內政部:數位身分證私密金鑰無法重製,資安無虞

作者 | 發布日期 2019 年 09 月 11 日 13:00 | 分類 科技政策 , 科技生活 , 資訊安全 follow us in feedly


學者擔心數位身分識別證(New eID)有資安疑慮,內政部 11 日澄清,New eID 是在晶片自行產製私密金鑰,無法匯出、重製,任何人都無法取得,並在封閉隔離的環境製作,可確保資安絕對無虞,請民眾放心。

內政部表示,私密金鑰產製是公開金鑰基礎建設的程序之一,依據自然人憑證 CPS(內政部憑證管理中心憑證作業基準)規範,金鑰對是在通過安全評估共通準則國際安全認證的晶片中自行運算產生,確保私密金鑰無法匯出、重製,任何人都無法取得該私密金鑰,因此不會被製卡廠商掌握私密金鑰。

內政部說,私密金鑰產製時尚未結合個資,且在百分百國營、非私營且絕無中資的中央印製廠安全封閉環境中,由專人執行,確保資訊安全,其做法與現行自然人憑證相同都是在卡片內產製金鑰對。

內政部指出,New eID 發證系統的建置,只是為了製發數位身分證,是在封閉隔離的製發環境下運作,不會連結網際網路,且會有嚴格的安全管理與監控機制,能有效防止駭客的攻擊。New eID 並未儲存或記錄個人地域、人際網絡或其他數位痕跡等資料,不會有隱私資料外洩的疑慮。

內政部說,開發 New eID 相關系統服務時,也要求導入安全軟體開發相關原則進行,針對晶片本身、資訊傳輸、感應設備、應用服務等項目上,將委請資安廠商進行檢測,相關程式原始碼在不涉及安全原則的條件下,將開放讓公眾進行檢測,檢測項目包含基本弱點掃描、滲透測試、紅隊演練等,以挖掘出針對 New eID 與相關服務的各種可能攻擊手法。

此外,於 New eID 發行前,將研議規劃針對 New eID 晶片卡、讀卡程式、感測設備及相關使用情境等規劃賞金獵人競賽,透過駭客社群驗測 New eID 相關項目的資訊安全等級和防護能力。

內政部指出,New eID 沒有保留全民「數位痕跡」,民眾使用 New eID 的紀錄,是留存於提供服務的機關,其依法不得做「目的外之利用」,內政部也沒有蒐集這些紀錄,並在保護個資運用的法律框架下,任何目的外的利用,都受到嚴格限制,公、私部門若要使用民眾個人資料,也都受到個人資料保護法的規範,應盡資料保護責任,嚴密保護民眾隱私及資訊自主權。

在個人隱私、資訊安全的保護方面,透過個人資料保護法、資通安全管理法、電子簽章法等法規,可建構嚴密的保護網,會在這些法律基礎上進行製發及應用,無需再另訂專法。

有關中央印製廠招標公告所載晶片追蹤的議題,內政部解釋,New eID 是一張晶片卡,就像晶片護照、信用卡、健保卡、悠遊卡、手機晶片卡一樣,不會主動發送訊號,所以不會洩漏位置,無法追蹤。中央印製廠的招標公告是針對一般製卡生產流程,系統在追蹤卡片生產的作業狀態,其文字為避免外界誤解將進行更正。

(作者:葉素萍;首圖來源:內政部

延伸閱讀: