我很忙,我非常忙,但修理李忠憲這種瞎掰學者永遠是我的義務

600

卡式台胞證樣本

文/張中一

2015年10月14日

李忠憲又談起卡式台胞證了,而看他每次都忙著加添資料我就想笑。一個號稱資安專家的人,對於卡式台胞證卻不是努力研究以後發表評論,而是用腦補的。有時候還要靠網友補加資料。

我超級討厭這種拿著學者光環亂寫一通的人,所以不宰他我對不起自己。他談到的技術細節我們就先不提了,我們只要說一件事情,其實你不高興可以不要申請臺胞證。這不是強制證件,你不要去中國就好啦。又要去,還要嫌中國沒給你隱私權喔。你都自願進入長城防火牆內了還在意隱私?要用護照來監控位置?不用這麼辛苦啦,全面開放臺灣人使用支付寶就好了。支付寶是實名制還綁定手機。監控你使用支付寶的狀況遠比監視卡式台胞證成本更低效果更好,還外送各種行為的大數據。都自願進中國了,還哭喊自己要冰清玉潔 XD

來談一些他臨時找來的技術部分的錯誤。首先他談到了BAC[*基本存取控制]。什麼是BAC?BAC是ICAO[*國際民用航空組織]在制訂電子護照標準時,提供的一個選項。基本上是透過寫在護照機器可讀區的一連串資料作為解碼鑰匙,有這些鑰匙以後海關官員就可以用無線傳輸的方式讀取護照資料。BAC有一個缺點,因為他仰賴的是護照機器可讀區的資料,而這些資料是護照號碼、出生年月日等資料所以有順序性導致密碼亂度很弱。按照專家的說法約在40 bits左右(描述密碼強度的單位,數字越大越強)。不過李大資安專家不知道一件事情,ICAO有推出代替BAC的協定叫做PACE [*Password Authenticated Connection Establishment],這遠比BAC更難突破。而卡式台胞證選用BAC還是PACE?其實我們不知道。還有指紋資料的保護是另外一層機制(EAC[*擴展訪問控製]),不是用BAC。不過每次都臨陣惡補的李忠憲當然不會知道這件事。

李忠憲又談到已經有很多完全複製晶片資料的事情。他知道他在說什麼嗎?卡式台胞證與電子護照甚至晶片信用卡都是在一樣的技術基礎上發展出來的。如果這些通通輕易可以破解,這個世界經濟已經瓦解了,你真的不需要擔心卡式台胞證了。

至於擔心金鑰與生物辨識資料(如指紋等)。坦白說,如果金鑰被盜,表示中國關防完全失效,老中比我們更擔心。我都不瞭解做為個人有什麼好擔心的?至於生物辨識資料如指紋等。我先前以為護照裡面的指紋資料只有特徵點,但事實證明我的觀念是錯的。我優秀的學弟George Lin給我的資料(3M公司的官方簡介投影片)顯示了護照裡面的指紋是指紋的完整掃描檔。但坦白說,你擔心嗎?你入境多少國家都要用指紋入境,他們都有你的指紋完整資料,那時候你都不擔心,現在你擔心?重點在,算了吧,臺灣人整天玩臉書,到資安防禦重一點的地方就乖乖獻上自己的手指卻不關心對方怎麼管理相關資料的個性。擔心這些資料真的是多餘的。

他又再一次把RFID與電子護照(卡式台胞證)混在一起談。坦白說啦,諸位想想你是有多尊貴?讓老中需要每五公尺設立一個監控點來追蹤你?更何況,卡式台胞證是使用ICAO的MRTD[*機器可判讀旅行檔]標準建立起來的旅行文件,與標準通用RFID毫無保護的狀況完全不同。

李忠憲還提出呼籲「千萬不要在旅館或是其他地方,把卡式台胞證交給別人,因為這個資料十分有用,很多人很想要,一輩子都有用,除非你能夠變臉或是換掉指紋。」。首先,其實卡式台胞證就是跟護照一樣是旅行文件。啊你去國外住旅館,護照不給人家登記你是頭殼壞去嗎?你覺得你的指紋很有用,很多人都想要?不要在那邊臭美了。我都還不談事實上裡面的指紋資料沒那麼好拿出來這件事,我只想說整件事情你不覺得只是李忠憲覺得臺灣人好棒棒產生的妄想嗎?古有夜郎國,今有臺灣國。

  • guest

    還有『周人渣』也是!