——深圳達實智能產品事業部總經理張少華第十屆峰會安防專場演講

深圳達實智能股份有限公司產品事業部總經理張少華

　　今年年初以來，Mifare 1芯片被破解的消息震驚了整個IC卡行業。而Mifare卡在我國擁有大量的用戶，多個行業在使用。達實智能作為行業領先的建筑智能化和建筑節能服務商，已獲得“智能卡一卡一密方法”等多項國家專利。深圳達實智能股份有限公司產品事業部總經理張少華帶來的演講主題是《在mifare I 卡破解危機下門禁一卡通系統的發展探討》。張總得出兩個結論，第一是mifarel卡曾經領導了非接觸是IC卡的革命，由于其獨特的優點，被人們廣泛的使用。第二是mifarel卡的安全性問題，要從技術和市場的角度理性地看待。

以下是張少華先生演講的現場實錄：

　　張少華：今天很高興有這個機會跟大家交流一下mifarel卡的破解危機，包括我們一卡通的發展。我自己先做了十多年的弱電子集成，后來在06年的時候在這家公司負責產品的業務，我們產品的核心就是這個門禁一卡通的產品。大家都知道，其實今年對于門禁行業，因為門禁作為安防的一個組成部分，它也得到了越來越多的發展。但是，今年可能關于門禁行業，大家提到的一個可能最多的問題就是關于mifarel卡破解的危機。這個危機最初出現了，我們也是從客戶那里得來的，因為我們的客戶有政府機關，有軍校等等各種各樣的。到了今年元月，各種各樣的這種信息就反饋到我們這里。總的下來，就是09年初國家相關部門發布了《關于做好應對部分IC卡出現嚴重安全漏洞的通知》，這個文件寫的很清楚，安全部門已經開展了對IC卡使用情況的調查及應對工作。首先指出，由于國外mifarel卡芯片的密碼算法已經被破解，我國采取了該芯片非接觸IC卡系統的安全受到嚴重威脅。這個話說的很重，但是在具體用戶當中，體現也會各種各樣的。第一個就是要上門禁的，現在猶豫了，到底能不能上。第二個，已經上了門禁的，有mifarel卡的，是不是把這個系統都停掉。據我了解是有這樣做的客戶，具體就不說了，他為了安全起見，已經有了門禁系統的場合又額外加了一把機械鎖，除了原有的門禁系統之外，是把門禁系統停掉加一個機械設備。在這個文件下面還提出一個新的要求，對已經建設運行不符合要求的重要IC卡系統，各系統主管部門和運行單位要對密碼方案進行升級改造，對正在建設和擬建設的中藥IC卡系統方案，要使用國產密碼產品和密碼算法。這又有很多故事出來了，比如說到底什么是國產的產品？是不是國產的產品一定就是安全的？等等這樣一些各種想法都會出來，包括密碼算法。應該說這個事情還是引起了市場的一片恐慌，這中間包括了用戶，包括了集成商，包括了芯片廠家，這種事情還是真的很嚴重。我們在今年年初，一個是我們自己搜集一些資料；還有一個很重要的，我們跟原來飛利浦這邊，在1月份就跟暗地里做了聯系，他們的反映還是非常快的，過了春節之后，全球的AFC，就是整個IC卡事業部的總經經理就代表中國公司的經理，包括產品經理到我們公司做了一些技術交流，做了這些交流之后，我們對mifarel卡本身的問題做了更多的了解，同時我們也跟不同的客戶做交流，包括我們在網上也搜集了一些資料，也看到了這個危機本身的實質。

    1、我們看看它的危機到底是怎么樣一個情況呢？應該說這個事情在2008年下旬實際上已經出現了這樣一個問題，當初MXP起訴了荷蘭的Radboud大學，該大學是成功破解了這種IC卡系統且計劃把研究結果刊登在當年的技術雜志上，這個事情還是很嚴重的。這所大學的博士演示了如何免費乘坐倫敦的公交系統，他與其乘客擦肩而過，利用筆記本和IC卡資料收集裝置成功的科隆了使用mifarel的OYSTER交通卡。還有在2008年8月11日，美國麻省理工學院的3名學生成功破解了波士頓地鐵乘車卡的密碼，他們打算在博城拉斯維加斯的黑客大會上與“同行”分享如何免費乘坐地鐵的心得。但波士頓市捷運公司先發制人，成功取得了法院禁令組織他們這樣做。據報道，09年的時候，德國的一位研究員和弗吉尼亞大學計算機科學在讀博士卡爾斯騰諾爾宣稱，他們成功地破解了MXP的母片安全算法。找到了MXP的mifarel卡算法，有一個運算處理單元。在顯微鏡下面發現了密碼處理器單元的算法，運輸的原理，從這個原理上得到了一些密碼。這確實是一個很嚴重的情況，但是碰到這些事情，我最開始也提到了，政府也發令了。因為本身這個mifarel卡并不是MXP一家在生產，還有西門子等等都在生產，據MXP的統計，世界上的70%客戶在用mifarel卡，我們怎么去看待這個事情呢？這個事情差不多經歷了一年了，我們在這方面還是做一些研究，這里還是跟大家做一些分享。

    2、我們如何來面對mifarel卡的破解危機，要想理解這個破解危機，可以說我們首先還是了解一下IC的基本安全原理，通過對它們這些知識的了解，可能會對我們如何面臨這個破解危機有一個比較好的幫助。我們一般用的IC卡其實是很多的，按照讀寫的方式就是這三種的，接觸式的和非接觸方式的，還有一種是雙界面的，我們用的手機卡就是接觸方式的，而我們乘坐公交車的就是非接觸式的，在國內的雙界面的卡是在大連的公交車上。我記得是04年的時候，那時候是非常非常早，大連的公交車就采取了所謂雙界面的。什么叫雙界面呢？就是說有兩種讀寫方式，可以接觸式，也可以非接觸式，兩種都有。這是從讀寫方式上看有這三種方式。