數位身分證：草包掛保證

【縛雞之見】
幾個月前，朋友對於數位身分證很緊張。我回答：其實，健保卡已經變身為數位身分證而被廣泛使用了。當時言下之意，是不必緊張。
只是，當我聽到：數位身分證有RIF功能，以及有中資疑慮的公司承包，我知道我錯了！

問題不在於TSMC製造，TSMC只是代工外部設計好的圖面。問題在軟體/韌體。這是TSMC不可置喙的部分。講TSMC根本是轉移焦點。至於「有密碼所以很安全」，那～，請問：密碼存在哪裡？一定是主機。這句話與「當你拿了數位身分證到別的機關，或別的單位去做什麼事的時候，資料絕對不會連回內政部。」不連回主機，不是明顯矛盾，甚至更糟糕？
又，不是國民身分證嗎？怎會「以地方政策為主」？
因此，對朋友憂心，完整的想定應該是：
健保卡已經應用氾濫，怕什麼數位身分證？
健保卡已經應用氾濫，所以要禁止數位身分證！
健保卡已經應用氾濫，所以，要仔細檢視數位身分證與健保卡。
至於唐鳳是不是專家？要看對「專家」的定義是什麼？有法律、有國安、有資安、有硬體技術或軟體技術、有應用等等領域，唐鳳應該是「數位通才」才比較正確吧？但，徐國勇顯然是亂講話的草包。

數位身分證 資安堪憂     張鐸＠聯合20201223

資訊安全核心項目之一就是「存取控制」，主要在防止未經授權進入資訊系統存取資料。就像當初健保卡設計，是讓醫療單位存取健保資料庫資料；明年將換發的數位身分證，則是結合戶籍法識別個人身分，以及電子簽章法之電子文件簽屬的身分識別功能，他們都是能存取資訊系統內部資料的電子憑證，也是資料庫入口，但從政府對資訊安全存取控制的漫不經心態度，讓人不禁捏把冷汗。

健保署對健保卡安全機制的承諾，強調「健保卡的主要功能係在提供保險對象就醫時辨識身分之用，以便於醫療處置之正確判斷，目的單純明顯，並不作為衛生行政及保健醫療服務等特定目的外之使用。」所以健保卡只限醫療單位讀取使用。有趣的是，新冠疫情期間，政府引以為傲的口罩實名制，就讓健保卡可插便利商店讀卡機使用，振興三倍券亦是如此。

為確認你是否可領口罩，或是否可登記購買三倍券，便利商店讀卡機都必須要能讀出你的個資，傳送到伺服主機判斷，核對沒問題才可以買口罩或領三倍券。顯然便利商店讀卡機已獲政府授權使用健保署專屬執行相互認證機制的讀卡機安全模組（ＳＡＭ），才能讀取健保卡晶片資料。

不僅如此，現在北市某國宅私人咖啡館也邀請民眾刷健保卡免費喝咖啡活動，可見民間也具有讀取健保卡內容的能力，藉免費咖啡蒐集民眾健保資料，已不是健保署承諾不做衛生行政及保健醫療之外的使用。

上述的存取控制不彰，則數位足跡到處都是。根據教育部「全民資安素養網」對數位足跡的定義，是我們在網路上從事的所有活動或行為，指的就是便利商店讀卡機讀取健保卡資料後，流經各便利商店主機系統的記憶體、暫存器，以及網路線路上傳輸所留下的種種足跡，若被駭客攔截利用，就會成嚴重問題。科學人雜誌也提醒，我們每天留下的數位足跡，遠比我們所知道的透露出更多個人訊息。

以外國立法案例看，美、英、日、韓及中國大陸雖陸續進行一定程度之數位資產立法，其立法適用範圍、適用對象與詳細程度則從原本僅限電子郵件，擴充到醫療保健紀錄、健康保險紀錄。從法律層面我們還沒有立專法，但數位足跡已到處都是。

數位足跡若能勾稽識別出個人，當然屬個人資產。健保卡、數位身分證被插入非專責機構的讀卡機，任意讀出資料，將嚴重違反健保署及內政部對個人資料及隱私權保護機制的承諾。如今健保卡數位足跡將因民眾到各地便利商店隨意插卡，弄得到處都是，更凸顯國人對數位足跡及數位資產的概念淡薄。刷健保卡都可以喝免費咖啡，我們能不擔心數位身分證的存取控制嗎？

 

唐鳳直播背書　「數位身分證資安沒問題」     TVBS 20201221

內政部設計數位身分證，預計明年換發，不過外界質疑晶片會有資安疑慮，位了解除各界的疑慮，內政部長徐國勇特別找來科技政委唐鳳，來直播背書。
內政部長徐國勇vs.科技政委唐鳳：「七代卡(數位身分證)比現在的好，在安全上，數位身分證的安全性，比我們現在紙卡好很多這樣就對了，對啦這樣大家聽懂嗎我也聽懂了專家在隔壁。」
找來數位政委唐鳳掛保證，數位身分證安全安啦。
內政部長徐國勇vs.科技政委唐鳳：「(民眾擔心)人家會強制要你的讀取碼，你可能個資就會洩漏等等沒有這種事情。」
eID大家最擔心的就是，晶片會不會很容易，隨便就被讀取，對此唐鳳一一做解釋。
內政部長徐國勇vs.科技政委唐鳳：「這些部分是要輸入一個密碼，才能夠來讀取，那這個密碼是你自己來設定，怕說不小心這樣遠遠的被碰一下，就被讀走了，不會何況你還有密碼，唐鳳跟我們講的非常的清楚。」
唐鳳講完，內政部長徐國勇，一定要再補一句。
內政部長徐國勇vs.科技政委唐鳳：「這個剛剛唐鳳講的很清楚絕對不會，我當內政部長也要告訴大家，當你拿了數位身分證到別的機關，或別的單位去做什麼事的時候，資料絕對不會連回內政部。」 唐鳳都說了不會有問題，這句話，整個直播播徐國勇至少講了三次，原本傳出eID防偽功能被質疑，唐鳳也不願幫忙扛。
內政部長徐國勇vs.科技政委唐鳳：「不管是台積電(製作)的朋友，或者是(製作)空白卡的朋友，當然都是不會看到你的個資。」
拿出手板強調晶片一律MIT，目前數位身分證，在新竹進行小規模的測試，至於什麼時候民眾可以換發數位身分證，預計明年7月，但戶政司強調時程還沒完全確定，至於換發方式則是會跟地方政府溝通，以地方政策為主，等測試通過就會盡快上路。
詳細報導請見： news.tvbs.com.tw/politics/1436128?from=Copy_content