針對近段時間IC卡出現嚴重安全漏洞的傳聞，昨日，武漢大學計算機學院講師、湖北省智能卡研發中心研究員丁玉龍表示，以公交卡為主的武漢IC卡存在安全漏洞，但尚不足以影響系統安全，目前新發的楚通卡將有效解決這一問題。 

芯片算法遭破解

     丁玉龍長期從事智能卡研究，據其介紹，2008年初，主要應用于IC卡系統的Mifare經典芯片（簡稱MI芯片）的安全算法被德國和美國人破解。雖然二人聲稱絕不對外公布破解方法，但到當年4月，該方法在業內已成公開的秘密。“我包里都有他們的文章原文。”

     直到同年10月，這一問題才引起國內有關方面重視。今年初，工信部發文，要求各地各機關和部門開展對IC卡使用情況的調查及應對工作。湖北省春節后已著手對省內IC卡的數量、開發單位、建設時間等現狀進行調查。

     IC卡隱現城市安全漏洞

     據統計，武漢市從1999年開始發行IC卡以來，目前已發各類IC卡40余種，總發行量近600萬張，涉及公交、輕軌、超市、水電氣等領域。其中，公交IC卡發行量約280萬張。

     丁玉龍介紹，這些IC卡絕大部分屬于邏輯加密卡，每張卡上有16個算區，每個算區有2個密鑰，每次卡片與終端刷卡設備傳輸信息時，要驗證其中的4-6個密鑰。密鑰通過明文或簡單加密傳遞，如果傳輸過程中被攻擊，截取信息，就能復制卡片，修改卡中金額。“現在，這種攻擊設備在網上售價已從最初的9000美元跌到500美元。”

    據悉，解密主要有兩種方式。一種是暴力攻擊，也就是一個一個地試可能的密鑰，破解單個密鑰需2-8小時。另一種是“竊聽”，即在傳輸時接收無線波信號，破解單個密鑰僅需40毫秒。

三道防線保系統安全

    雖說IC卡存在安全隱患，但丁玉龍強調，解密和加密好比硬幣的兩面，信息安全被破譯是經常出現的現象，除卡片外，系統還有三道防線，市民不必過于擔心。目前，武漢還未發現此類作案手法。

    以刷公交卡為例，所有刷卡信息均被存儲在終端設備里，會有人定期采集數據，匯總到系統中。如果發現某張卡的交易與系統內記錄不相符，即可把該卡列入黑名單，這張卡將無法使用。

    此外，系統可以對單日、單筆消費金額做出限制，并對卡中金額規定上限。此舉均為把損失降到最低。

升級為CPU卡是王道

    與銀行卡的實時交易不同，IC卡為離線交易模式，有一定的滯后性。因此，丁玉龍建議，最有效的防范方式還是將IC卡升級為CPU卡。

    據悉，IC卡按芯片類別可分為存儲卡、邏輯加密卡和CPU卡三類。存儲卡無任何保護措施，U盤、MP3就屬此類；邏輯加密卡簡單加密；CPU卡內裝有CPU處理器和操作系統，通過密文通信，安全級別最高。

    目前，香港、北京、廣州等地的城市一卡通均使用的是CPU卡。武漢年初開始推行的楚通卡也是CPU卡。這種卡片的成本是MI芯片卡的2-5倍。

市民防范有巧招 

     在未更換鄂通卡前，市民應該如何防范？丁玉龍表示，IC卡的讀寫距離為2-10厘米，因此市民最好不要將卡放在包的最外層。同時，用卡時應注意周圍是否有可疑之人，不要將卡交給陌生人，并密切注意卡內金額變化，不要在卡上放太多錢。對于設備管理方，丁玉龍建議，應改造刷卡設備，如加裝金屬罩屏蔽信號，及時回收數據、更新黑名單等。

銀行卡不是IC卡無需過慮

    IC卡存在安全隱患，那么銀行卡安全嗎？武漢大學計算機學院講師、湖北省智能卡研發中心研究員丁玉龍表示，銀行卡不是IC卡，市民不必擔心。

    “銀行卡是磁條卡，本身不具有任何安全性。”丁玉龍說，銀行卡背面的黑色磁條，只起到記錄卡片基本信息的作用，本身沒有任何加密功能。銀行卡的安全，還是靠6位數字密碼保障。

    以前，很多自助銀行的門禁系統需刷卡才能進入，這給不法分子可乘之機。盜取磁條信息后，再靠“坑蒙拐騙偷”獲取密碼，就能復制卡片、取現。

    丁玉龍說，銀行也曾考慮將磁條卡換成CPU芯片的IC卡。但二者成本相差上十倍，加之現有銀行卡用戶太多，因此并未大規模推廣。但目前幾大銀行均有IC卡試點，如工行已推出多款裝有芯片的信用卡。（記者胡楠黃斌）

網銀usb-key待升級

     目前備受銀行推崇的網銀保護神——usb-key移動證書也是一種IC卡，武漢大學計算機學院講師、湖北省智能卡研發中心研究員丁玉龍表示，移動證書同樣存在安全漏洞，目前升級產品已經問世。

    據介紹，移動證書本質上也是一種IC卡，只不過加上了外殼和usb插口。丁玉龍說，如果不法分子在持卡人使用移動證書時，利用木馬程序遠程操作，讓證書誤以為是持卡人，同樣能轉走卡里的錢。

    針對這一漏洞，第二代移動證書加裝了確認按鈕，需動用資金時，只有持卡人按一下該按鈕，才能完成操作。但這種方式無法顯示實際扣款金額，因此，第三代移動證書又加裝顯示屏，實時顯示金額變動情況。更高級的第四代移動證書，裝上了數字鍵盤，直接在證書上輸入金額，避免了木馬盜取鍵盤信息。

    據悉，上述升級產品均已研制成功，但從成本考慮，目前僅處于宣傳推廣階段。