您當前的位置: 首頁 > 復微新聞 > 媒體信息 > 加快自主可控金融IC卡

媒體信息Media Report

加快自主可控金融IC卡產品推廣應用,提升金融信息安全

銀行卡被復制盜刷案件經常見諸網絡,銀行不僅要部分或全部賠償儲戶損失,也損失了信譽。正是為了降低銀行面臨的欺詐風險,人民銀行要求2015年新發行的銀行卡必須為金融IC卡,逐步淘汰磁條卡。截至2015年第一季度,全國在用銀行卡累計49.99億張,其中金融IC卡累計發卡量為14.46億張。

可以說芯片卡幾乎無法復制,但是,斯諾登事件敲響了警鐘,讓我們不得不重新審視我們所用的算法安全嗎?芯片安全嗎?要知道,金融IC卡的安全核心是芯片安全、算法安全。因為金融信息安全直接關系到國家經濟安全和社會穩定,我們必須予以足夠重視。

1、芯片是安全的基礎

最近,德國大眾汽車的尾氣檢測造假事件持續發酵,讓我們看到了行業監管的不足,僅僅依靠實驗室檢測是不夠的;也看到了即使在充分競爭的行業,僅僅依靠企業的自律也是不靠譜的。國內的金融IC卡遷移較晚,相應的標準和檢測機制主要是學習歐洲EMV經驗,隨著國內產業成熟逐步建立起來的。銀行卡檢測中心最先建立了物理層協議檢測、應用功能檢測、應用層的安全檢測等,滿足了行業發卡需求。而對于芯片級安全檢測能力建設則是關鍵。

2012年,根據發改委等指示,由中國銀聯和銀行卡檢測中心承擔國家發改委的“國家金融IC卡安全檢測中心”專項,依托由院士、行業專家團隊,在國內芯片企業的支持下,開展項目的建設工作。

2013年12月,“國家金融IC卡安全檢測中心”專項通過了中國人民銀行組織的專家驗收,達到了CC和EMVCo授權實驗室同等的檢測水平。

檢測中心具備了金融IC卡侵入式、半侵入式和非侵入式31項芯片安全檢測能力、19項嵌入式軟件安全檢測能力,并完成了金融IC卡功能和質量檢測能力的建設;其中放射線注入、電磁操縱和其他非侵入式操縱等檢測技術為完全自主創新,突顯了我國金融IC卡安全檢測技術水平。項目范圍涵蓋芯片、嵌入式軟件和IC卡功能質量等。

已有6家國內企業的多款芯片通過了檢測認證,并在多個銀行實現了批量發行。

截至2014年,全國累計發行金融IC卡12億張,90%以上來自一家進口芯片企業。一家獨大、過渡依賴進口的局面都不利于有效監管,存在信息安全隱患。隨著國內檢測中心能力的逐步增強,下一步新發行的金融IC卡應該是通過芯片安全檢測的產品。一方面保持以往的送樣檢測,另一方面,也應開展抽樣檢測,在成品庫房或流通環節隨機抽樣。只有在有效的監管下,才能通過充分市場競爭,推動安全技術不斷進步,確保金融IC卡具備足夠的安全防護能力,筑牢安全基石。

2、主流國際算法存在安全隱患

金融IC卡所用的國際算法為對稱加密算法DES、非對稱加密算法RSA、摘要算法SHA-1。

DES全稱為Data Encryption Standard,即數據加密標準,是一種使用密鑰加密的塊算法,1976年被美國聯邦政府的國家標準局確定為聯邦資料處理標準(FIPS)。1997年被首次破解。1999年,美國標準與技術研究院(NIST)將3-DES指定為過渡的加密標準。NIST于2002年5月26日制定了新的高級加密標準(AES)規范。

RSA 是1977年由羅納德? 李維斯特(Ron Rivest)、阿迪?薩莫爾(Adi Shamir)和倫納德?阿德曼(Leonard Adleman)一起提出的一種非對稱加密算法。其理論基礎是一種特殊的可逆模冪運算,其安全性基于分解大整數的困難性。

RSA算法被許多標準化組織(如ISO、ITU、IETF和SWIFT等)接納。目前許多國家標準仍采用RSA算法或它的變型。

針對RSA 最流行的攻擊一般基于大數因數分解。2009 年12月,在數臺超級計算機的不懈努力下,768位的RSA 算法也被成功分解。據此,為確保安全,建議1024 bits RSA密鑰只應使用至2010年,2048 bits RSA密鑰只應使用至2030年。

2013 年9 月,斯諾登事件曝光。同年12 月,路透社披露,美國國家安全局(NSA)通過RSA 公司將Dual_EC_DRBG 作為Bsafe 安全產品中的首選隨機數生成算法,而該算法有被植入“后門”的可能性,使得保護的秘密泄漏。 

SHA-1密碼算法,由美國國家標準技術研究院與美國國家安全局設計,早在1994年就被推薦給美國政府和金融系統采用,是美國政府目前應用最廣泛的密碼算法。2005年初,山東大學王小云和她的研究小組,給出了MD5算法和SHA-1算法的碰撞攻擊方法。SHA-1也不再安全。

由此可見,隨著計算能力的提升、互聯網、云計算的發展,密鑰長度需不斷增加,密碼算法需要升級換代,而算法的設計、實現也要沒有后門,才能發揮安全保密的作用。

國密算法已完成規范制定、產業準備

為了應對上述安全挑戰,國家密碼管理局組織制定了SM系列國密算法規范,在金融IC卡使用的是SM2、SM3、SM4算法。

SM2算法由國家密碼管理局于2010年12月17日發布,全稱為橢圓曲線算法(ECC算法,為非對稱加密算法)。ECC算法由Koblitz和Miller在1985年各自引入密碼學,安全性是建立在橢圓曲線離散對數問題之上。ECC算法比RSA算法在安全性和加解密速率方面具有顯著的優勢,160位ECC算法的安全性與1024位RSA的算法相當,而210位ECC算法的安全性則與2048位RSA的算法相當。

SM3算法是國家密碼管理局2010年公布的商用密碼雜湊算法標準。SM3算法是在SHA-256基礎上改進實現的一種算法。SM3算法采用Merkle-Damgard結構,消息分組長度為512位,摘要值長度為256位。

SM4密碼算法由國家密碼管理局在2006年首次公布,為對稱加密算法。SM4算法在計算過程中增加非線性變換,安全性和算法效率都比3DES高。

SM2/3/4算法,已由國家密碼管理局批準為密碼行業標準,正式實施。包括GM/T 0002-2012 《SM4分組密碼算法》,GM/T 0003-2012 《SM2橢圓曲線公鑰密碼算法》,GM/T 0004-2012 《SM3密碼雜湊算法》。

截至2015年6月,支持SM2/3/4密碼算法的商用密碼產品已有391項,包括密碼芯片、智能IC卡和智能密碼鑰匙、PCI密碼卡和服務器密碼機、基礎設施產品、應用中間件和安全應用產品方面等,具備了產業推廣能力。

金融行業規范JR/T 0025—2013《中國金融集成電路(IC)卡規范》(PBOC3.0)全面采用SM2/3/4算法。目前主流的金融IC卡產品全部通過了兼容國際算法、國密算法的相關檢測。目前大型銀行基本完成支持PBOC3.0(國密算法)的改造,其他商業銀行也在加緊系統改造進程。長沙銀行已經完成國密算法試點發卡,復旦微電子的FM1280已經在上海銀行批量發行支持國密算法的金融IC卡。

可以說支持國密算法的金融IC卡已完成的規范制定,產品準備、試點應用,具備了大規模批量發行的條件??梢云诖斨С謬芩惴ǖ慕鹑贗C卡成為主流時,金融信息系統的安全冗余必將大大增加,真正實現自主可控的局面。

3、金融IC卡國產芯片產業已經成熟

金融IC卡國產芯片從芯片設計、制造、封裝等上游產業鏈已基本成熟。特別是最近幾年在交通、金融與社保、金融與衛生等行業應用領域有較多的成功案例,發行數量從幾千萬到幾億片,各芯片企業的芯片設計能力都取得了長足進步。 


  • 芯片設計能力


總的來說,國產雙界面CPU卡芯片的設計工作起步相對進口芯片要晚一些,國內大多數廠家都是由接觸式CPU卡芯片起家,在非接觸界面的設計能力相比國外芯片廠商要弱一些。相對而言,非接觸技術是復旦微電子的強項,復旦微電子最早從非接觸CPU卡芯片開始進入CPU卡芯片市場,也是國內最早推出雙界面CPU卡芯片的廠商,目前已累計銷售超過2億顆非接觸CPU卡芯片,2000萬顆雙界面CPU卡芯片。此外,復旦微電子的非接觸邏輯加密卡也是業內領先,2013年全年出貨量已超過6億顆,已領先NXP芯片。

總體來說國產雙界面芯片和國外芯片相比還存在一些差距,但隨著國產芯片目前蓬勃發展的趨勢,其和國外芯片的差距正日益縮小,某些參數指標甚至已超過國外芯片。


  • 芯片加工能力


全球前十大晶圓代工廠,已有2家總部在中國,另有多家在中國設廠,中國已具有僅次于臺灣、韓國的芯片制造能力。芯片封測能力也類似。

市調機構IC Insights, 2012年全球晶圓代工廠排名,第1名、臺積電,第2名、格羅方德(GlobalFoundries);第3名、三星;第4名、聯電;第5名、中芯國際;第6名、華虹宏力。

復旦微電子的芯片都是在全球十大代工廠加工,包括格羅方德(GlobalFoundries)、中芯國際和華虹宏力半導體等,芯片加工能力、加工質量與國外芯片商沒有差別。


  • 已發行的金融IC卡非接觸性能良好


復旦微電子的金融IC卡芯片FM1280,取得銀聯卡芯片安全認證后,積極參與各商業銀行的試點發行,發行數量超過500萬片,處于業內領先。

純金融IC卡項目,累計發行200萬片,使用1年多時間,應用效果良好,特別非接觸性能表現優異。項目有中國人民銀行的國產芯片試點,如上海銀行,上海農商行,重慶農商行批量發卡;以及郵儲銀行、青海農信、中原銀行等商業銀行的批量發行;另外已入圍建設銀行、廣州農信、江西農信等。

復旦微電子FM1280應用于金融健康卡、金融交通卡等領域,均已批量供貨,供貨超過300萬片。

金融居民健康卡,指金融IC卡加載居民健康卡應用,案例包括:商丘銀行發行的河南健康卡;海南農信社發行的健康卡;棗莊中行發行的健康卡;內蒙建行發行的健康卡。

金融居民健康卡+市民卡,包括金融應用、居民健康卡應用、交通應用、市民卡應用,案例有民生銀行發行的鎮江市民卡,陜西農村信用合作社發行的陜西咸陽惠民卡。

金融交通卡,包括金融應用、交通應用,案例有中銀通發行的合肥通卡,浦發銀行發行的天津通卡,交通銀行發行的琴島通卡。

幾百萬片的批量使用,充分驗證了FM1280芯片的功能、性能滿足銀行要求,最受關注的非接觸交易性能方面,表現良好,沒有任何不良反饋。

4、小結

正是一個個震驚國際社會的安全事件影響下,讓我們認清了金融信息安全的嚴峻形勢,從而制定了自主可控的國家戰略。在自主可控的戰略指引下,復旦微電子等芯片企業已完成國產金融IC卡芯片的研發、產業化,完成支持國密算法產品的研發、推廣和應用??梢哉f現在到了加快國產芯片、國密算法推廣的時機,可以期待在產業界和銀行的共同努力下,一定能早日實現自主可控的戰略目標,筑牢金融信息安全基石。

国际环岛自行车赛