热点资讯生活_分享教育经验

内政部:数位身分证私密金钥无法重製,资安无虞

时间:2020-06-18  作者:
内政部:数位身分证私密金钥无法重製,资安无虞

学者担心数位身分识别证有资安疑虑,内政部 11 日澄清,New eID 是在晶片自行产製私密金钥,无法汇出、重製,任何人都无法取得,并在封闭隔离的环境製作,可确保资安绝对无虞,请民众放心。


内政部表示,私密金钥产製是公开金钥基础建设的程序之一,依据自然人凭证 CPS规範,金钥对是在通过安全评估共通準则国际安全认证的晶片中自行运算产生,确保私密金钥无法汇出、重製,任何人都无法取得该私密金钥,因此不会被製卡厂商掌握私密金钥。


内政部说,私密金钥产製时尚未结合个资,且在百分百国营、非私营且绝无中资的中央印製厂安全封闭环境中,由专人执行,确保资讯安全,其做法与现行自然人凭证相同都是在卡片内产製金钥对。


内政部指出,New eID 发证系统的建置,只是为了製发数位身分证,是在封闭隔离的製发环境下运作,不会连结网际网路,且会有严格的安全管理与监控机制,能有效防止骇客的攻击。New eID 并未储存或记录个人地域、人际网络或其他数位痕迹等资料,不会有隐私资料外洩的疑虑。


内政部说,开发 New eID 相关系统服务时,也要求导入安全软体开发相关原则进行,针对晶片本身、资讯传输、感应设备、应用服务等项目上,将委请资安厂商进行检测,相关程式原始码在不涉及安全原则的条件下,将开放让公众进行检测,检测项目包含基本弱点扫描、渗透测试、红队演练等,以挖掘出针对 New eID 与相关服务的各种可能攻击手法。

此外,于 New eID 发行前,将研议规划针对 New eID 晶片卡、读卡程式、感测设备及相关使用情境等规划赏金猎人竞赛,透过骇客社群验测 New eID 相关项目的资讯安全等级和防护能力。


内政部指出,New eID 没有保留全民「数位痕迹」,民众使用 New eID 的纪录,是留存于提供服务的机关,其依法不得做「目的外之利用」,内政部也没有蒐集这些纪录,并在保护个资运用的法律框架下,任何目的外的利用,都受到严格限制,公、私部门若要使用民众个人资料,也都受到个人资料保护法的规範,应尽资料保护责任,严密保护民众隐私及资讯自主权。


在个人隐私、资讯安全的保护方面,透过个人资料保护法、资通安全管理法、电子签章法等法规,可建构严密的保护网,会在这些法律基础上进行製发及应用,无需再另订专法。


有关中央印製厂招标公告所载晶片追蹤的议题,内政部解释,New eID 是一张晶片卡,就像晶片护照、信用卡、健保卡、悠游卡、手机晶片卡一样,不会主动发送讯号,所以不会洩漏位置,无法追蹤。中央印製厂的招标公告是针对一般製卡生产流程,系统在追蹤卡片生产的作业状态,其文字为避免外界误解将进行更正。


上一篇: 下一篇:

相关阅读