也说关于二代证的“缺陷”

花满蹊

换卡的前奏？

wilde.1

作为当年该芯片项目的参与者，面对朋友们的提问，

膜拜啊
楼主是那四家中的哪一家？
请问这个芯片真的过了eal4+吗？我指的是真正意义的eal4+欧洲的那种。

corball

如何使智能卡更安全_白皮书_ZH_20120409_URFSEC.pdf (1.76 MB, 下载次数: 27 )

2013-8-20 09:05 上传

点击文件名下载附件
智能卡安全白皮书-中文

大唐微电子技术有限公司。二代证芯片采用非公开的、专用的安全算法（四家设计公司都不知道，第三方的黑盒），至少这个设计理念不符合CC，因此，没有可能去做EAL的。
有关EAL和CC的说明见前面的答复。这里我再贴一个我们翻译的有关智能卡的白皮书（智能卡联盟出品），仅供参考。

daniechen

技术始终是为人服务的！二代证确实是带给我们很多便利，我能切身感受的就是网上订票带来的便利，这种便利的关键因素就是二代证的普及。
关于二代证有关部门不作为的情况确实是很普及的，我也有切身的感受。我在老家派出所办的身份证，然后别人拿着是我的户口页也在派出所办了身份证，奇葩的是并且成功了，按道理说派出所肯定有存根和档案在那，再办证有关部门肯定是知道的，一看档案，明显两人的模样不一样。居然无作为，后来我才发现的这件事情。
这根本不是二代证的安全缺陷问题，无论哪个技术随着技术、时间的发展，肯定是要面临各种不适的窘况，只是当中有关部门能够切身的负责才是重要之道。

qiuqiuzizi

有关部门。。

ustcwangl

回复 1# corball


   这个我说话应该很有发言权。
我就丢过一次身份证，补办后，丢过的身份证又找到了。于是我有了2个身份证，2个都能够用。

corball

嗯。这是一个系统工程。两个证都能用，说明查证的系统没有联网，或者联网的数据库不包含着这些信息。有做SIM卡的，也会将自己的手机卡克隆一个。想用那个卡，就用那个，这倒不影响缴费；在人员识别方面也这个样子的确有些不严肃。哎，这事情做的，还想做百年大计？

walterzeng

应该一次性把问题想清楚

sinbad

有很多安全问题需要靠严格地执行法律来保证。

corball

根据收集的信息、反馈，总结如下：从科技文献综述来看，当前的人身身份识别有三种手段：一是密码，用户知道某个密码、口令或者和帐号关联的密码；二是用户持有用于身份识别的物理介质，比如员工卡（智能卡）、U Key；三是用户的生物学特征，比如指纹、视网膜、人脸等等。这三种方式中，智能卡可以结合密码，比如说银行卡加密码的方式；智能卡也可以结合生物学特征，比如单位员工卡加指纹机考勤。在公民的身份识别中使用指纹识别，从技术层面，指纹特征具有唯一性、稳定性、采集方便、算法相对成熟；但是从法理成面，指纹图像属于个人隐私，国家指定的机构在获得授权的前提下使用是不存在问题的，但是扩大到银行、宾馆、车站，这就存在风险。
就二代身份证使用，获取和存储在二代证芯片上的指纹，不存在法理（据报道，相关法规已修改）。
我们再回到技术层面。当前指纹识别有两个模式：一是1：1的对比模式，换句话说，要使用到二代证卡内存储的先验的指纹信息；二是1：N对比模式，这种模式下，是要和本地或者远程的指纹数据比对。
第一种方案，既然有网友讲本地派出所系统公然造假，放不放指纹无所谓，如果要造假，无非不过增加一个本地采集的假指纹信息。这种“假的”合法证件不是靠当前的技术所能解决的。
第二种方案，不用说12亿人，目前能够实用的，N应该在5000左右。从亿万人中在几秒钟内匹配出指纹，那是好莱坞的电影。
到这里，我们在技术层面和网友们讨论，而将结论留给阅读者。