百位學者連署反對!一文解析數位身分證的 4 個資安疑慮

數位身分證預計在今年 10 月上路,不但搭載加密晶片儲存個資,還能結合健保卡、駕照,一卡多用,操作更方便。

然而,近期卻有超過百位的專家 連署反對數位身分證 ,反對點主要是「資安」。他們是具有中研院、資訊、資安、法律等背景的學者。有這麼多大咖反對,我們不禁要問:數位身分證有什麼資安疑慮?

連署反對數位身分證的 學者名單(資料來源:台灣人權促進會,「連署反對全面換發晶片身分證」頁面)

數位身分證具有 3 大特點,是政府數位轉型的一環

數位身分證的全稱是「數位身分識別證」(New eID),具有資安提升,可線上辦理業務,多卡整合等 3 個特點。

1. 卡面只顯示 6 項個資,透過 3 組密碼保障資安

為了保護隱私,數位身分證的實體欄位資訊只有姓名、身分證字號、照片、生日、配偶、戶籍地址等 6 項個資,至於父母姓名、出生地等資訊則存在晶片內,必須得到密碼授權才能取得。關於密碼,每個使用者可以設定 3 組密碼,1 組是身分證後六碼,可以授權讀取身分證實體欄位上的個資;另 2 組是自訂,長度為 6 到 8 碼,可授權父母姓名、出生地等晶片加密個資。此外,數位身分證沒有儲存功能,使用時不會留下紀錄,可保障使用者的個資安全,也避免被第三方監控。

2. 辦事不用跑政府機關,用數位身分證線上搞定

由於身分證數位化,未來有高達 80% 需要用身分證辦理的業務,例如報稅、公投聯署、申請電子病例、查詢退休金、申請津貼與補助等都可以在線上辦理,省下去各種單位「跑 RPG」的時間,也讓政府單位無紙化,提升作業效率。

3. 多卡結合,還可以綁定手機

換發數位身分證之後,政府也將開發「行動身分證 APP」,並將駕照、健保卡等證件與身分證結合,未來出門不用帶各種卡,開車、看病用一張身分證就可搞定;甚至不帶身分證也 ok,用手機就可以走天下。

TO 相關報導:
數位身分證將在 10 月上路!3 個亮點:融合健保卡、駕照,讓你「一卡打天下」

推行數位身分證是政府數位轉型的一環,台灣政府從 2015 年開始相關研究,在 2017 年完成計畫草案,預計 2020 年 10 月開始換發,要用 4 年時間達到 100% 換證。

數位身分證有 4 個資安疑慮,專家學者連署反對

但近日學者連署反對數位身分證,主要是對「資安」有疑慮。根據《科技新報》的 報導 與《台灣人權促進會》的 聯署書 ,他們的反對理由大致可歸結為 4 個因素:

1. 這世界上「本來就沒有絕對安全的資安系統」,但具體的資安強化措施又是什麼?

這世界上本來就沒有絕對安全的密碼系統,只要給電腦足夠的時間,任何系統都能被破解。當然,資訊學者也知道這個本質問題,只不過內政部不斷強調數位身分證「絕對安全,資料絕不外洩」,這種空泛的答案讓不少學者產生疑慮。學者想得到具體的說明,想了解相關單位透過怎樣的機制強化資安,增加破解的難度等。

此外,目前的數位身分證密碼設計是 6 到 8 個數字,學者認為安全性不可靠。

2. 多卡整合是數位身分證的「單點脆弱環節」

數位身分證的特點之一是「多卡整合」,然而將各種卡片的服務集合在一張卡片上,萬一卡片遺失,風險就會很大。此外,政府未來也打算開通數位身分證綁定手機,這相當於新開管道,給有心人士一個入侵的機會。

3. 台灣晶片及印製設備無法自產自足,資料被駭風險高

聯署書上 表示 ,台灣在晶片及印製設備上無法自產自足,須仰賴國外廠商的部分協助,是台灣資安管理上的隱憂;而數位身分驗證一旦被廣泛使用,個人數位身分集中管理而被駭的風險與代價也將大幅提高。

此外,行政院資安處曾在 2019 年 11 月表示,台灣台灣公部門每月遭到網攻次數達 3000 萬,是歐洲國家的千倍,而且還有增加的趨勢;資安處也推測,有一半以上的攻擊來自中國。以政治上來說,台灣與中國處於敵對關係;以經濟上來說,台灣具有半導體等高科技產業技術,這些都是吸引有心人士網攻台灣的因素。既然台灣遭到網攻的次數比別國高,數位身分證的資安就更讓人疑慮。

TO 相關報導:
台美首次舉辦聯合網攻演練!資安處:台灣每月遭攻擊 3000 萬次,比歐洲多上千倍

4. 沒有專責機關,法源依據未完善

目前政府並沒有專責機關,負責處理數位身分證的資安與隱私問題,若未來真的出問題,可能會是內政部、財政部、金管會、科技部、NCC 等單位「集體負責」,甚至可能互踢皮球。

因此連署的學者希望政府能成立隱私保護專責機關,並要求立數位身分證專法,或者是修法,以確保執法的法源依據。

內政部:會在完備相關法規下推動換發作業

針對疑慮,內政部也在 23 日發布 新聞稿 回應。根據新聞稿,政府「會在完備相關法規下推動換發作業」。此外,「民眾也可自行選擇是否附加自然人憑證功能」,換發數位身分證時,可選擇不申請自然人憑證,就算開通自然人憑證的功能,也可自行決定停用或廢止。若不開通自然人憑證功能,數位身分證就相當於現階段的傳統身分證,只是換個外觀與加入內含個資的晶片。

內政部並沒有回應到單點脆弱環節等資安議題,但有提到「會在完備相關法規下推動換發作業。」我們可關注數位身分證專法或是修法,以及政府是否會成立隱私保護專責機關等議題。

其實根據《數位新報》的 報導 ,政府有對數位身分證的資安問題做功課,對數位身分證的安全規格說明也很明確,例如採用高於護照晶片的 ICAO 9303 機制,硬體架構安全性符合 CC EAL4+ 安全認證(依循  ISO/IEC 15408)或 FIPS140-2(密碼模組安全需求標準)規格;使用上也跟自然人憑證一樣,不會留下紀錄。我們肯定政府的努力,但從台灣遭激烈網攻的外在環境,沒有專責機關的責任歸屬問題,多卡整合的風險,以及內部系統的資安機制,都是數位身分證仍需考慮的資安問題。期望政府單位能針對學者提出的疑慮處理,屆時數位身分證上路後,不僅能讓人民享受便利的服務,也能讓台灣往「數位治理」更進一步,強化政府效能與國家政爭力。

參考資料來源:
1.《台灣人權促進會》:〈 連署 反對全面換發晶片身分證
2.《數位新報》:〈「數位身分證」即將上路,卻有百位學者專家連署反對
3.《聯合新聞網》:〈 學者網路連署反對換發身分證 內政部:政府會重視資安
4.《內政部》:〈 資訊自主 內政部:數位身分證可選是否附憑證功能
(本文提供合作夥伴轉載。首圖來源: 內政部

延伸閱讀

數位身分證將在 10 月上路!3 個亮點:融合健保卡、駕照,讓你「一卡打天下」
台美首次舉辦聯合網攻演練!資安處:台灣每月遭攻擊 3000 萬次,比歐洲多上千倍
【全球個資風暴】南韓嚴重到開放「改身分證號碼」,日本咖啡廳卻用個資換免費飲料


《TO》品牌活動「CONNECT」上線!

主打「強 AI、精準醫療、5G、邊緣運算」四大專題,點擊 馬上報名 獲取最新深度報導!  

點關鍵字看更多相關文章: