M1卡有风险 城市IC卡系统升级刻不容缓

cs84

近日，有关媒体报道出浙江平湖公交M1卡被恶意充值一事，一时之间 ，网络上众说纷纭。M1卡为何轻易被破解？卡片被破解是密钥体系的问题吗？住建部为何积极倡导推行CPU卡？……住房和城乡建设部IC卡应用服务中心作为IC卡领域的主管部门，现将相关事实陈述如下，以正视听。
# z2 l& N4 K1 q+ v6 q9 Y( l
8 q/ U( f% l& J9 O2 X      M1卡的历史成因
( s, }; W; Z4 s2 x" l3 H/ E8 p6 w. z      从1999年到现在，全国有160多个城市按照住建部的相关标准建立不同规模的IC卡体系。由于历史遗留因素，早期的IC卡大部分都是M1卡（逻辑加密卡）。截止目前，全国住房城乡建设领域发卡总量4.2亿张，其中是MI卡占比76%。住建部自2008年开始推行CPU卡，目前全国发卡约为1亿张。从全国已经建立IC卡系统的160多个城市中看，发行CPU卡的城市数量大约60个，占比近40%。
3 \7 x  _4 u$ V. Z- E; E
      M1卡被破解与密钥系统无关
      M1卡是利用PVC封装M1芯片、感应天线，然后压制成型后而制作的卡即是我们所说的M1卡，属于非接触式IC卡，其加密采用的是流密码算法，这种算法本身存在着缺陷。众所周知，早在2008年，德国研究员亨里克•普洛茨和弗吉尼亚大学计算机科学在读博士卡尔斯滕•诺尔成功地破解了M1卡的安全算法。这件事情在全球掀起轩然大波，这意味着全球多达10亿张安全卡中所使用的一项技术可轻易破解。而我国住建领域的3亿张卡在其中占了很大的比例，引起了我国相关部门的高度重视。一方面，住建领域加大了从M1卡到CPU卡过渡的相关政策，要求“城市通卡行业在一定的时间阶段完成升级改造”；另一方面，组织专家进行论证，通过技术分析得出“卡片的破解与密钥管理体系并无直接关系”，而是M1卡的逻辑加密算法本身存在着一些漏洞，这也是M1卡的安全隐患。

      国家级安全密钥体系
      目前住建部所推行的“城市一卡通密钥管理系统”是国家级的安全密钥体系，是符合国家密码安全要求的密钥系统，2009年通过国家密码管理局组织的专家鉴定，其防攻击性、防破坏性级别均达到世界领先水平。目前在全国160多个城市成功安装使用。在此系统下所发的CPU卡在安全性能上远远高于M1卡，是目前IC卡领域安全性能最好的。根据国家有关部门对于加强公众信息安全的要求，2013年年底，部IC卡中心发布了《关于采取若干措施促进城市一卡通系统升级及加快CPU卡替换M1卡的通知》，明确提出2018年底全面停止M1卡的相关技术支持和服务。
+ U% n  X4 T7 K) ~1 r" ]" t
2 b# u6 Y7 N* A0 G7 P  H      总之，M1卡的风险和漏洞确实存在，此次平湖交通卡被恶意充值案例之前已有城市出现类似情况，给城市通卡公司带来一定的资金风险和安全漏洞，因此城市IC卡系统的升级换代刻不容缓。

東海三山

密钥体系是否容易破那是公交公司的事，反正我一直在用MI卡，没什么问题。。
# C( ?7 X8 h7 A# q

cs84

据说常熟绝大部换成CUP卡后M1将停用

cs84

2013年年底，部IC卡中心发布了《关于采取若干措施促进城市一卡通系统升级及加快CPU卡替换M1卡的通知》，明确提出2018年底全面停止M1卡的相关技术支持和服务。

plauty

東海三山 发表于 2014-8-15 17:46
# i5 k7 H- S. I6 n; P" b3 D密钥体系是否容易破那是公交公司的事，反正我一直在用MI卡，没什么问题。。

; E- l3 q/ y+ [$ z1 N7 J有没有问题公交公司说了都不算，目前确实已经被证实之前广泛使用的M1公交卡被成功破解，所以住建部ic卡中心之前早就发文要求各城市发卡机构尽快停用此类卡片升级cpu系统以保障发卡机构和持卡人使用安全。

東海三山

停发m1卡不代表不能伪造出m1 卡，只有机器不支持刷m1卡才能真正安全，这意味着m 1互通城市卡也将停用。

plauty

東海三山 发表于 2018-9-29 19:57
停发m1卡不代表不能伪造出m1 卡，只有机器不支持刷m1卡才能真正安全，这意味着m 1互通城市卡也将停用。

% x' P+ w9 c6 Y6 b0 J, T) N" _6 ^% x关于这个住建部也已经发文要求各地城市一卡通公司停用原有的M1系统，刷卡机具内的M1系统必须设置有效期限（不晚于2018年12月31日）强制停用。

plauty

所以我不知道常运信息化有限公司是否已经知晓这件事，难道一定要拖到最后期限才停用？

cs84

应该要的，之前发CPU卡时新闻里提过