最新消息與公告 
教
學魔法師使用滿意高
新一代校務整
合資訊系統進度F501
電腦教室資訊設備汰換
配
合ODF計畫辦理教育訓練本校對外網路流量分析
本校個人電腦維修統計
電腦專欄
科技新聞
內 政部戶政司官員受邀在臺灣網路治理論壇揭露最新數位身分證(eID)進展,吸引公民團體及社群對隱私、資安風險的探討。
集合政府、技術社群、學術社群、民間企業及公民社群,一起探討網路公共政策的臺灣網路治理論壇在周五正式登場,內政部也在論壇的第一天下午受邀參加,揭露 了外界關心的國民身分證換發數位身分證(或稱晶片身分證、eID)最新進展,未來數位身分證將會整合自然人憑證,將實體身分延伸到網路身分,按規劃,明年 10月將會開始換發。不過,外界仍對換發數位身分證缺乏專法、安全風險控管等存有疑慮。
代表內政部戶政司出席的代理科長陳嘉淯表示,目前規劃換發的數位身分識別證,最早從民國104年開始規畫,經過幾年的發展,去年12月行政院會,國發會發 表了智慧政府藍圖,揭露了智慧政府的基礎架構,前行政院長賴清德指示各部會對全面換發數位身分證,建立安全可靠基礎架構,交由內政部妥善規劃身分證換發工 作,預計於2020年全面啟動換發作業。
整合自然人憑證,不另設專法
由於先前曾傳出政府有意結合健保卡、駕照等功能,陳嘉淯指出,這張數位身分證就是國民身分證和自然人憑證的結合,沒有其他的卡片,單純為身分識別,不會儲 存其他的資料,沒有侵犯個人隱私,換發數位身分證的原則是,提升防偽的機制,個資最小化、隱私保護及資訊自主。
依內政部的規劃,數位身分證整合自然人憑證,使用者可以選擇開啟或不開啟自然人憑證功能,但目前的規劃是,現有的自然人憑證效期截止後,可能不再換發新的 自然人憑證,換言之,鼓勵民眾在數位身分證上開啟自然人憑證。內政部也規劃在明年公布API規格。
另外,內政部規劃換發的數位身分證,其平面資料不會比現行的紙本身分證的資料還多,並且透過晶片辨別卡片的真偽,提升數位身分證的防偽,並有防竄改、複製 及內建電子小偷的功能。若民眾不慎遺失卡片,拾得者若沒有持有者的同意,沒有取得密碼之下,無法取得配偶欄、父母等延伸性的資料。
對於外界對數位身分證可能引發的安全疑慮,陳嘉淯補充解釋,這張數位身分證將採用國際標準身分識別的最高等級,在高安全性、保障隱私的原則下換發,外界不 用太過擔心資料外洩。所有換發的費用由政府負擔。
因數位身分證換發,以晶片身分證取代傳統的紙本身分證,並整合自然人憑證,兼具實體身分及網路身分識別功能,為國內身分證的一大革新,帶來方便之餘,外界 認為也應修法或比照其他國家制定新法規範,以保障民眾使用數位身分證的權益。
內政部長徐國勇今年5月在立委質詢時提及,數位身分證將以現行的戶籍法、個資法、資通安全管理法、電子簽章法,足以從各面向支撐換發,不需修法或另立新 法。對此,台灣人權促進會曾為文批評,不論是部份換發或全面換發eID,由於和傳統紙本身分證相比在功能上有很大的落差,政府應考慮修法,甚至是立法,僅 以行政規則作為換發晶片卡的法源依據,不足以達成行政機關保障民眾權益的承諾。該會也質疑政府推動換發數位身分證政策,缺乏相關配套措施,例如對公務機關 使用eID存取其他行政機關的資料庫,是否需要民眾的同意?個人是否可檢視eID或相關資料被存取的紀錄?
陳嘉淯表示,目前換發數位身分證向朝向不設立專法,依現行戶籍法相關規定,身分證換發、期程由中央主管機關制定,即由內政部負責,而數位身分證牽涉到電子 簽章法、資通安全法、個資法,內政部已行文請經濟部、國發會、行政院資通安全處盤點現有法令,是否需配合數位身分證進行修法,另依中央行政機關法注意事 項,以修法優先於立法。
隱私、資安風險仍是外界關心
儘管內政部強調數位身分證的安全性,但今天參與論壇的公民團體、學者或個人仍關心未來換發的數位身分證背後可能被忽視的隱私及資安風險。
中研院資訊科學研究所研究員何建明表示,身分證的數位化並非僅僅數位化而已,採用晶片卡片設計,可整合自然人憑證,除了能以自然人憑證的讀卡機存取卡片內 的資料,無人知道政府還儲存了什麼,誰可以讀取,政府換發數位身分證是場冒險,各項相關服務的背後,政府也需要承擔相當大的資安風險。
台灣人權促進會專案經理何明瑄也提出了他的看法,民眾要如何確認誰讀得到裡面的資料?如何知道所讀取資料就是晶片身分證裡所有的資料?有沒有針對特定對象 的隱形註記?在缺乏明確法律規範下,大家只能相信內政部的善意,沒有侵犯人權的疑慮。
他從更根本的角度來看身分認證,為何需要一人一號的身分認證制度,以最近銓敘部外洩24萬公務人員資料為例,這些外洩的資料若再結合私部門的資料,就能發 動特定類型的攻擊。一人一號的身分制度雖然帶來方便,但也帶來相當大的風險,以日本為例,沒有一人一號的身分,日本民眾一樣可以報稅、駕照、申請保險,因 為不同的服務對應使用不同的身分。以相同的角度探討是否需要數位身分,當愈來愈多的服務要求數位身分認證,例如臺鐵購票以實名制防止搶票,民眾使用服務留 下紀錄,反而衍生出政府監控、隱私保護問題。
代表開放文化基金會的Pellaeon Lin則關心政府推動數位身分證,相關的系統程式碼應開放出來,在歐洲「Public Money Public Code」已是趨勢,透過開放可以更容易的移植到不同的平臺如Mac或是Linux,民間的資安研究人員也可以研究發現問題點,提高資訊安全。
他認為愈是開放的系統,因為愈多人檢驗,比較安全。最安全的系統不是符合國際標準就好,而是經過多人的安全檢驗。另外,他也建議政府可以學習德國的晶片身 分證的做法,先從小規模換發開始,作為資安的測試,再擴大到更大的規模。
資訊安全 
安全研究人員發現一隻新型勒索軟體專找Android用戶下手,透過簡訊感染手機通訊錄中的聯絡人。
安全廠商ESET研究人員Lukas Stefanko 7月中發現這款名為Android/Filecoder.C的新型勒索軟體,出現在Reddit和Android 開發者論壇XDA Developer上,再透過受害者手機大量散佈。一開始,駭客在前述二個網站張貼色情或技術主題的內容連結、QR code或短網址,引誘使用者連到兩個由攻擊者控制的網域以下載惡意程式。一旦下載到Android手機上,Filecoder.C就會加密手機上大部份 的用戶檔案要求贖金,同時發送大宗簡訊將惡意連結給受害者手機內的聯絡人資料,以便進一步散佈。
這些簡訊訊息十分逼真,例如其中一則附上一幀以某用戶相片加工的相片,使接到簡訊的人誤以照片被移花接木用於色情圖片上而急忙點入連結。研究人員分析從6 月到7月,已有59個人被bit.ly短網址騙入這個惡意網站。且為了擴大感染,Filecoder.C還有42種語言版本的訊息樣板。在傳送訊息出去給 友人會選擇和裝置設定相同的語言,同時還會在信件開頭加上聯絡人姓名,使信件更客製化。
當不知情的友人接到簡訊並且點入連結後,會被導向一個惡意app,受害者必須手動安裝。一旦app開啟後就會如實顯示被加工的色情照片。這其實是一個色情 模擬線上遊戲的成品。但其實惡意的還在後頭:這個過程主要下載Filecoder.C,它有多項能力,其中即搜尋用戶通訊錄大量寄發前述的簡訊。
不過它主要目的是建立C&C連線,並找到裝置磁碟空間,將幾乎所有檔案全部加密,然後勒索價值94到188美金的比特幣。但系統檔案、. zip、.rar、小於150KB的.jpeg/.jpg/.png檔,以及大於50MB的檔案則不會加密。使用者或許能移除該app,但是卻無法解密。
研究人員一度以為Filecoder.C程式碼中包含寫死的金鑰,第三方高手可能解密檔案,因此影響有限。但是研究人員周二修正說法,指出這個金鑰是破解 難度極高的RSA-1024公鑰。這表示感染後,想不付錢救回檔案幾乎不可能。
計中資訊電
腦教室
校園無線網路電子郵件
網頁空間資
訊相關規範 電 話:02-6639-6688 分機83461
地 址:臺北市和平東路2段134號
計算機與網路中心 版權所有