當心! 二代身份證可能導致身份信息泄露

引子:
thinkgeek.com 這個老外的網站很不錯,賣一些很有創意的電子玩意,比如下面這個17.99美金的"錢包",可以防止身份證/護照被近距離惡意讀取信息,剛看到時覺得很搞笑,就兩鐵片加層皮嘛.
但看了3.15晚會揭露的個人身份信息被泄漏之後,讓我們大家都去找錫箔紙吧(我也不知道有沒有用,因爲下面回覆中有: "錫紙不管用的，RFID是通過磁場讀取信息的。"...)

    http://www.thinkgeek.com/gadgets/security/910f/
    RFID Blocking Passport Billfold
    $17.99

正文:============================================
以下內容,轉載自ugmbbc的文章:
    http://www.cnbeta.com/articles/78024.htm


一直以來我都對二代身份證的安全問題比較感興趣（20081005、20080808、20040216）。前面說過，二代身份證是符合 ISO14443 TYPE B 的非接觸式 IC 卡，具有 4k 的存儲空間（下圖是 ISO14443 Type A 的數據存儲區域，二代身份證由於是封閉技術，但很可能採用的是類似原理）。

非接觸 IC 卡存儲數據都是通過密碼限制的，卡片中的每個數據存儲扇區都有相應的讀密碼和寫密碼。二代身份證是公安部委託清華大學微電子學研究所和清華同方微電子有限公司共同研製的，因此在二代身份證中，讀取密碼很可能是國產某種加密算法的密鑰。目前，存儲在二代身份證中的數據包括身份證表面能看到的所有信息（包括照片）。

二代身份證的適配器是通過符合國際標準的讀卡器，再加上國內研製的安全模塊來實現對二代身份證的讀寫操作。安全模塊是專控產品，社會上使用的設備都只具備讀權限，而公安系統使用的安全模塊具有寫權限。我想，這樣的權限差別應該是通過密碼/密鑰來實現的。從我自己辦理二代身份證的經驗來看，目前二代身份證一般是由各省公安廳統一製作，而市局目前只有數據採集的權限。也就是說，具有完全操作權限的安全模塊僅限於各省公安廳。而繼承了讀取權限安全模塊的二代證讀卡器（模塊），也可以用 2000 元以下的價格從公開的渠道獲得。目前，大多數的讀卡器（模塊）都提供了相應的 SDK（下載時需要把連接中的 .RAR 修改成 .rar 才能正常下載） 。

因此，如果有需要，任何人都可以用相對較小的成本，獲得讀取二代身份證數據的能力。二代身份證的讀取距離爲 10cm，雖然目前還沒有證明二代身份證可以被遠程讀取。比如，我在商場的入口處設置一個場強（恰好不超過二代身份證安全機制的觸發閾值），然後在整將整個門框變爲我的讀取天線。通過這樣的手段，我就可以獲得進出這個狹窄區域的所有二代身份證的全部數據。

目前還沒有看到有人公開對二代身份證做逆向的研究，進行向 SIM 卡或者一卡通卡那樣的逆向分析，因此在公開的範圍內還沒有人能夠破解二代身份證的讀寫密碼/密鑰。同時，由於具有完全寫權限的安全模塊目前只有各個省公安廳才擁有，因此這個密碼/密鑰失密的可能性也較低。與此相對應的是，具備讀取權限的安全模塊很可能被破解，二代身份證的讀取設備有可能價格更低。

綜上所述，目前個人認爲二代身份證內信息被盜讀的威脅很可能就會發生在身邊，而出現僞造或篡改身份證的可能性較低。我自己是一發現二代身份證的讀卡器可以公開購買，就立馬用烹飪用的錫紙把二代證包起來了 ……