昨日立法會保安事務委員會會議中,有關官員向立法會議員解釋新一代智能身份證所使用的新技術,不過天恩相信各位 unwire 讀者所關心有兩個大方向,第一是保安問題,私隱會否外洩;第二是會否被「無線監控」,就這個問題我們訪問了昨天在會議中的莫乃光議員
有議員指 RFID 身份證明文件在外國已經在使用,不必太擔心保安問題。不過莫乃光議員接受我們 unwire 訪問時回應,保安漏洞不一定是系統層面,中間的人手機制如何去管理系統是同樣的重要。他做資料搜集時發現,外國有保安專家對其系統批評有潛在的漏洞,例如解密 key 太易猜中又或是重覆地使用同一組密碼,是管理上的疏忽所做成,可惜昨日的文件實在太粗疏,讓我們很難去評估整套系統是否安全,新科技當中必需涉及很多技術文件,解釋清楚整個規格才能有效評估風險所在。
他個人偏向對系統本身的保安比較有信心,他指出昨日有議員提問系統是否 100% 安全,其實電腦系統很難說百份百安全不能破解,我們只能說在現時的科技下,如果解密時間超過某一個年期,則被評為可信而已。
很多巿民擔心在運動後,突然提起更換新智能身分證的方案有監控之嫌。莫乃光議員笑說他亦十分明白,不過話分兩頭,如果大家今天仍是用最傳統的身分證當然是沒有必要去更換,一旦涉及科技的話就是一條「update」之路。隨著科技不斷的進步,舊的東西會被淘汰。例如智能身份證上的晶片開始減產、背後系統支援慢慢減少。根據政府公報的數據,缺乏支援下資訊保安的問題越來越嚴重,是有更換的需要。但是否有必要「一刀切」形式更換?又或是可作部份升級,這個需要政府提供更多的資料才能作進一步評估。
保安局昨解釋身份證被遙距讀取是不可能發生,因為必需要通過光學讀咭儀把身份證內的 RFID 模組打開,這個光學儀必需要好像 scanner 一樣於 2cm 範圍內讀取身份上的特別符號轉化成解碼 code 才第打開第一道門
這個說法當日 unwire 已經為讀者解釋過一遍,不過當時有讀者回應這個保安層面只限於一般巿民大眾,假若政府擁有一條「萬用 key」甚至拿著全港 HKID 擁有的密碼庫,理論上可以無線地直接把第一度門的 KEY推到身份證上解鎖,再啟動第二度門 (RFID) 直接實現「遙距」抄牌。
莫乃光指他偏向不相信這個「萬用Key」的說法,如果這條萬用Key不小心流出,會是非常嚴重的災難,理論上保安系統不容許這麼「兒戲」。
第二是身份證又有電池, 單靠裡面小小的天線圈物理上的極限,他不太相信隨意就可以在幾百米外掃到咭裡的資料。反為他關心一個問題,若果巿民到圖書館租書或是其他政府機構在掃瞄身份證時候,中間打開了第一道門後,站在附近的人是否可以入侵到咭內取得資料。
巿民有任何擔心可以向政府提出,政府亦有負責去解釋清楚讓巿民消除疑慮。不過莫乃光指他們亦要合理地去分析並收窄假設範圍才能讓事情實行。現行階段沒有一個實物或任何 vendor 可詳細落實咭內所有的保安技術規格的話,很多假設都不能夠被評估或進行任何的測試