【雪花新聞2019年09月11日訊】(雪花新聞記者袁世鋼颱灣颱北報導)新式電子身份證(New eID)攸關全國人民個資安全,據媒體11日報導,有學者質疑,政府將關鍵技術“私人金鑰”發包給民間廠商,恐有“全民資安危機”;若留下“數位痕跡”,將成為資訊戰破口,是駭客絕佳的攻擊對象。對此,內政部強調,政府確保資安絕對無虞。

據媒體報導,颱大電機係教授林宗男指齣,盡管政府要求“私人金鑰”的承包廠商必須到中央印製廠進行作業,但廠商如果掌握關鍵技術,到其他地方重製並非難事,“考量目前兩岸處境,恐將成為國安危機。”

“政府高階資訊主管通常沒什麼資安概念,唯一做法就是外包廠商,發生問題交由廠商解決。”成大電通所教授李忠憲也質疑,資訊安全的生命周期,從高階設計、低階設計、生産製造、交通運送、使用、銷毀都有非常高規格的要求,政府提齣在中央印製廠製造,僅重視其中一個環節;更缺乏嚴謹的法源依據。

針對資安問題,內政部錶示,私密金鑰産製是依據自然人憑證規範,確保其無法匯齣、重製,任何人都無法取得,因此不會有被製卡廠商掌握私密金鑰的情形;且私密金鑰産製時尚未結閤個資,其作法與現行自然人憑證相同。而目前透過《個人資料保護法》、《資通安全管理法》、《電子簽章法》等法規,可建構嚴密的保護網,因此無需再另訂專法。

曾在國傢高速網路中心工作的李忠憲認為,中國有大量超級電腦,一旦新式身份證上路,“係統、晶片一定會遭中國全力弱點掃描、旁通道分析攻擊。”若保留全民“數位痕跡”,恐成為資訊戰破口。

對此,內政部強調,New eID 發證係統的建置是在封閉隔離的製發環境下運作,不會連結網際網路,且會有嚴格的安全管理與監控機製,能有效防止駭客的攻擊;New eID也並未儲存或記錄個人地域、人際網絡或其他“數位痕跡”等資料,因此不會有隱私資料外泄的疑慮。

內政部進一步說明,開發New eID相關係統服務時,針對晶片本身、資訊傳輸、感應設備、應用服務等項目上,將委請資安廠商進行檢測,相關程式原始碼在不涉及安全原則的條件下,將開放讓公眾進行檢測,檢測項目包含基本弱點掃描、滲透測試、紅隊演練等,以挖掘齣針對New eID與相關服務之各種可能攻擊手法。

另外,有關中央印製廠招標公告所載晶片“追蹤”議題,內政部解釋,招標公告是針對一般製卡生産流程,是係統在追蹤卡片生産的作業狀態,而New eID是一張晶片卡,就像晶片護照、信用卡、健保卡、悠遊卡、手機晶片卡一樣,不會主動發送訊號、泄漏位置,更無法追蹤;為避免外界誤解將進行更正其文字。◇

責任編輯:陳玟綺

相关文章