设万维读者为首页 广告服务 联系我们 关于万维
简体 繁体 手机版
分类广告
版主:诤友
万维读者网 > 教育学术 > 帖子
违反标准设计的北京地铁收费系统不具备实施阶梯票价的安全技术条件
送交者: 回首百年 2013年05月06日21:41:52 于 [教育学术] 发送悄悄话

2008年运营的北京地铁联网收费系统(ACC)工程项目建设单位,无视

  • 《CJ/T166 建设事业IC卡应用技术》

  • 《ISO/IEC 7816-4 识别卡.有触点的集成电路卡.第4部分:用于交换的行业间信令》

  • 《GB/T16649.4 识别卡 带触点的集成电路卡 第4部分:用于交换的行业间命令》

  • 《JR/T 0025.1-2005 中国金融集成电路(IC)卡规范》

等国内外标准中明确规定,被业界奉为圭臬的MAC实现技术(国家标准算法,放任国外集成商为北京联网收费系统自行设计了核心安全算法(以下简称北京地铁算法)。这种画蛇添足的作法不仅推高建设成本,更因仓促上马,缺乏严谨论证,直接导致了北京地铁收费系统安全机制的失效。现场试验已经证实:使用简单的逆向CRC技术即可突破当前系统的安全防伪机制

       1999上海开通第一条自动售检票(AFC)系统以降,国内地铁行业成功走出了一条由全套进口到基本国产化的快速发展之路。随着设备、系统的消化吸收,国内集成商技术发展很快,AFC专业很早就摆脱了依赖外国核心技术的尴尬。国家有关部委适时颁布了涉及AFC系统建设资质、技术规范等方面的标准规定,促进了国内AFC产业的健康发展;住建部颁布实施的关于AFC技术尤其是核心安全技术的标准,标志着国内厂商拥有了AFC领域关键技术的知识产权;随着国产化条件的成熟,地铁售检票系统建设基本执行涉密资质企业认证制度,只有取得相应资质的企业才能从事AFC系统集成、监理工作,使得工程质量有了进一步的保障。

在上述产业政策规范下,内地AFC市场逐渐走向成熟十几年来由具备涉密资质的厂商成功实施AFC系统的案例已经不胜枚举,售检票系统业已成为技术稳定、基本实现国产化的地铁专业之一。与北京建设时期接近并采用类似硬件的深圳地铁收费系统,工程相关各方均严格依据《建设事业IC卡应用技术》规定,按照《中国金融集成电路卡规范》—数据分组、结果反馈、异或输入加密的标准MAC生成方法构建的地铁检售票系统,一直采用计程票制安全稳定运营北京地铁收费系统的问题,决不是引进高科技失误,需缴学费弥补那么简单


       2010年初,整理北京地铁联网收费系统工程竣工资料发现竣工文件中既没有政府主管部门同意本工程采用非国家标准技术的批复,也没有该非标技术—北京地铁算法”的检测合格证书。众所周知,工程设计/施工均需遵循国家标准,万不得已采用非标准技术,全面技术论证、专家评审直至最终上报主管机关批准等工作程序是工程开工的先决条件。MAC算法作为AFC系统的核心技术,在兄弟城市均采用公开、免费MAC国家标准算法的大环境下,本工程特立独行使用的“北京地铁算法不仅与国标大相径庭,而且也从未见诸文献记载。有关人员本该
外国公司设计MAC算法的合法性与可用性综合考量、慎重决策:即使不上报政府主管部门批准,至少也应该提交权威机构检测并取得合格证书后,才可能工程应
用。但是在北京地铁联网收费系统建设过程中,竟能在没有任何必要性材料支持以及主管委办批准的情况下,将自行设计的算法用于系统建设;
在承建方无法提供系统核心算法安全证明文件的情况下,竟然完成竣工验收并投入了运营。应该说,各方如没有对“北京地铁算法”的无比信心,是不可能以自己的名誉作赌注,采取上述可能有违工程规范的作法来确保“北京地铁算法”的工程应用。但令人奇怪的是:工程各方对该算法的强度却均讳莫如深,以致竣工资料中完全没有收录有关“北京地铁算法”任何研究、证明材料。凡此种种促使我
独立开展了“北京地铁算法”的研究。在成功找到算法弱点并构造了CRC逆向算法后,不仅理论上证明“北京地铁算法强度不足可以简单破解,根本不能用作数字签名使用(详见《卡技术与安全》2010年10月刊—"轨道交通收费系统非接触芯片风险研究"); 而且随后实地测试进一步证实:使用该逆算法可以攻破北京地铁收费系统防伪机制,现有的安全设计已经完全失效。(见下图:未使用系统SAM卡,仅使用通用读 卡器,利用CRC逆算法,即可更改现有运营2元单程票卡的金额、种类、时间等关键信息后正常使用,由此证明系统安全体制设计的失败。)

      2010年4月,鉴于之前工作中反映系统存在的质量问题后相关部门敷衍了事,由于事态严重,我决定直接向主要领导MAC算法在内的数处工程问题进行书面反映,希望引起政府对现有收费系统安全问题的重视。得到的回复却完全不得要领:“从来没有绝对安全的系统,北京也不例外;由于MAC算法乃是核心安全技术,旁人不可能掌握;况且北京实施的2元一票制没有利差,破解没有收益,因此不值得大惊小怪;未来公司会加强技术管理工作,将缺陷算法控制在核心人群范围内;建立和完善安全保密制度,惩处泄漏系统数据结构、安全算法者的责任;从管理上杜绝缺陷算法外泄对收费系统的威胁.......”为了北京地铁收费系统的长远发展,我还是建言:尽早依照标准MAC算法修正现有系统问题,是弥补当前收费系统北京地铁算法漏洞唯一的技术选择。北京地铁不可能永远单一票制,当收费体制出现任何价差时(计程阶梯票价),由于使用便携读卡器(如内置NFC功能的手机)通过北京地铁算法漏洞可将低值车票改为高值车票,轻易达成获利的目的—随时可能引起系统计费混乱乃至运营事故。因此存在严重计费漏洞的当前北京地铁收费系统不可能支撑计程票制的长期、稳定运营。亡羊补牢,时尤未晚,衷心希望公司领导能够勇于纠正收费系统工程阶段的设计失误,对违反标准的技术迅速整改,防止漏洞算法蔓延到新建地铁线路中,给首都交通事业带来难以挽回的损失

    

      2010年7月,北京市技监局公布了《轨道交通联网收费系统标准(征求意见稿)》,并可从其网站全文下载。令人震惊的是:文中包含着北京联网收费系统MAC算法北京地铁算法、票卡结构、数据定义等几乎全部的技术资料显然有些编制人员违反了自己制定的票务系统核心安全技术保密措施”,主动提供了系统核心技术文件用于标准编制随着这起荒唐的泄密事件发生,任何人均可能通过阅读《标准》,继而发现系统算法漏洞轻易实现对北京地铁收费系统攻击北京地铁收费系统安全漏洞的性质随之发生了根本的改变:算法理论漏洞演变成现实中致命的安全隐患。至此,北京地铁收费系统失去了最后的安全藩障,甚至波及现有收费体制的运转......(理论上

       2010年4月发现问题至今,我已经十数次将上述问题逐级向各部门进行反映,反复陈述利害,并陆续提交了内测样卡、测试记录、系统风险分析以及算法修正建议等资料。时间过去三年,存在多处重大质量缺陷的北京联网收费系统安全状况
仅没有改善,而且变得更加危险......系统负责人员向社会主动公开MAC算法与票卡数据结构,使得理论存在的隐忧成为现实中致命的安全威胁,攻击现有
系统变得轻而易举,并影响到了既有(机场线)收费系统的运营安全;坐失系统二期升级工程,自行修补算法漏洞的最好补救时机;十数条新建线路使用违反国家标
准的北京地铁算法自动售检票系统的开通运营,不仅令国家标准再度蒙羞,而且大大加剧运营商经营风险及潜在改建成本。当前系统如果贸然开通计程或其它复杂票种,由于“北京地铁算法”的公开,可以预计,以谋利为目的针对现有系统攻击将很快出现。这不仅会造成路网计费系统的混乱和崩溃,而且将会给首都公共交通政策造成难以挽回的影响。为防止出现这种极端状况,我只好将北京地铁收费系统存在的安全隐患在网络媒体上予以揭示

       为教训,今后地铁收费项目的设计、施工、监理单位均应严格遵循国家相关标准;主管部门也应加强地方标准的质量管理工作,避免《轨道交通联网收费系统标准(征求意见稿)》中重大漏洞算法的出现

可以根据上述标准的相关资料,将普通二元单程票,改成二十五元的机场线车票。)

0%(0)
0%(0)
标 题 (必选项):
内 容 (选填项):
实用资讯
回国机票$360起 | 商务舱省$200 | 全球最佳航空公司出炉:海航获五星
海外华人福利!在线看陈建斌《三叉戟》热血归回 豪情筑梦 高清免费看 无地区限制
一周点击热帖 更多>>
一周回复热帖
历史上的今天:回复热帖
2012: 一位高校教师的逆流宣言 ---黄云
2012: 就5月六日月球的照片,揭示地球人都不
2011: 性交方式透露了万物是设计的而非进化的
2011: 爱因斯坦的预言再一次得到了证实, 地球
2010: pzzdm:时间旅行的一个技术性问题
2010: 时间问题 是一个造和再造问题 不是逆不
2009: aaa
2009: 凑凑54的热闹谈民主,政治和基督教