讨论:关于 eid 的安全问题

2015-01-14 19:55:25 +08:00
 0okmnbvcxzx
看到了@yfdyh000 提到的eid,想仅从安全的角度讨论一下这个东西。

我看了说明好像就是一张gov当CA的智能卡,但首先手机NFC就能够读智能卡吗?
为了中心服务器能够验证请求,应该需要向网站提交一个序列号之类的东西来与用户公钥匹配以验证签名,那么所有网站都可以得到ID,这个ID又成为了新的标识符,可以与人匹配,带来了新的安全风险。(没有单用户对应多ID的机制吧)
如果不依靠上述ID,那么请求应该全部交给中心服务器,相当于国家级的单点登录平台,这种压力是不是太大了?虽然我们都知道有……
2206 次点击
所在节点    问与答
3 条回复
yfdyh000
2015-01-14 22:21:57 +08:00
http://www.aiweibang.com/yuedu/3512873.html 来看,应该是NFC就能读取的。电脑需要官方或兼容的读卡器,参考 http://www.cnblogs.com/hdynet/p/how-to-get-an-eid-card.html。
好像就是唯一ID。感觉设想是严格限制ID流出和反查真实身份的情况,就像留存CVV那样限制。
似乎ID可挂失并重新申领,不清楚标识符是否会变化。大概不会变化,不然账户就变了。
“据悉,我国的eID定义为公民网络电子身份标识,是对现有第二代身份证体系在网络应用上的补充”。
平台架构和压力不清楚,肯定会分层次吧。也许是一种架构实验,二代身份证芯片的网络化改进。
anthozoan77
2015-01-14 23:06:35 +08:00
楼主我邮的?
0okmnbvcxzx
2015-01-15 20:44:29 +08:00
@yfdyh000 开始我主要是从硬件上考虑NFC读取会不会对克隆造成便利,后来查到这个:
由国泰世华银行、中华电信与万事达卡合作,结合PayPass技术、NFC、OTA、高安全性的SWP-SIM卡与Hami智慧钱包的密码保护,提供消费者在拥有PayPass付款机制的商店进行消费,付款单笔上限为新台币3000元。目前为试办期,仅国泰世华与中华电信员工申请使用,预计2013年下半年度正式发布。
既然人家有NFC支付的先例,这样的话应该技术上来说是安全的。

唯一ID个人感觉即使有相关的保护措施仍然是个糟糕的主意,后来考虑如果用用户ID+随机数用服务器公钥加密作为和某个应用交互的ID比较好,即使泄露也可以减少风险。不知道是否可行。

之前没有考虑到基于身份证系统,以为是新开一个系统(尤其是看了那个研究所机房的照片之后……)


@anthozoan77 不是,之前讨论实名什么的时候看到这个而已。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/162187

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX