张中一／相关专业人士不应该制造无谓的恐慌

作者／张中一

日前自由时报报导成功大学电机系李忠宪教授在个人脸书担忧卡式台胞证的隐私与资安问题，因为与真实情况相差太远，这里有必要澄清以免社会大众因不安产生情绪恐慌与动摇。

首先要澄清卡式台胞证用的eMRTD是中国自己发明的吗？是一个毫无防护的随便读取的RF ID吗？不是。eMRTD的定义者是ICAO（世界民航组织），相关的所有规格都是公开的定义在ICAO DOC 9303。这是全世界晶片护照通用的规格，安全性也是世界同意的。

一个最重要的事情是，你可以随便SCAN就把eMRTD里面的资料读出来吗？不行。因为他认证过程中的一个关键因素是印在卡片上的文字资料，必须要用OCR（光学辨识）或是手动输入。

你反对卡式台胞证用eMRTD就跟你反对全世界的晶片护照一样愚蠢。不过卡式台胞证有一个晶片护照没有的缺点。晶片护照的封皮是特殊设计过的，盖起来就读不到资料。卡式台胞证没有这层防护。因此相对风险比较高。请注意只是相对风险比较高，他还是一个公认安全的设计。

至于我国晶片身份证会不会用eMRTD?我不能理解使用eMRTD的理由，因为MRTD其实是（machine readable travel document；机器可读旅行文件）的缩写。晶片身份证，不是旅行文件，为什么会用MRTD的规格？

美国的PASSPORT卡（专供从加拿大等地进入美国用）就不是走MRTD规格。晶片身份证使用的国家稍微WIKI一下就有以下国家：比利时、保加利亚、德国、以色列、义大利、卢森堡、荷兰、墨西哥、摩洛哥、巴基斯坦、葡萄牙、罗马尼亚、爱沙尼亚、拉脱维亚、立陶宛、西班牙、斯洛伐克、马尔他、模里西斯。晶片身份证被很多国家使用了。

李教授指出的两个案例其实指的是两个完全不同的东西：其中一个案例讲的是如果有人可以拿读取器靠近某些管制较差的海关柜台时，有可能可以取得某一个晶片护照的唯一识别码。那么未来当这个晶片护照或卡靠近时，可以辨别出来。但这个追踪的距离很短，主要是在实验室验证晶片卡的缺点在现实生活中要构成隐私威胁的可能性太低。

而李教授举的第二个例子美国的护照卡（passport card）是用来给美国公民从加拿大等邻近国进入美国实用的卡片。这不是用MRTD规格，他就跟我们的条码一样只是回传一个独特的序号，所有的资料都在云端，因此没有任何防护。因为没有使用MRTD规格，根本不适合作为讨论MRTD是否安全。

世界上没有完美的身份证明文件，不管是纸本、接触式晶片卡或无线式晶片卡，只有在成本与效益中取得平衡的抉择。而显然世界各国都还是接受MRTD做为护照规格的使用。但我必须要说乡民无知就算了，一个堂堂资通讯教授根据不完整的资讯恐慌晶片护照与晶片身份证像话吗？

李忠宪教授从服贸二类电信开始一路逢中必反，反到自己的专业都抛弃了，我的失望也就从服贸二类电信争议开始一直失望到现在。

●作者张中一，专案经理。本文言论不代表本报立场。88论坛欢迎更多声音与讨论，文章请寄editor88@ettoday.net