在探討晶片金融卡的安全問題前,我想應該先了解這張卡片的基本功能與特性。這張卡片規格由財金公司與各金融機構共同訂定,其範圍包含卡片的實體規格、外觀、內部功能、資料安全性等等。

    此晶片是內含16 bits CPU與16K/4K EEPROM的接觸式SmartCard,卡片主要功能有下列幾種:

一、一般基本資料檔:提供儲存一般資料訊息。

二、使用者密碼資料檔:提供使用者輸入密碼驗證功能,用於確認持有者之合法性。

三、基碼資料檔:另分兩種類型。

A:端末認證基碼檔:由卡片驗證外部設備合法性之基碼資料檔。

B:卡片認證基碼檔:供外部設備驗證卡片合法性之基碼資料檔(含動態密碼)。

四、特殊數值資料檔:提供數值累加或清除功能。

五、交易記錄資料檔:用來儲存交易紀錄之檔案。

六、二進位資料檔:用來儲存二進位資料之檔案。

七、儲值錢包資料檔:提供電子錢包功能,用於電子錢或紅利積點之加值或扣款。

 

     擁有一張如上述功能之晶片卡,還不算是ATM晶片金融卡,還必須建立ATM晶片金融卡特定的檔案,並且寫入必要的基碼、密碼、帳號資料等等,才能成為一張可用的金融卡。這張卡片除了用於金融用途外,只要能適當地應用與規劃上述七項功能,也可以應用在許多非金融領域上,如門禁卡、會員卡、安控卡、動態密碼卡、儲值卡等等,但若是應用或規劃不當,所做出來的卡片可是一點都不安全。

  

    由於此晶片在台灣佔有率高,價格也相對便宜,市面上除了ATM晶片金融卡外,使用同樣晶片的產品也很多,常見的有統一超商I-Cash、中油捷力卡、台灣優利的優利卡、遊戲橘子數位安全卡、愛的世界儲值卡等等,還有許許多多用此晶片來做其他應用的CASE,目前看起來每個應用都沒發生過什麼大問題,但其實我發現當中不乏有安全上的漏洞或瑕疵,部份有安全疑慮的CASE,幾乎都是人的因素所致,而非這顆晶片本身真的有瑕疵,如生產過程中的管理漏洞、晶片內容的規劃不當、應用方式錯誤等等,往後章節將陸續探討部份有問題的CASE。

 

 

    補充說明,晶片金融卡有下列三種平台:

1.Native Card:市場上數量最多,一般只有金融卡功能的幾乎都是這種卡片,其中EEPROM又分16K與4K大小兩種,大部分銀行都使用16K,4K用最多的則是郵局的金融卡或I-Cash。

2.Java Card:可載入到Java Card平台之金融卡Applet,大部分銀行的Visa Debit卡或其它多功能卡都會採用這種類型。

3.Multos Card:可載入到Multos Card平台之金融卡Applet,大部分銀行的Combo Card或其他多功能卡會採用這種類型,不過市場上的比例應該小於Java Card平台,其金融卡Applet提供的功能也是所有種類中最陽春的。

創作者介紹
創作者 DerYu 的頭像
DerYu

Smart Card雜記

DerYu 發表在 痞客邦 留言(0) 人氣()