Smart Card雜記

    這個章節我要講的是一個可以被偽造的案例，但先說明，這個案例完全是人為規劃上的重大瑕疵所造成的問題，目前為止晶片金融卡本身仍然具安全性，況且到現在全世界應該還沒發生過因晶片本身問題而被偽造的SmartCard案例。(Memory Card與Mifare都不算是SmartCard)
    這個案例是台灣某知名遊戲業者推出的晶片卡，目的想防止遊戲玩家的帳號被盜用問題，在此暫稱為『Play Unsafe數位卡』，此卡至今推出應該有三四年吧，我本身並沒有在玩任何線上遊戲，會發現這張卡有安全上的問題，是在去年做某CASE而接觸到，在我對卡片做簡單的測試後，發現他是一張晶片金融卡規格的卡片，客戶簡單跟我說明這張卡的用途，說此卡是運用PKI機制來達到防盜目的，一聽到這裡我心中出現非常大的疑問，PKI不是跟RSA有關嗎? 不是要運用到Hash與加解密運算嗎? 但晶片金融卡不是沒這樣的功能嗎? 不要說RSA了，就連DES加解密運算的功能都沒有勒(該卡DES運算只用於驗證，並無處理資料加解密的運算功能)!
    發現這個讓人吃驚的問題，我上網找了一下『Play Unsafe數位卡』的資料，發現的以前的新聞資料確實有說這張卡是採用PKI技術，接下來我仔細測試客戶給我試用的『Play Unsafe數位卡』，發現讓我吃驚的結果，裡面總共建立一個基碼資料檔、兩個使用者密碼檔、四個一般基本資料檔，這樣的結果讓我吃驚的原因如下：
一、只有一個基碼資料檔，沒有交談基碼(Session Key)，表示在製作這張卡時，基碼值的寫入或更新一定是用明碼在處理，這樣在整個製發卡過程中有很多機會讓基碼外流，例如資料處理人員、系統與製卡程式的開發人員、製卡人員等等，只要有心，絕對能取得每張卡片的Key。好的規劃應該連Coding的工程師都無法利用後門取得任何重要的資料。

    在探討晶片金融卡的安全問題前，我想應該先了解這張卡片的基本功能與特性。這張卡片規格由財金公司與各金融機構共同訂定，其範圍包含卡片的實體規格、外觀、內部功能、資料安全性等等。
    此晶片是內含16 bits CPU與16K/4K EEPROM的接觸式SmartCard，卡片主要功能有下列幾種：
一、一般基本資料檔：提供儲存一般資料訊息。
二、使用者密碼資料檔：提供使用者輸入密碼驗證功能，用於確認持有者之合法性。

    無論是金融卡或信用卡，一直以來都有被盜刷或盜領的事件發生，將磁條卡晶片化可提高卡片被偽造的門檻，許多國家的金融單位與信用卡國際組織也一直在推動卡片的晶片化，但由於晶片卡成本高於磁條卡數倍，導致轉換的時程不如預期，有些發卡單位認為從其他方面加強防盜機制會更符合經濟效益，因此轉換的意願也不高。
    目前在台灣發行最多的晶片卡種類，應該就屬晶片金融卡的數量最多，幾乎每個人手上都有一張以上，原因是在2003年十月份，爆發嚴重的台灣銀行盜領案，盜領集團利用「側錄」方式複製偽造當時的磁條金融卡，再利用國慶連續假期到ATM上進行盜領，為了解決磁條卡容易複製的問題，銀行公會要求各銀行在2004年底前全面換發晶片金融卡。
    由於是政策因素，台灣已成為全球少數金融卡百分之百晶片化的國家，在金融領域的晶片轉換與應用經驗更是許多國家學習的對象。單就晶片卡本身的技術來說，他的安全性跟磁條卡比較，就好像是坦克車跟腳踏車相比，但是完成晶片化後的金融卡就表示安全嗎? 那可不一定，如果只會騎腳踏車的人卻去開坦克，或者是開著坦克車卻要過木板搭的橋，想必是有很大的風險，因此單有新的技術與更好的產品，也需要應用得當加上好的管理監督機制，才能得到好的效果。
    整個金融交易環境很複雜，對使用者來說可能只是個簡單的提款或刷卡動作，但背後卻隱藏著許許多多的技術與環節，只要其中一小部份出錯，交易就可能出現風險，後面幾個章節我將以晶片卡的角度與技術來分享關於二代晶片金融卡安全上的問題。

    【Java Card Applet Loader】依據Global Platform 2.1.1/Open Platform 2.0.1版之規範來進行Applet的安裝與刪除，目的在於簡單方便將Java Card Applet載入到Java Card上，免除使用者須花費時間深入了解開發Applet以外的技術，可專注於Applet本身之開發或測試。
 
作業環境需求如下：   

    每個人在求學時期都曾接觸過數學這門科目，不管喜不喜歡，或有沒有學好，在那個時候很多人應該都有相同的疑問，就是學像線性代數、微積分、三角函數等這些東西要幹麻? 這個問題在學習數學的過程中，應該是很多人共同的疑問。我個人在國中、五專時期對數學還蠻有興趣的，所以並不會排斥這門科目，但很多同學對數學可是討厭極了，我想如果每個老師能先讓學生了解學這些東西的目的或用途，那很多人一定會學的更好更有趣。我覺得五專跟國中有個很大的差別，國中數學老師只敎你算，但我在專科學線性代數、微積分時，老師都會在課堂上舉例可以運用在哪些地方，學習的過程就不會充滿無形的想像。
    言歸正傳，三角函數最大用處應該是用在測量上，但離國中學習三角函數的時間已經過了十多年，古時候學的東西早忘的一乾二淨，現在會想到再用到三角函數的原因，是前陣子想自己在程式報表列印中加上浮水印功能，且浮水印可以印在整張報表的對角線上，我遇到的問題是只知道三角形斜邊長(浮水印資料長度)、與三角形三個角角度(直角三角形)，要求出這個三角形的高與底邊長，這樣才能知道要將浮水印印在報表上的座標值，所以只好重新復習三角函數這個課題，以下是計算方法：
    問題：假設一直角三角形，斜邊長20，上角30度，下角60度，
          求 a.此三角形高度長?

    I-Cash在台灣可以說是非常成功的電子錢案例，使用者已超過百萬，但您是否常常忘記卡中剩下多少錢呢? 或者想查詢前幾次的消費記錄卻無從查起，【I-Cash消費資訊讀取程式】免費提供您最簡單的操作方式，讓你輕鬆隨時查詢卡片中的資訊。
    本軟體允許個人免費下載與使用，嚴禁利用在任何商業行為上(包含以任何名義收取費用)，如欲轉載本軟體相關圖文與程式，請務必著名作者與出處並來信告知。
 
程式畫面：