悠遊卡遭駭，Mifare卡安全性遭質疑

發行超過2,700多萬張的臺北悠遊卡，日前傳出有駭客破解悠遊卡所使用的第一代Mifare晶片卡，竄改票面金額、予以加值使用。這也引發許多人對其安全性的質疑。臺北悠遊卡公司公關室科長林諭林表示，第二代悠遊卡目前發行進度仍須等金管會審核通過，即使日前已發生悠遊卡遭駭事件，該公司仍有其他配套措施，確保悠遊卡的安全性。

林諭林表示，在晶片卡安全防護上，除了記憶體內建的加解密演算法Crypto 1的安全防護外，透過基碼多樣化，每張悠遊卡都是不同金鑰，一次只能破解一張悠遊卡，無法大量複製已破解的卡片使用。另外，他說，悠遊卡本身也有獨特的防偽機制，即便同為Mifare卡，要破解悠遊卡只能拿現成的悠遊卡來破解，無法把非悠遊卡當成悠遊卡使用。最後一關則是透過後臺進行每天交易查核，若有異常資料則會先進行鎖卡。此外，前臺的讀卡機也有設定檢查流程，藉此判定有問題的卡片。

此次事件並非是臺灣第一起破解Mifare卡事件。早在2010年臺灣駭客年會上，臺大電機系教授鄭振牟便公開了如何破解Mifare的論文，使用千萬等級的設備，包括6臺內建8個GPU的伺服器加上側錄資料，在7秒內便可以破解密碼。

智慧卡專家倪萬昇表示，第一代Mifare卡每個金鑰長度太短，只有48位元，有心人士可以購買市面上的RF讀卡機，用暴力方式解開密碼，預計幾個月～2年就可破解。

他認為，悠遊卡原本僅供交通應用使用，但只要跨足小額支付時，就必須使用類似二代金融卡、晶片信用卡等內建3DES、AES或RSA先進加解密標準的晶片卡，才能提供較高的安全度。文⊙黃彥棻