• Demo
    保持交易與客戶資料隱密性

    GoDaddy

    Keep payments & customer data private
  • Demo
    創造線上信任者!

    COMODO

    Creating Trust Online
  • Demo
    您的成功來自於信任!

    digicert

    Your Success is Built on Trust
  • Demo
    保護數位認證與信息安全!

    Entrust

    Securing digital Identities & Information
  • Demo
    數位憑證的領導品牌!

    GeoTrust

    a leading certificate authority
  • Demo
    安全地溝通和交易!

    GlobalSign

    Communicate and transact securely.
  • Demo
    保護您的網站!保護您的客戶們!

    Network Solutions

    Secure Your Site!Protect Your Customers
  • Demo
    瑞士軍刀的數位認證和PKI

    StartCom

    The Swiss Army Knife of Digital Certificates & PKI
  • Demo
    最高等級的安全與身分認證

    SwissSign

    Extreme Security & Identity
  • Demo
    一個全新等級的保護和信任

    Symantec

    protect and trust to a whole new level
  • Demo
    最明顯的網站安全性標誌

    Thawte

    The most visible sign of web site security
  • Demo
    最簡單方案滿足您安全性與法規的遵從

    trustwave

    to your complex security and compliance challenges
  • Demo
    低成本,高保證的SSL證書

    instantssl

    low cost high assurance ssl certificates
  • Demo
    官網負擔得起的SSL證書及信任標章

    trustico

    Official Supplier Of Affordable Website SSL Certificates & Trust Seals
  • Demo
    簡單的網站安全性

    rapidssl

    simple site security for less
  • Demo
    由SSL.com來建立客戶信任

    ssl.com

    simple site security for less
  • Demo
    我們知道需要什麼是安全的

    certs4less

    We know what it takes to be secure
  • Demo
    從世界上唯一的高級SSL服務

    thesslstore

    SSL Certificates from the Only Premium SSL Service in the World
  • Demo
    專業,認證,信任

    certcenter

    expert. proven. trusted
  • Demo
    網頁安全解決方案

    secure128

    web security solutions
  • Demo
    保護您的業務,高度信任的SSL證書

    sslcertificate

    secure your business,high trust ssl cert
  • Demo
    保護您客戶的資料

    Namecheap

    Protect your site visitors' data
  • Demo
    我們把信任標識化

    IdenTrust

    We Put The Trust In Identity

2015年官方認可免費SSL提供說明

2015年2月25日Gemalto公司公佈了一項他們自己發現被駭客入侵的事件,他們合理懷疑NSA(美國國家安全局)與GCHQ(英國國家通訊總部)這兩個單位在2010與2011兩年期間,曾經入侵他們的辦公室網路,竊取了數以百萬計的SIM卡加密密鑰,然後拿來解密一些私人的訊息,這件事情跟憑證的影響是甚麼?我們來探討一下!

Gemalto這家公司位於荷蘭,是目前世界上最大的SIM卡製造商,有數十億的手機SIM卡都是他們製作的,目前國內大部分的電信商都是採用他們提供的SIM卡,因此他們提到有被入侵的事情,當然引起各大電信商的高度關切! 所以您可以看到當事件出來之後,大部分的電信商都宣稱沒有受到影響!是真的嗎?

gemalto公司自己出來說明這個入侵事件的前因後果,我這邊簡單的讓大家了解一下

因為gemalto公司主要是在2010年與2011年偵測到兩次由政府機構進行的入侵行為

第一次:2010年6月,gemalto在法國的網站,被第三方試圖去監看辦公室網路上的行為,主要是員工之間的通訊以及對外的通訊,當發現後就立刻採取行動封鎖此項入侵!

第二次:2011年7月,這次是gemalto本身的安全團隊發現的,駭客偽裝gemalto的合法電子郵件,寄釣魚信給他們的行動營運商的客戶,信件內有惡意連結,一但點擊就會下載惡意程式,他們發現後立刻通知客戶,同時也跟有關當局說明事件以及此此惡意軟體的類型, 同時在此期間也偵測到好幾次的攻擊,是針對員工的個人PC,主要是那些常常與客戶接觸的員工PC!

gemalto當時不知道駭客是誰,後來才從之前愛德華·斯諾登(就是被美國政府通緝的人,目前在俄羅斯)解密的一些政府文件中推測得知,有可能是NSA(美國國家安全局)與GCHQ(英國國家通訊總部)的人幹的!主要目的是要監視手機通話以及行動上網的數據訊息!

gemalto是宣稱,入侵的辦公室網路只是員工對外聯繫的網路(員工與客戶在交換資料時的網路),利用聯繫交換資訊的同時偷取加密密鑰,gemalto有針對此網路加強安全的設計,是通過加密機制加密資料後傳送,非常不容易被破解! 至於SIM卡加密的密鑰或者客戶資料都不是放在此網路上,他們的網路架構設計是非常複雜,層層保護且各自獨立(如銀行卡,身份證或電子護照),因此他們在進行這些網路的檢測時,並未監測到異常!

即使有被入侵的情況他們也是認為,2010與2011年是2G的通訊系統時代,3G和4G網絡不容易受到這種類型的攻擊,這樣的說法其實也是蠻嚴重的,因為別忘記2G系統在開發中國家還是很多人使用,所以他們的說法是有些疑點!

所以結論就是:

gemalto從愛德華·斯諾登解密的的文件中,無法確認真實性,他們不認為金鑰有大量外洩的可能,即使外洩也只是有可能會影響的是2G系統的用戶!他們內部也會重視此問題!

好了!話說回來,大家可能會覺得很奇怪,這跟憑證會有啥關係! 這就要從晶片卡來講起了

jemalto目前每年供應超過80個國家的SIM卡,而目前我們使用的晶片卡中有些是存放憑證來進行認證,加上現在的技術已經可以把憑證直接內建在SIM卡中, 所以一但您的加密密鑰被取得後,就可取得SIM卡的控制權,這樣就可以解密任何由憑證加密過的資料!

尤其是早期發出的SIM卡,很多都是用DES加密(AES比較高強度),德國人諾爾稱此加密方法的數字密鑰容易被破解。他利用SMS簡訊透過的OTA(over-the-air)方式,傳送偽冒加密訊息到手機,手機發現無法認證會回錯誤訊息,他分析錯誤訊息內容之後,很容易就可破解SIM卡裡的56位元DES金鑰。

所以也就是說,駭客可以發送錯誤加密簡訊到你的手機,然後你的手機會回錯誤的認證訊息給駭客,然後駭客就破解此錯誤訊息(錯誤訊息+數未簽章),然後破解取得金鑰,接下來取得SIM卡的控制權,然後就可以為所欲為了!

對我們的真實影響:

所謂的加密密鑰,一般晶片卡卡廠在製做晶片的時候,會有一把所謂的Master Key,用來控制晶片卡進行例如資料寫入,讀出...等等工作,如果遇到一次大量產製卡片的時候,Master Key則會用來產製不同SIM卡內的金鑰,給不同應用來使用,等到卡片的需要的程式,資料都寫入完成後(製卡),就會進行卡片交付的動作,這時候這把Master key會隨著卡片一併交給下單的廠商,廠商拿到後的第一件事情就是置換這把Master key(類似您拿到提款卡時有一組密碼要改成自己的密碼才能使用),這叫做洗卡 ,然後才進行其他的SIM卡加值應用!

假設gemalto被竊取的是這把金鑰(通常駭客應該是以此為目標),那問題就很嚴重!試想一種狀況,如果卡片出場後,下單的廠商(例如電信業者)偷懶或者忘記,沒有去把那個Master Key更換的話,駭客只要監聽您的通話訊息或者上網資料,然後用這把master key解密,那就被竊聽得一清二楚!如果是用手機交易的話,那您的交易內容也會被看得一清二楚!

所以這才能被竊取後續對我們使用者最大的影響! 也因此gemalto的消息一放出,相關的電信業者都趕快出來說沒問題,不影響!

這件事情疑問!

1.gemalto從發現到自行公佈大約是6天,那麼快就說沒問題,有點太快速了!一般要查一下有無洩漏總得上中下游廠商都問問,加上他們客戶又多,應該不是短時間就能確認沒問題

2.電信業者看到消息後也很快說沒問題,不知到目前2G的用戶應該還有一些,有沒有去看一下當初的Master key是否有變更,或者查一下系統的狀況!

以上讓您了解gemalto事件的始末!大部分網路上的文章都說到事件發生,影響的部分很少討論,我們則是讓您了解到原來晶片卡的資安跟您是息息相關的!