金融IC卡安全性再成焦点 芯片国产化已具规模商用条件
近日,美国前防务承包商雇员斯诺登再曝窃密丑闻时提到金雅拓SIM卡,一时间,金融IC卡的安全性引发业内关注。
业内专家2月26日告诉记者,SIM卡和金融IC卡两者对安全的需求不一样,比如从生产过程来说,在个人化数据的传输中,金融IC卡要求敏感密钥信息分段传输,双人或多人控制,同时通过专用线路,全程加密和监控,确保传输过程的安全。从金融IC卡本身而言,目前其技术采用IC卡中的最高安全等级保护,远高于通讯行业使用的IC卡标准。
值得注意的是,近日,国内一款可实现“国密算法”跨行交易的双界面金融IC卡首发,意味着国产金融IC卡芯片已具备规模商用条件。
两类卡安全需求不同
据多家媒体报道,美国“截击”网站19日披露,斯诺登提供的文件显示,美国和英国情报部门用黑客手段侵入芯片制造巨头金雅拓内部系统,盗取了保护手机通信隐私的加密密钥,获得秘密监听和破解手机通信的能力。资料显示,金雅拓同时有金融IC卡业务。那么,窃密事件会不会波及金融IC卡?“首先,二者从根本上的安全需求不一样,毕竟金融IC卡涉及的是最直接的金融账户(钱),SIM卡通常理解是和话费、通讯功能相关,好像一个容器是装水还是装汽油一样,装水保证不露就行,装汽油这个则需要考虑防静电防撞击,这可能就导致了它对卡片本身要求有所差别。”银联技术专家曹宇向《每日经济新闻》记者介绍说。
曹宇表示,“其次,从生产过程来说,金融IC卡和SIM卡最终发卡方是银行和通信运营商,发卡方把卡片的数据(即个人化数据)准备好之后,发给卡商,由卡商进行制卡。在这个传输的过程中有没有被第三方窃取到,这就是一个很关键的问题。如果传输过程中这个信息就被窃取了,则这个信息直接可以做‘伪卡’,直接把卡片复制出来。而在个人化数据的传输中,金融IC卡要求敏感密钥信息分段传输,双人或多人控制,同时通过专用线路,全程加密和监控,确保传输过程的安全。”
曹宇说,从卡片本身来说,也会有安全性要求。金融IC卡使用的底层芯片、芯片上运行的嵌入式软件,都是要通过国内外权威的安全认证的。比如CCEAL4+认证、EMVCo认证以及银联芯片安全认证。通过认证,从技术手段上对IC卡所使用的芯片、所运行的嵌入式软件把关,保证卡片在实际使用过程中是很难被攻破的。
一位金融IC卡专家也向记者表示,安全性还跟算法相关联。金融IC卡一定都是要求芯片底层具备加密运算能力,硬件上必须都要支持。
央行科技司杜宁曾发文称,金融IC卡的高安全性并非“与生俱来”,而是建立在一套完备的安全体系之上。如果这套安全体系设计得不科学、不严密、不合理,金融IC卡安全性就可能会受到影响。
金融IC卡芯片国产化起步
记者从银联方面获得的数据显示,2014年,金融IC卡发卡量同比翻倍,截至目前,已累计超过10亿张;2014年,其交易量达6.2万亿元,是上一年的4.8倍,而在刚刚过去的春节期间(除夕至初六),交易量同比增长250%;同时,除了发卡量迅猛增长,金融IC卡的受理环境也日渐完善。目前,全国ATM机和POS机基本都实现金融IC卡受理,其中支持“闪付”的受理终端400万台。
“金融IC卡的行业应用越来越广泛,各地创新应用不断涌现,覆盖范围超过150个城市。在公共交通、文化教育、医疗卫生、社会保障以及生活服务等众多领域,行业支付解决方案结合各地特色灵活创新,部分地区规模日增,示范效应不断显现。”银联方面人士指出。
上述业内专家也表示,从全球范围看,中国的银行卡芯片化迁移工作推进速度较快,而美国才刚刚启动芯片化迁移。
早在2005年,央行就启动了银行卡产业升级,即由磁条卡向IC卡迁移,虽然发卡量庞大,但由国内厂商研发设计的芯片却没出现在金融IC卡领域。
对此,上述金融IC卡专家指出,金融IC卡产业链中,技术含量最高、附加值最高、利润最丰厚的环节,是在芯片的研发、设计环节。随着各方的合力推进,目前国产芯片进入金融IC卡领域,实现金融信息领域的自主可控与安全可信条件已经成熟。同时,国产密码算法应用的快速推进也利好芯片国产化。
2014年,通过中国银联检测认证的国产芯片已实现销售6700万片。今年2月10日,一款可实现“国密算法”跨行交易的双界面金融IC卡在长沙银行首发,这标志着国产金融IC卡芯片已具备规模商用条件。