[uforum] 指紋資料庫的建置潛藏著無限的危機 清華大學　電機所博士班三年級 施皇嘉 http://uforum.enjoy-style.net/modules/newschina/article.php?storyid=28 指紋資料庫建立是百年大計，政府應慎重規劃，廣納專家意見，不要急就章，建立 一個新包袱。七月一日換發新身份證的同時，也是我們國家安全淪陷的一天。 今年七月一日起將全面換發新身份證，屆時依法須按捺指紋。行政院長謝長廷已核 定動支第二預備金一億兩千一百四十萬九千五百元，購買活體掃瞄收錄相關設備。 包括初領、補發、換發身份證的民眾，必須按捺指紋。為確保民眾權益，政府將建 立全國指紋資料庫保存，依據「個人資料保護法」規定，除非特定情況，警方不能 使用指紋資料。看來是一個平凡無奇的台灣政策執行，背後卻潛藏著無限的危機， 政府官員看不到，你能視若無睹嗎？ 聽到指紋這個名詞，一般民眾第一個反應就是怕被盜用，害怕指紋資料落入有心人 士手中從事不法的勾當。但是你們可曾想過，你們的身份證影本有多少副本流落在 外嗎？個人的私密資料早就留傳在世界的某個角落，所以，最可能被盜用的其實不 是指紋資料，而是能夠完全代表你的身份證影本。況且，若想取得某一個人的指紋 並非不能，你曾拿過的筆，曾經在某間咖啡館拿過的咖啡杯，曾經拿過的公用話筒 ，曾經握過的公車或捷運握把。你的指紋真的無所不在，但是指紋卻是一樣能夠讓 我們生活更為便利的一樣生物資訊，它只是一個能夠提供辨識身份之用的特徵。 現有的伺服器指紋資料庫所儲存的是指紋特徵檔，而非指紋本身，而且是一個僅能 提供輸入，不能提供輸出功能的伺服器，故絕無資料外洩之虞，若再施以加密處理 ，網路駭客可能必需使用超級電腦不停地執行攻擊數十年甚至數百年的時間才能夠 提取到無實質價值的指紋特徵檔，卻無法使用及將某人的指紋重建，這似乎是件無 義意的事。所以，留下指紋並沒有想像中的可怕。 但是，可怕的卻是國家政策的大漏洞，不僅準備將採用敵人的技術所研發出來的指 紋機做為我們存取指紋資料輸入機器，更不該的是將指紋定義規格開放給廠商自訂 卻捨棄國際共同的標準，這是一項十分重大的缺失。我將一一陳述： 一、 大陸人士的技術將變成我們即將要採購的指紋系統的技術供應者。 警政所用的指紋系統第一期採購是買NEC的機器，第二期是買Cogent公司的機器，而 Cogent的核心技術研發團隊就是由中國大陸北大的一群人弄出來的技術，Cogent的 創辦人叫做謝明，大陸華裔，也就是說Cogent這間公司是由中共技術+中國華裔美籍 資金(謝明..等人)弄起來的，這些內幕可以從北大高科的一篇文章[註1]可以看出端 倪，北大的石青雲院士所講述的指紋發展史，文中明確說到，Cogent的核心技術是 他們的，這是無庸致疑的，而我們卻準備要把台灣人的指紋資料庫交給與我們敵人 的公司管理，其後果，可想而知，是不是我們指紋資料庫建立同時，中國公安部馬 上就有一份備份。 二、 規格過於鬆散將導致被國外家廠商獨佔我們的指紋系統運作。 國際指紋定義的標準乃採用標準化的特徵檔（特徵點）, 任何廠商都可提供標準的 特徵點，符合資料具有互換性的基本原則！這次內政部的指紋發包工程規格中沒指 定使用國際共同標準的指紋特徵點(192Bytes)，開放給廠商自訂，這是非常嚴重的 缺失。未來若真的使用了某一家的國外指紋系統廠的指紋系統，而他們一定會採用 自行研發的定義檔，而非國際指紋定義，如此會導致被對方的系統吃死，任何用到 他們指紋定義或比對的軟體及硬體架構來做電子認證服務的時機時，他們絕對會向 我們索取高額的權利金，因為我們用了他們的專利，屆時他們絕對會予取予求，我 們的經濟將雪上加霜，比方在銀行開戶登錄比對指紋時，所有銀行使用的指紋系統 必須與N公司特徵匹配，就必須全部採用N公司的設備，否則會侵犯N公司專利．若不 付出高額的權利金，我們將不能使用他們的系統做指紋電子認證系統。 三、 指紋定義檔過大會造成連線系統全台當機，網路駭客因此有可趁之機。 規格過於鬆散的另一個大漏洞是，規格上沒有明確地規定指紋定義檔的標準，得標 廠商將會使用自己的定義規格，不隨著國際標準(ISO19794-2及指紋影像檔)走，其 定義檔大小會比原始的國際標準的192Bytes大，例如日商NEC公司的指紋特徵是 2000Bytes，為NEC公司獨自使用的特徵，因為他們加入了指紋特徵的關係描述。 假設我們真的使用了NEC的比對技術在Server端的話，Client端只有兩條路可以選， 一種就是也買NEC的指紋機+特徵抽取軟體，如此，從頭至尾我們的指紋系統都由NEC 包辦，我們會被吃定了，另一種是傳指紋影像到Server，在Server端作特徵抽取， 這一種方法資料量大，而且Server端的計算量負擔太重，這絕非提升網路速度能夠 彌補的缺失，屆時Server應付不來，全台灣電子認證系統大當機「盛況」可期，而 此時，網路駭客更可以不費吹灰之力，也不需費神費時丟垃圾封包到Server端，就 可以期待它的三天兩頭大當機。 四、 捨棄國際標準之按捺食指指紋而用拇指指紋建檔，原因是拇指的使用率比較高。 先進國家皆使用食指指紋做為電子認證系統的建檔標準，如我們入境美國時都是按捺 食指指紋，這是國際的趨勢，而我國內政部卻因為拇指的使用率比較高，而採用按捺 拇指指紋做為建檔的標準，這是不合乎國際定義的規定，況且，拇指指紋在國內通行 太久了，也許在台灣某個角落留有你的指紋。所以我們應該跟隨國際的腳步，使用食 指指紋來做建檔。 五、 指紋機規定不可另外使用電源，而欲採購筆記型電腦取代ＰＣ。 指紋機必須直接由NoteBook供電,而不能另外插電源，但是NoteBook本身其實也是需 要插電的，不然也只能撐兩三小時，既然有電源又規定指紋機不能另外接電源這個規 定不太合理，內政部的考量是可攜性的需求，要把NoteBook跟指紋機一起帶出去採集 指紋，但這種時機似乎微乎其微，況且一般民眾還是會親自到政府戶政事務大樓裡來 按捺指紋，比較放心，所以這個規定又是一項令人發笑的規定。 六、 為應付7/1完成建構及上線使用指紋系統，開標到完工過於草率。 5/20完成並公告RFP(最後的規格書)，6/3開標，6/7簽約，6/23教育訓練完成，7/1前 上線使用，試想，全台有多少個戶政事務所，要在短短二十幾天完成架設指紋機，及 訓練使用，這是件不可能的任務，行事太過草率，官員們只想應付完工，其責任心十 分不可取。 此次指紋資料庫規劃，將使未來指紋個人認證服務變成不可行（這次建立的指紋資料 庫，未來會變成不能使用或必須重建）。國內的指紋技術相當的成熟，不亞於國外廠 商，例如星友，漢群，慧盛，祥群，數通，七友等，他們都已成立相當久的時間，有 十分成熟的安全機制及辨識技術。 台灣的官員們在選擇廠商時，第一步卻是先將國內廠商封殺，反觀日韓國家為了國家 發展，大多數的國家工程皆由國內廠商優先，何況這種牽涉國家安全機制的工程。公 告規格是那樣的草率，那麼得不合乎國際標準。以上六點問題，每一點都是此項政策 的大漏洞，其茲事體大，關係到我們國家的安全機制，不可輕忽。台灣的民眾呀，你 能置之不理嗎？這將嚴重影響我們生活，趁我們還能解決問題的時候正視它，若到了 真的問題爆發時，我們後悔也來不及了！ 註1: 文章原始資料請見: http://www.pku-ht.com/news/jb/jbd132.htm --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.119.194.74 ※ 編輯: Llocalking 來自: 140.119.194.74 (05/17 08:52)