,其中愛沙尼亞的成功經驗,在臺灣其實已有不少討論,大家多多少少都可能已經關注過,而其他三國的案例,是臺灣較少認識的部分,而且,這次他們從卡片面與系統面等多項細節來比較。

案例一:愛沙尼亞
結合i-Voting可做到匿名投票

以愛沙尼亞為例,該國eID卡片上顯示了民眾多項資料,包含姓名、性別,以及類似國人身分證字號的Personal Code,還有國籍、生日、卡號、簽名、照片與到期日。在eID卡的晶片上,也會儲存上述卡面資訊,而且是不需PIN碼就能讀取。

在卡片本身的機制上,包含認證(Authentication)及數位簽章(Digital Signature)兩大功能,內含2對PKI的金鑰(採384位元ECC加密),分別以PIN1碼與PIN2碼保護,使用者可以自行設定。此外,還有一組可保護與重設上述兩組密碼的PUK(PIN Unblock Key)Code,因此當民眾擁有eID時,需要記住這三組密碼,

在系統架構上,該國提供的中介軟體名為DigiDOC,可供使用者修改PIN1、PIN2與PUK,以及簽署文件,而該國資訊基礎架構的平臺X-Road,可供政府各機關在此環境交換資料,並採去中心化設計,個別資料庫由各機關負責,並以區塊鏈記錄資料交換Log。他舉例,當使用者在某一機關申請文件時,該單位就可以連上X-Road,把資料取出來,讓已提供資料的使用者不用再次輸入,減少麻煩。

在eID製造方面,卡片晶片是法國Idemia,個人化製卡則是愛沙尼亞一家Hansab負責,憑證也是由該國1家是 SK ID Solutions(SK)負責。

較特別的地方是,X-Road已經完全開源,在GitHub上就能找到整個串連政府架構服務的原始碼。而在eID之外,該國政府還推出可用手機搭配特殊SIM卡可取代eID的Mobile ID,以及僅具數位簽章功能的Digi ID。

而從卡片應用功能面來看,應用多元,他表示,大致上歐洲國家的eID都可以當作旅遊的證明,也可以當健保卡,較特別的應用,包括可以登入銀行的帳號,還有該國的i-Voting線上投票,並能做到匿名投票。

關於愛沙尼亞的線上投票,何明洋表示,使用者需輸入自己的PIN1碼,然後登入E-Voting系統,這時系統會有一組公鑰可將投票進行加密,另外還要輸入PIN2碼數位簽章,將票送到資料庫,等到開票時,會先解開數位簽章,再用官方的私鑰解開投票內容,並傳送投票結果。此外,他也提到該國投票會有實體與網路,網路投票會再實體投票的前三到七天進行,若是線上投票過的民眾,下次通常會繼續透過線上。

案例二:比利時
強調憑證簽署流程安全

以比利時發行的eID而言,從卡面的個人資訊來看,該國民眾可選擇是否填上個人婚姻狀態,算是較特別之處,而卡面的資料也會儲存到卡片的晶片。值得注意的是,該國在2004年發行後,在2014年進行一次升級,也就是第二代eID。

關於卡片機制上,同樣包含認證及數位簽章功能,內含2對PKI的金鑰,採RSA 2048加密,PUK Code也具備,卡片有效期限為10年。

較特別的是,從該國公布的相關文件中,提供了詳細的憑證簽署流程圖,可看出他們強調整個過程,都有經過詳細的簽署,並會管理一份撤銷清單,以確保卡片在有效期內才能使用。

何明洋特別說明了比利時公開的eID資訊中,會強調憑證簽署流程的安全。

案例三:德國
提供卡片安全機制的架構與細節

關於德國發行的eID,該國卡面上的個人資訊相當特別,因為還包含了學位、身高、眼睛顏色與暱稱等,而在卡片電子功能上,同樣也有PIN碼與PUK碼保護。

在卡片安全機制方面,每次民眾使用時會先輸入PIN碼,讓卡片與電腦先透過卡片安全機制PACE(Password Authenticated Connection Establishment)連結,再與伺服器端透過被動認證,驗證eID的真實有效性,同時還會加上Chip Authentication(CA)與Terminal Authentication(TA)兩項協定的搭配,之後才能進行連線。這些關於架構安全的具體細節,也呈現出該國對此方面的重視。

同時,何明洋點出德國相當重視法治一事,臺灣eID在此方面已有許多的議論。他舉例,德國法律在數位簽章有專法,對於eID的規範更是有10部法典與之有關,具體內容上,包括eID遺失變賣等,都已經有詳細的罰則。他認為,這是國內需要重視的面向,否則大家都很容易輕忽自己需遵守的規範。

在德國eID案例中,何明洋針對該國釋出的卡片安全機制的架構與細節做說明。

案例四:克羅埃西亞
不同年齡層將啟用不同卡片功能

在克羅埃西亞方面,該國的eID卡片與前述設計大同小異,也採用RSA 2048加密,但有效期限較短,只有5年,但該國可依年齡別來制定其功能。他舉例,當國民在5歲前申請eID時,該張卡片的電子功能都不會具備,等到5到18歲的階段,將可使用卡片上的認證功能,而在18歲到65歲階段,認證與數位簽章功能皆具備,至於65歲以上,民眾可選擇是否保留功能。他認為,這樣的設計方式相當不錯。

而且,歐洲國家的作法都有一個共通特色,那就是卡片功能都很豐富,而克羅埃西亞的應用更多。例如,透過卡片可以查看自家小孩的成績,檢視半年內的處方籤,以及稅務收據等,還可參與公共政策討論。而他也實際透過網路與當地居民聯繫,從對方的回饋來看,該國民眾認為他們的eID很好用。

再從系統面來看,該國的基礎網路架構名為NIAS,類似愛沙尼亞的X-Road,這套身分系統名為OIB,由克羅埃西亞內政部與警察局合作建構,卡片製造商是當地業者。在該國公布的文件中,將NIAS與各系統的連線方式、使用TLS協議,都有清楚的對外說明。

特別的是,關於eID申請流程與如何安全設定PIN碼,臺灣鮮少討論,該國的實例值得借鏡。當民眾在申請eID時,將帶上身分證明證件到警察局填資料,接下來文件會送到內政部,再由內政部通過安全管道與製造商聯繫,等到卡片製作好後,會將初始PIN碼與卡片送到內政部,之後民眾會收到簡訊通知可以到原申辦警察局去領卡。

接下來,民眾並不是在警察局設定卡片密碼,而是回到家中,拆開包含初始PIN碼的信封,並透過政府提供的中介軟體,去設定兩個PIN碼與PUK碼。

在克羅埃西亞的eID推動上,何明洋特別提到該國公布的系統結構、通訊加密與protocol使用等資訊。

強調需重視中介軟體安全性

從上面的概述來看,eID的細節很多,這次演講中他也只是提到部分重點,讓外界都能有稍微的認識。其中,法規面、系統架構面與申辦過程等,還有對民眾的實用性等,都是國內可以關注的面向。

特別的是,他也整理了eID有關的威脅模型,以及歷年eID遭受攻擊、發現漏洞的案例。他認為,eID真正存在風險的地方,是在中介軟體一端,因為中介軟體可以串連卡片、讀卡機與網站應用程式。

他並列舉4個潛在風險面向,包含很多國家eID有SSO單一登入功能,在驗證後存在風險,其次是個人資料保存沒有PIN碼的問題,第三是檔案可以複製到其他智慧卡。最後,有些風險性來自簽數位簽章時,惡意網站可能讓你簽了另一份文件,而中介軟體也不會告訴用戶是哪份文件被簽署。對此,他引用了一份研究報告「Security and Privacy Improvements for theBelgian eID Technology」,指出當中提到的New Authentication Protocol:Auth,是可以參考的部分。

此外,他也提到TLS層面的攻擊,包括從使用者端網頁瀏覽器,到服務業者端網頁應用程式及eID伺服器,還有從卡片API Client到eID Server端的面向。

而就攻擊事件來看,他這裡列出了1個資安事件與兩個存在風險的事件。例如,2007年曾發生俄羅斯政府對愛沙尼亞eID系統發動DDoS攻擊,以及2010年德國eID中介軟體更新機制被發現存在風險,還有2017年愛沙尼亞因晶片問題,汰換76萬張eID卡。對此,現場主持人補充說,這起事件其實與當年英飛凌晶片安全漏洞有關。

不過,還是一些安全面向是他在演講中並未提及的部分。譬如說,會後現場有人詢問關於NFC方面的安全問題,何明洋表示,由於歐洲國家大多都是插卡式,因此他們這次沒有多作比較,不過他也認為,NFC方面也是有安全方面的議題要討論。

另一方面,他認為,eID的挑戰不只是要串連多個系統,也要能提供更多服務給使用者,讓使用者感受到換發eID的方便,不然民眾也不會想要換。

臺灣與上述4個已經發行國家的eID存在那些差異?

臺灣的現況是大家都很關心的話題,在何明洋的結論中,有些面向確實是一般較少提及,例如上述提及的資料傳輸詳細架構、中介軟體,以及安全設定PIN碼的規範等。這也讓大眾對於看待eID的議題,可以有更多的思考面向。

對於臺灣eID的議題,何明洋指出,臺灣政府揭露資訊過少,而且至今仍有許多不透明之處,仍是一大問題。

與這次其他4個已發行eID國家相比,以法律規範而言,國內在這方面已有許多討論。何明洋有同樣看法,他表示,臺灣相當薄弱,只有戶籍法第52條與59條這兩條法律,而像是德國、克羅埃西亞等,都有好幾條專法在背後支撐,而且不論罰則與申請事項,都有明確的法律規範,從這些國家的成功經驗來看,他認為,這是臺灣需要做到的。

在系統面的部分,臺灣目前公布的政府資料傳輸平臺稱為T-Road,由內政部與戶政事務所負責,目前製造商並未揭露。但這部分他很意外,因為,目前系統架構的公開資料只有示意流程圖,技術細節都沒有揭露。只說明了使用者透過eID存取T-Road時,會經過一個不知道是什麼的對外連線防護,然後可以不同政府單位之間的資料傳輸。但從上述4個歐洲國家的案例來看,他們對於關於資料傳輸之間的Protocol與加密資訊,都有釋出詳細的資訊。而臺灣之前已經公布推出時間,但在T-Road上並沒有詳細的說明。

此外,對於中介軟體與申請eID的過程與方式,他認為都是重要問題,卻很少人提及。何明洋指出,中介軟體容易造成eID的資料外洩風險,而在如何安全設定PIN碼方面,上述4國也都有明確規範,民眾拿到始PIN碼後,回家用中介軟體設定。但目前國內都沒有釋出相關消息,說明中介軟體為何,PIN碼設定的過程,是在家設定,還是在公開場所戶政機關設定之類。

回到卡片功能面上來看,臺灣的eID同樣包含認證與數位簽章兩大功能,且晶片內資料會分區保護,包括戶籍地區、公開區、加密區、自然人憑證區與國際民航組織(ICAO)機讀旅行證件區。在需要PIN碼來存取晶片資訊的部分,他認為,像是愛沙尼亞與比利時是直接可以讀取,比較不好,而德國與克羅埃西亞則有PIN碼保護,而臺灣也做的不錯。但他也關注到的是公開區資料讀取的問題,雖然讀取時需驗證,但讀取碼是身分證後六碼,而身分證字號已經印在卡面上,因此,撿到身分證的人其實也就能夠讀取,因此這樣的保護目的不明。

關於卡面資訊公布方面,也有許多矛盾之處。例如,公布的資訊指出背面欄位資訊是結婚狀態,不過eID樣本上卻是顯示配偶姓名。此外,樣本上的有效期限只有一年,但理論上應該不會是如此,而目前他也找不到有效期的相關資料。

不過,在這些橫向比較之下,他也看到臺灣eID有不錯的地方,例如,從個資隱密性的角度,卡面揭露個資要少的面向來看,臺灣只有5項,包括姓名、證號、生日、相片與配偶,明顯比上述4個案例國家要少。

還有一些比較項目,也是很值得關注之處,例如,關於系統開源方面,愛沙尼亞是完全開源,比利時是針對中介軟體開源,至於德國與克羅埃西亞沒有開源,臺灣eID狀況不明,他推測是不會開源。

從資訊揭露程度的角度來看,愛沙尼亞與比利時都公開的相當清楚,德國與克羅埃西亞則是相對難找,而臺灣釋出更少,且釋出資料也有不一致的狀況。

關於Self Control,也就是一般所謂的知情同意,何明洋也有提到這部分。他說,目前很多國家都沒有做到,只有愛沙尼亞有相關動作;至於將卡片不同功能開放給不同年齡選擇,克羅埃西亞在這方面作的不錯,而這部分臺灣還不確定。

另外是使用性方面,也被他們視為一項要點。雖然大部分國家推出eID都讓民眾使用方便,但國際間還是有失敗的例子,像是墨西哥,該國最後在2018年終止。

當然,整體而言,我們認為,上述內容的最大重點,還是要讓民眾知道這是安全的,而揭露資訊過少並無助於與民眾的溝通。

關於eID的爭議,何明洋指出,他們的研究從卡片、系統以及相關議題面,共列出了19項指導方針,針對愛沙尼亞、比利時、德國、克羅埃西亞這4個案例,以及臺灣揭露的資訊逐一分析比較。


Advertisement

更多 iThome相關內容