幾時先至唔再怕身份證號碼被洩?有冇IT嘢幫到手?
前兩日因航披露有近千萬筆敏感個人資料被不當閱覽,包括身份證冧巴等。
到底個冧巴漏咗出去會有乜問題,而有冇辦法解決?
我諗主要問題有兩個:
- 冒充身份
尤其係唔需親身前往,唔需要出示正本/影印本嘅地方。
同日有報導指有人銀行存款被盜,源於由轉數快系統提供嘅eDDA流程出事,個別SVF只需要身份証冧巴(唔記得要唔要名)+賬號冧巴就可以過數增值。
eDDA: Electronic Direct Debit Authorization — 電子直接扣賬授權
SVF: Stored Value Facility — 儲值支付工具如支付寶、八達通、Tap & Go等 - 交叉查找
喺其他系統反查對睇你嘅資料,例如係咪會員、或者醫療記錄等。
不過其實任何可識別個人身份嘅資訊都做到,例如名都得啦,所以呢篇唔討論。
一個人知道某個身份證冧巴、又或持有副本,唔代表佢持有嗰張身份証實物。
若果你要向人証明你有某一個訊息,但又唔直接披露呢一個訊息,有乜嘢辦法?
IT9會諗到嘅答案—登登登凳—非對稱加密法 (Asymmetric Encryption),為咗証明你擁有嘅身份訊息確切係政府所制定嘅,仲要利用埋公鑰基建 (PKI — Public Key Infrastructure)。
非對稱加密法指你有兩組數字,一個叫公開鑰匙 (Public Key)、另一個叫私人鑰匙 (Private Key)。故名思義公開鑰匙係俾大家知,私人鑰匙由自己保管。私人鑰匙可以用來對一筆數據去進行簽名 (Sign),而其他人透過公開鑰匙去校驗個簽名,就可以知道你有冇擁有相對應嘅私人鑰匙。
其實Private/Public key兩組數字性質一樣,掉轉用都得,冇話邊個係Private邊個Public。
例:某機構隨機生成了一堆文字,請你用私人鑰匙簽名。機構就可以通過你嘅公開鑰匙校驗,推論出你係擁有對應嘅私人鑰匙。
只擁有其中一個鑰匙係冇可能推敲出另一個鑰匙,連同簽名、校驗都係一啲屬於密碼學範疇嘅數學。點樣做到?我話ok就ok啦。(自己Google啦)
但係公開鑰匙只係一堆數字,又點解保証係你嘅身份呢?任何人都可以隨機、隨時隨地生成一對鑰匙數字,點樣先知道鑰匙係指邊個人?
呢個時候就係PKI出場。政府可以將你嘅身份訊息如名字等,再連你嘅公開鑰匙,加埋一齊再利用政府嘅私人鑰匙簽名,生成一個証書 (Certificate)。而政府嘅公開鑰匙故之然係固定同埋公開,所有人都可以校驗証書嘅真偽,然後就可以關聯到你嘅公開鑰匙同埋証書上嘅身份訊息。
