V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
0okmnbvcxzx
V2EX  ›  问与答

讨论:关于 eid 的安全问题

  •  
  •   0okmnbvcxzx · 2015-01-14 19:55:25 +08:00 · 2205 次点击
    这是一个创建于 3600 天前的主题,其中的信息可能已经有所发展或是发生改变。
    看到了@yfdyh000 提到的eid,想仅从安全的角度讨论一下这个东西。

    我看了说明好像就是一张gov当CA的智能卡,但首先手机NFC就能够读智能卡吗?
    为了中心服务器能够验证请求,应该需要向网站提交一个序列号之类的东西来与用户公钥匹配以验证签名,那么所有网站都可以得到ID,这个ID又成为了新的标识符,可以与人匹配,带来了新的安全风险。(没有单用户对应多ID的机制吧)
    如果不依靠上述ID,那么请求应该全部交给中心服务器,相当于国家级的单点登录平台,这种压力是不是太大了?虽然我们都知道有……
    3 条回复    2015-01-15 20:44:29 +08:00
    yfdyh000
        1
    yfdyh000  
       2015-01-14 22:21:57 +08:00   ❤️ 1
    http://www.aiweibang.com/yuedu/3512873.html 来看,应该是NFC就能读取的。电脑需要官方或兼容的读卡器,参考 http://www.cnblogs.com/hdynet/p/how-to-get-an-eid-card.html。
    好像就是唯一ID。感觉设想是严格限制ID流出和反查真实身份的情况,就像留存CVV那样限制。
    似乎ID可挂失并重新申领,不清楚标识符是否会变化。大概不会变化,不然账户就变了。
    “据悉,我国的eID定义为公民网络电子身份标识,是对现有第二代身份证体系在网络应用上的补充”。
    平台架构和压力不清楚,肯定会分层次吧。也许是一种架构实验,二代身份证芯片的网络化改进。
    anthozoan77
        2
    anthozoan77  
       2015-01-14 23:06:35 +08:00
    楼主我邮的?
    0okmnbvcxzx
        3
    0okmnbvcxzx  
    OP
       2015-01-15 20:44:29 +08:00
    @yfdyh000 开始我主要是从硬件上考虑NFC读取会不会对克隆造成便利,后来查到这个:
    由国泰世华银行、中华电信与万事达卡合作,结合PayPass技术、NFC、OTA、高安全性的SWP-SIM卡与Hami智慧钱包的密码保护,提供消费者在拥有PayPass付款机制的商店进行消费,付款单笔上限为新台币3000元。目前为试办期,仅国泰世华与中华电信员工申请使用,预计2013年下半年度正式发布。
    既然人家有NFC支付的先例,这样的话应该技术上来说是安全的。

    唯一ID个人感觉即使有相关的保护措施仍然是个糟糕的主意,后来考虑如果用用户ID+随机数用服务器公钥加密作为和某个应用交互的ID比较好,即使泄露也可以减少风险。不知道是否可行。

    之前没有考虑到基于身份证系统,以为是新开一个系统(尤其是看了那个研究所机房的照片之后……)


    @anthozoan77 不是,之前讨论实名什么的时候看到这个而已。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2582 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 10:28 · PVG 18:28 · LAX 02:28 · JFK 05:28
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.