[uforum] 指纹资料库的建置潜藏着无限的危机 清华大学　电机所博士班三年级 施皇嘉 http://uforum.enjoy-style.net/modules/newschina/article.php?storyid=28 指纹资料库建立是百年大计，政府应慎重规划，广纳专家意见，不要急就章，建立 一个新包袱。七月一日换发新身份证的同时，也是我们国家安全沦陷的一天。 今年七月一日起将全面换发新身份证，届时依法须按捺指纹。行政院长谢长廷已核 定动支第二预备金一亿两千一百四十万九千五百元，购买活体扫瞄收录相关设备。 包括初领、补发、换发身份证的民众，必须按捺指纹。为确保民众权益，政府将建 立全国指纹资料库保存，依据「个人资料保护法」规定，除非特定情况，警方不能 使用指纹资料。看来是一个平凡无奇的台湾政策执行，背後却潜藏着无限的危机， 政府官员看不到，你能视若无睹吗？ 听到指纹这个名词，一般民众第一个反应就是怕被盗用，害怕指纹资料落入有心人 士手中从事不法的勾当。但是你们可曾想过，你们的身份证影本有多少副本流落在 外吗？个人的私密资料早就留传在世界的某个角落，所以，最可能被盗用的其实不 是指纹资料，而是能够完全代表你的身份证影本。况且，若想取得某一个人的指纹 并非不能，你曾拿过的笔，曾经在某间咖啡馆拿过的咖啡杯，曾经拿过的公用话筒 ，曾经握过的公车或捷运握把。你的指纹真的无所不在，但是指纹却是一样能够让 我们生活更为便利的一样生物资讯，它只是一个能够提供辨识身份之用的特徵。 现有的伺服器指纹资料库所储存的是指纹特徵档，而非指纹本身，而且是一个仅能 提供输入，不能提供输出功能的伺服器，故绝无资料外泄之虞，若再施以加密处理 ，网路骇客可能必需使用超级电脑不停地执行攻击数十年甚至数百年的时间才能够 提取到无实质价值的指纹特徵档，却无法使用及将某人的指纹重建，这似乎是件无 义意的事。所以，留下指纹并没有想像中的可怕。 但是，可怕的却是国家政策的大漏洞，不仅准备将采用敌人的技术所研发出来的指 纹机做为我们存取指纹资料输入机器，更不该的是将指纹定义规格开放给厂商自订 却舍弃国际共同的标准，这是一项十分重大的缺失。我将一一陈述： 一、 大陆人士的技术将变成我们即将要采购的指纹系统的技术供应者。 警政所用的指纹系统第一期采购是买NEC的机器，第二期是买Cogent公司的机器，而 Cogent的核心技术研发团队就是由中国大陆北大的一群人弄出来的技术，Cogent的 创办人叫做谢明，大陆华裔，也就是说Cogent这间公司是由中共技术+中国华裔美籍 资金(谢明..等人)弄起来的，这些内幕可以从北大高科的一篇文章[注1]可以看出端 倪，北大的石青云院士所讲述的指纹发展史，文中明确说到，Cogent的核心技术是 他们的，这是无庸致疑的，而我们却准备要把台湾人的指纹资料库交给与我们敌人 的公司管理，其後果，可想而知，是不是我们指纹资料库建立同时，中国公安部马 上就有一份备份。 二、 规格过於松散将导致被国外家厂商独占我们的指纹系统运作。 国际指纹定义的标准乃采用标准化的特徵档（特徵点）, 任何厂商都可提供标准的 特徵点，符合资料具有互换性的基本原则！这次内政部的指纹发包工程规格中没指 定使用国际共同标准的指纹特徵点(192Bytes)，开放给厂商自订，这是非常严重的 缺失。未来若真的使用了某一家的国外指纹系统厂的指纹系统，而他们一定会采用 自行研发的定义档，而非国际指纹定义，如此会导致被对方的系统吃死，任何用到 他们指纹定义或比对的软体及硬体架构来做电子认证服务的时机时，他们绝对会向 我们索取高额的权利金，因为我们用了他们的专利，届时他们绝对会予取予求，我 们的经济将雪上加霜，比方在银行开户登录比对指纹时，所有银行使用的指纹系统 必须与N公司特徵匹配，就必须全部采用N公司的设备，否则会侵犯N公司专利．若不 付出高额的权利金，我们将不能使用他们的系统做指纹电子认证系统。 三、 指纹定义档过大会造成连线系统全台当机，网路骇客因此有可趁之机。 规格过於松散的另一个大漏洞是，规格上没有明确地规定指纹定义档的标准，得标 厂商将会使用自己的定义规格，不随着国际标准(ISO19794-2及指纹影像档)走，其 定义档大小会比原始的国际标准的192Bytes大，例如日商NEC公司的指纹特徵是 2000Bytes，为NEC公司独自使用的特徵，因为他们加入了指纹特徵的关系描述。 假设我们真的使用了NEC的比对技术在Server端的话，Client端只有两条路可以选， 一种就是也买NEC的指纹机+特徵抽取软体，如此，从头至尾我们的指纹系统都由NEC 包办，我们会被吃定了，另一种是传指纹影像到Server，在Server端作特徵抽取， 这一种方法资料量大，而且Server端的计算量负担太重，这绝非提升网路速度能够 弥补的缺失，届时Server应付不来，全台湾电子认证系统大当机「盛况」可期，而 此时，网路骇客更可以不费吹灰之力，也不需费神费时丢垃圾封包到Server端，就 可以期待它的三天两头大当机。 四、 舍弃国际标准之按捺食指指纹而用拇指指纹建档，原因是拇指的使用率比较高。 先进国家皆使用食指指纹做为电子认证系统的建档标准，如我们入境美国时都是按捺 食指指纹，这是国际的趋势，而我国内政部却因为拇指的使用率比较高，而采用按捺 拇指指纹做为建档的标准，这是不合乎国际定义的规定，况且，拇指指纹在国内通行 太久了，也许在台湾某个角落留有你的指纹。所以我们应该跟随国际的脚步，使用食 指指纹来做建档。 五、 指纹机规定不可另外使用电源，而欲采购笔记型电脑取代ＰＣ。 指纹机必须直接由NoteBook供电,而不能另外插电源，但是NoteBook本身其实也是需 要插电的，不然也只能撑两三小时，既然有电源又规定指纹机不能另外接电源这个规 定不太合理，内政部的考量是可携性的需求，要把NoteBook跟指纹机一起带出去采集 指纹，但这种时机似乎微乎其微，况且一般民众还是会亲自到政府户政事务大楼里来 按捺指纹，比较放心，所以这个规定又是一项令人发笑的规定。 六、 为应付7/1完成建构及上线使用指纹系统，开标到完工过於草率。 5/20完成并公告RFP(最後的规格书)，6/3开标，6/7签约，6/23教育训练完成，7/1前 上线使用，试想，全台有多少个户政事务所，要在短短二十几天完成架设指纹机，及 训练使用，这是件不可能的任务，行事太过草率，官员们只想应付完工，其责任心十 分不可取。 此次指纹资料库规划，将使未来指纹个人认证服务变成不可行（这次建立的指纹资料 库，未来会变成不能使用或必须重建）。国内的指纹技术相当的成熟，不亚於国外厂 商，例如星友，汉群，慧盛，祥群，数通，七友等，他们都已成立相当久的时间，有 十分成熟的安全机制及辨识技术。 台湾的官员们在选择厂商时，第一步却是先将国内厂商封杀，反观日韩国家为了国家 发展，大多数的国家工程皆由国内厂商优先，何况这种牵涉国家安全机制的工程。公 告规格是那样的草率，那麽得不合乎国际标准。以上六点问题，每一点都是此项政策 的大漏洞，其兹事体大，关系到我们国家的安全机制，不可轻忽。台湾的民众呀，你 能置之不理吗？这将严重影响我们生活，趁我们还能解决问题的时候正视它，若到了 真的问题爆发时，我们後悔也来不及了！ 注1: 文章原始资料请见: http://www.pku-ht.com/news/jb/jbd132.htm --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 140.119.194.74 ※ 编辑: Llocalking 来自: 140.119.194.74 (05/17 08:52)