論晶片身分證之庸人自擾

行政院秘書長李孟諺日前表示,全世界有128個國家使用晶片或數位身分證 (eID, Electronic ID),台灣必須跟上世界潮流趕快推出New eID,並宣稱明年七月起將全面採用,強制使用。(李孟諺錯了,精確的說法是:2017 年以來全球施行身分證制度的 128 國中,已有 82% 採晶片卡或其它電子化憑證;更推估 2021 年將上升 7 個百分點)。

事實上,台灣早已引領世界潮流,國外某些相關研究報告,已將台灣歸屬於具有eID的國家。這樣的說法,其實一點都不意外,台灣的eID就是健保卡及自然人憑證,都具有IC晶片卡,也都可以當成eID使用,實務上運作也是如此,當國人被要求出示雙證件時,健保卡就已被當成最好的身分證明了。

 

 

內政部說帖中,刻意忽略一個事實:這些採用eID的國家,絕大多數選用公民個別”選擇性的”(Optional),包括日本、南韓、新加坡,只有少數(如馬來西亞)採用全民強迫性的(Mandatory)。從這觀點看,台灣的自然人憑證、健保卡屬於”選擇性”的eID,早就”超前佈署”,已經合乎這世界潮流了。

內政部說帖,又刻意忽略另一個事實:在全世界224個國家和地區中,不使用身份證制度的國家至少有12個,分別是澳大利亞、加拿大、芬蘭、法國、日本、瑞典、瑞士、丹麥、挪威、冰島、英國、美國等等先進國家。美國的社會安全卡(Social Security Card)連作為台灣的”紙本身分證”地位都沒有,”駕駛執照”反而成為有效的身分證明。台灣目前的紙本身分證,已經遠遠超越這些”先進”國家了。

日前內政部貼出公告"賞金獵人”:”懸賞500萬,徵求能複製New eID駭客”,企圖借以證明台灣New eID很安全,無法複製。然而,用一般常識都能理解,不只是偽造eID困難而已,連偽造紙本身分證、新台幣等也一樣非常困難,台灣身分證擁有20幾道防偽設計,想要偽造當然困難重重,再加上五年刑責的嚴刑峻法、大刑伺候,少有人敢以身試法(內政部的資料顯示,偽造紙本身分證的案例少之又少,2018年只有兩例)。因此我們可以很快得到結論說,這” 賞金獵人”公告,基本上是一場毫無意義的騙局,只是”聲東擊西、圍魏救趙”的假動作而已。

真正的問題不在"防止偽造”,而是資訊安全問題。某些業者宣稱,身分證晶片由”護國神山”台積電生產,屬於軍事機密等級,所以資訊安全沒問題,這是更大的誤導。駭客要攻擊的,不是晶片卡本身,而是透過這巨無霸晶片身分證,所蒐集到的”巨無霸資料庫”。

世界上少有”零風險”的資安技術,比特幣系統算是非常難得的例外,學者們要求晶片身分證能達到”零風險”的標準,這是Mission Impossible不可能的目標,比特幣的區塊鏈技術,在政府中央集中式的系統內,無用武之地,無法引用、複製其達成零風險的各種技術。近年來,新加坡經歷了史上最嚴重的就醫紀錄外洩案,一舉洩漏 150 萬人-相當於該國 1/4 人口-的隱私資訊;南韓出現 2000 萬國民的個資外洩風暴,更有全面汰換身分證字號的計畫;馬來西亞也有 4620 萬筆個資洩漏的情事;台灣的銓敘部 59 萬公務員資料不翼而飛、人力銀行千萬筆個資在暗網拍賣;2007年曾發生俄羅斯政府對愛沙尼亞eID系統發動DDoS攻擊,以及2010年德國eID中介軟體更新機制被發現存在風險,還有2017年愛沙尼亞因晶片問題,汰換76萬張eID卡。恐怖ㄟ!

讓晶片身分證擁有”巨無霸”的功能,包括所有個人隱私資料、健保、財產、稅務、駕照、悠遊卡、連署公投、手機等等,確實是便民措施,大幅提高行政效率,應該得到喝采,看似完美,實則一刀兩面光:當這”巨無霸”卡片一旦出現漏洞,大開駭客”方便之門、長驅直入”,台灣全盤皆輸,就如同”將雞蛋放同一籃子”的傻瓜一樣。倒不如利用現行的”分散式”架構,也就是維持目前的紙本身分證、健保卡、自然人憑證卡、駕照、悠遊卡等等,許多卡片(紙版的、晶片卡),不同序號、密碼,資料庫由各權責單位分別管理、防衛,反而是分散、降低資安風險最好的方法。由每個人依自我需求去個別處理,尊重個人選擇。

台灣晶片身分證New eID,在資訊安全上既不充分,在實用上也不必要,要強制所有人都使用,不知是否也隱藏了許多不可告人的理由?工程學上常說的: “Don’t fix it, if not broken”,維持現狀已經很好了,哪有必要甘冒安全風險,貪圖享受一時的方便?直接稱之為”天下本無事、庸人自擾之”,或許也不算過分!

(作者為資深網路通訊業者、大學退休教授)

< 資料來源:《自由時報》〈自由廣場〉引用網址 >
分享文章:

最新文章: