CPU卡VS MIFARE卡,誰將成為C卡應用主流?

時至今日, Mifare one被破解的事情已經過去了兩年,在這期間,我們擔心的最壞的事情並沒有發生,一方面,社會上並沒有出現已經發行的Mifare one卡被破解,出現大量非法使用或者牟利行為。

另一個方面,基於Mifare one的系統,大部分還在繼續發行Mifare one,從表面上看並沒有受到太多的影響。市場沒有立即發生翻天覆地的變化,Mifare one也沒有像過街老鼠一樣人人喊打,被無情的拋棄。

傳聞在電子市場或者網上就能買到對Mifare 進行破解的軟件以及硬件程序,如果再有一定的技術基礎和對Mifare one的了解,修改以及複製卡片不是一件很困難的事情。但是為什麼沒有出現大量的類似行為呢?究其原因,一方面Mifare one所用的領域大部分都是封閉的領域,比如校園卡,欺詐行為很快就能定位到具體人員。有的是城市通卡系統,修改以後做不了幾回車就會被黑名單鎖定。大部分系統都設置了卡片內錢包最高金額限制和每次交易最高金額的限制。總之,就算能夠修改,其獲利空間有限,而違法成本太高。在民法中,明確規定不正當得利行為的定義與懲罰。

對於系統運營商,大部分在規劃考慮系統升級到CPU卡的同時,還再繼續發行Mifare,這也是不得不為之的行為。國家多個部委及管理機構介入並對Mifare one的問題出具了意見,意圖藉此機會將這部分納入國家安全標準與國內產業中,並且組織標準化工作,組織相關的廠家提出完善的解決方案、技術手段以及產品規劃。但主要的問題是標準滯後、技術滯後,產品就更是滯後了。從而,在既對Mifare的升級提出了要求,又在短期內無力推動市場的改變的情況下。少數具備技術能力、選型能力的系統,在做好充分準備的情況下,獨自進行了CPU卡的升級,大多數的系統還在等待和觀望中,等着恰當的產品的推出與完善。

 所以,兩年的時間,對於一個被廣泛應用了超過10年的事實標準的產品而言,退出市場被取而代之,還是太短了。而且,在某些領域,還具有一定頑強的生命力。

如果不用Mifare又能用什麼呢?這是一個比較大的話題,有很多種技術、產品以及標準可以被選擇。很多領域與區域,尤其在國際市場內,藉助其深厚的用戶關係與市場基礎,加上成功的危機處理。,NXP成功的將用戶的需求導向到Mifare DESFire,DESFire可以被看作一個智能卡,只不過和我們傳統意義上理解的智能卡還有一定的區別。系統如果是從Mifare one升級到Mifare DESFire,其設備的軟硬件、發行與後台處理系統都要隨之改變。

在中國國內,從Mifare one向CPU卡升級的趨勢已經成為定局,使用射頻卡片數量最大的城市通卡領域,新的系統招標幾乎全是採用CPU卡,校園卡應用由於其封閉的環境,醞釀升級到CPU卡的步伐走的比較緩慢,也不是那麼迫切。
全球交通卡行業,發行CPU卡的數量從2008年的3千萬片,增長到2009年的4千萬,預計2010年的CPU卡發行數量會超過5千萬,其份額在飛速增長。

大部分基於非接觸應用的系統,在未來數年內,都會進行系統的升級或者重新建設,這種趨勢可能會有這樣幾個方面的因素影響

首先是國家政策導向和要求,在中國,出於對國家社會經濟環境安全性的保護,國家非常重視信息安全類產品的安全體系,並一直在強調採用中國自有體系的安全技術與產品。商業領域應用的數據安全產品隸屬於國家密碼局管理,Mifare的問題,成為大力推動中國國產安全技術與產品的催化劑,國產芯片以及國產算法的使用將成為非常重要的趨勢之一。當然,這裡也不排除對於中國信息安全類產業的支持與推動,這也無可厚非,沒有這樣的支持與機會,其差距將會越來越大。

因素其二就是技術標準
     Mifare技術是邏輯加密卡技術中的一種,其他的邏輯加密卡產品的市場佔有率非常小。到了CPU的時代,從芯片技術、應用標準、通訊協議等等將會五花八門,各有所長。尤其是在應用標準方面,不同的金融機構、政府機構、區域將會採用各自的應用技術標準,僅僅在非接觸支付方面,Visa有PayWave、新加坡有CEPAS、中國有PBOC以及去PBOC、歐洲有Calypso、韓國有T-Money等等。豐富的選擇,帶來的就是困難的選擇,那些沒有能力建立自己的應用標準與體系的運營商該如何選擇呢?因為這個問題直接影響到下一個話題。

這個話題就是互聯互通,世界已經是平的了,在發卡越來越多的當今,用戶已經強烈希望身上的卡越來越少了,最好是做到城市通卡,譬如在現代城市內生活,每天只需要帶一張卡就能實現日常涉及到的各種支付行為。再譬如區域互通,一個區域發行的非接觸卡能夠在到另外一個城市也能直接用來支付交通費以至於小額購物費。基本要求就是系統之間,能夠支持一個系統發行的卡片在另外一個系統內進行支付。最經濟可行的互聯互通,前提的要求就互通的系統要採用相同的技術標準,相同的應用標準。

最後的一個因素就是安全上的考慮,芯片與COS等安全類產品都有相應的安全認證,最權威的當屬CC認證。如果選擇的芯片通過了CC EAL的認證,尤其是CC EAL4+或者5+的認證,對於其安全性,我們大可放心,有專家幫我們進行評估過了,其安全性將不必擔憂。對於攻擊和破解它的難度,肯定不是我們商業類應用需要擔心的了。但是,通常芯片、COS、設備等等的安全體系設計上,我們會考慮的非常多而且周全,而一個系統的安全性,不僅僅局限於此。要真的是為了獲利,有的是方式能夠達成目標,系統其他方面上的、管理上的漏洞也許更容易,沒有人會費大力氣從技術上做手腳。就看我們在安全策略上,是為了事前避免還是事後取證?

在安防領域,某種程度上其對安全性的要求要高於類似城市通卡、校園卡的領域。一個非接觸門禁控制的門後面,究竟藏着什麼,是無可量化的,和普通的非金接觸支付不同,有可能是一個巨大寶庫?或者是高度機密材料,還是潘多拉的魔盒,能釋放出來魔鬼,能讓社會動蕩,誰也不知道。其帶來危害,有時候遠遠大於用來做電子貨幣的支付應用。

Mifare One是一定會慢慢的退出歷史舞台,CPU卡會快速的得到廣泛應用。對於安全,有時候不僅僅是卡片技術本身,需要考慮的因素更多。

相關文章