Industry Information: 多功能晶片卡持續發酵　成為金融業者的競爭新利器

Friday, September 22, 2006

多功能晶片卡持續發酵　成為金融業者的競爭新利器

（記者廖珮君∕台北） 2006/09/14

　前言：在物價持續上漲的微利時代，利用不法行為牟取暴利的事件似乎也越來越多，前幾年，台灣社會頻頻發生非法集團側錄民眾金融磁條卡內的帳號密碼資料，再製作假卡盜領帳戶存款的情事，即使銀行業者已投注大量資源來處理此類金融詐騙，卻仍是防不勝防，於是，可以強化安全度的IC晶片因此而倍受矚目。

　IC晶片雖然薄如紙張，面積也不過1片指甲那麼大，卻和電腦一樣具有CPU，可進行資料的邏輯運算和儲存記憶，因此，當IC晶片和提款卡結合之後，金融業者可以在晶片裡面導入安控機制（如DES、RSA等），要求晶片卡必須通過和讀卡機的交互驗證之後，持卡人才能讀取或更改晶片內資料，減少偽卡冒用的機率。

　至於晶片卡和讀卡機是如何進行交互驗證呢？以國際發卡組織所定EMV標準來看，可分為靜態身分認證（Static Data Authentication；SDA）及動態身分認證（Dynamic Data Authentication；DDA）等2種方式，SDA和DDA皆採用RSA加密演算機制，其差異在於晶片卡和EDC讀卡機交互驗證的結果是否每次都相同，若相同即為SDA靜態身分認證，反之則為DDA。

　無論是資料保護或製卡流程　晶片安全性均優於磁條卡

　在SDA驗證中，發卡行先在後端主機中，以私鑰（private key）將資料壓碼加密，然後再傳送至晶片卡內存放，由EDC讀卡機自行去驗證，也就是解開包裝資料的密碼，將加密資料還原，再將這些還原後的資料與原始資料進行比對，若一致的話，則EDC讀卡機便會判定此卡為真。

　至於DDA運作模式則不同，EDC讀卡機會先產生一組隨機亂數（Random number），並傳送至晶片卡做運算及簽章的動作，最後再由EDC去驗證晶片所傳送回來的簽章是否正確，由於亂數是隨機產生，所以晶片卡片每次運算出來的簽章皆不相同，而EDC的驗證結果自然也就不同，故稱之為動態身分認證。

　簡單來說，SDA機制只要求晶片將資料叫出來，並不會執行運算，但DDA則會，因此，SDA的最大缺點在於若是有人可以讀取晶片內的資料時，便有可能據此而製作出1張可通過EDC讀卡機驗證的偽卡，不過，台新銀行金流產品事業處經理曾煥欽表示，即便如此，IC晶片卡的安全程度仍遠大於磁條卡。

　因為，目前破解晶片資料的技術，多半只在實驗室或研究室裡進行，藉由特別的儀器將晶片一層層地剝開，再用量測技術去探測晶片內的資料，或是利用電波原理，去測試晶片對訊息的反應，才有可能得到其中的資訊，而一般人多半不具這樣的技術能力。

　再加上晶片資料多經過加密保護，因此，非法讀取晶片卡資料，就變成是1件相當耗費成本的事情，而當不法集團發現投注在破解晶片卡上的成本，將遠遠大於所能獲得的收益時，自然就失去圖謀不軌的動力。

　其實，晶片卡的安全程度不只展現在其對資料的保護上，它的製卡過程亦較磁條卡來得嚴謹許多。傳統的磁條卡製卡程序，是由銀行主機將卡片相關資料傳送予製發卡系統，再由發卡系統傳送至製卡機端，由製卡機將資料放在卡片的正確位置上，製成卡片，而資料在傳送過程中，通常不會經過加解密處理。

　不過，到了晶片卡階段，卻有不一樣的作法，因為晶片內含許多重要資料，例如：個人PIN碼、用來進行加解密的基碼（即Key）等等，而為避免資料在傳送過程中被駭客竊取，就必須採用加密傳送的方式來保護資料。此外，銀行的製發卡系統建置完成時間早，且建置當時並沒有製發晶片卡的需求，因此，系統無法產生基碼等晶片卡才需擁有的資料，所以，銀行多半選擇在製發卡系統和製卡機之間，新增一套資料準備程序（Data Preparation），來滿足製發晶片卡的需求。

　換句話說，發卡系統仍舊依照磁條卡製卡原則來產生資料，再將資料傳送給資料準備系統，由該系統產生晶片卡所需資料（如：相關參數或基碼等），之後再加密傳送到製卡機，由製卡機寫入晶片中。通常，針對某些重要資料，製卡機會以亂碼方式寫入，讓晶片自行還原成明碼，降低這些資料的外洩風險。

　附加多元應用程式　提昇晶片卡使用價值

　對銀行業者來說，將金融卡由磁條轉換至晶片的過程，是1件相當耗費成本的投資，所以為能讓效益最大化，曾煥欽建議業者們可以附加各種不同應用程式於晶片上，提昇晶片卡的附加價值。

　全球晶片製造龍頭業者金雅拓公司表示，日本將生物辨識技術與晶片結合，持卡人至自動提款機進行交易時，不需輸入密碼，只要將手掌置於ATM螢幕上進行比對，即可辨識持卡人身分是否為真，至於韓國則是附加電子存摺的應用，將客戶存摺資料置於晶片中，省去持卡人攜帶紙本存摺的麻煩，同時也減少印刷及更換存摺的成本。

　而台灣金融業者們的應用則與國外不同，在晶片中所附加的應用程式以信用卡、金融卡、紅利點數、電子錢包、門禁管制、網路銀行身分授權等6類為主，例如信用卡、金融卡和電子錢包結合的卡片稱之為combo卡、而接觸式和非接觸式結合的多功能晶片卡則是combi卡，而不論這2者中的哪一種，都能替消費者省去攜帶多張卡片的麻煩。

　另外，以紅利點數應用來看，將紅利程式灌入晶片後，能幫助銀行積累客戶忠誠度（loyalty）。傳統上，銀行將紅利點數應用程式放在後台主機端，持卡人只能在每個月的信用卡帳單上，才能清楚自身已累積多少的紅利點數，然而，紅利點數累積其實來自於日常消費的回饋，因此，每月總結1次的紅利計算方式，其實無法讓持卡人深刻地感受到銀行所贈予的消費回饋有多大。

　不過，在晶片內附加紅利程式之後，就大不相同了，因為晶片的運算功能，所以能即時計算持卡者在每次消費後所增加的紅利點數，並將相關資訊顯示在刷卡對帳單上，讓持卡人立即感受到紅利的增減變化，甚至銀行還可以針對持卡者設計諸如來店禮或生日禮的客製化優惠。

　舉例來說，原本紅利累積制度為每消費新台幣30元即回饋1點紅利，但在晶片紅利程式內設定參數，讓持卡人於某幾家特約商店，或生日當月的消費紅利可以2倍數增加，也就是只要15元即回饋1點紅利。

　目前，應用晶片紅利程式最著名的企業莫過於遠東集團所發行的Happy Go集點卡，便是將紅利程式寫入晶片中，民眾持有此卡後，於集團內任一企業消費，都能享有紅利回饋。另外，百貨業者美麗華公司也曾在網站上置放折價券，消費者只要持有美麗華信用卡（和誠泰銀行合作發行），就能下載網路折價券至晶片中存放，於日後消費時使用。

　至於網路銀行身分授權，則是晶片金融卡另一項成本最低、但效益最明顯的應用，由於之前金融界頻傳客戶資料遭駭客竊取或外洩，導致民眾對網銀交易的信賴感明顯降低，所以近1年來，各家金融業者莫不極思改善之道。

　部分業者（如匯豐銀行、新竹國際商銀、中國信託等）引進動態密碼（OTP）機制，透過手機簡訊或動態密碼產生器產生1組效力僅1次的密碼，網銀客戶必須輸入這組密碼，才能完成交易，這種方式雖然可以強化網銀交易的安全性，但是對銀行來說，卻又是一筆不小的投資。

　不過，若改用晶片金融卡，不僅能創造和OTP機制一樣的安全等級，更不用另行購買系統設備，只需將網銀程式稍加修改即可，讓原本由使用者ID及網銀密碼組合成的身分認證機制，改為使用者ID加上晶片金融卡密碼，亦即客戶在登入網銀頁面時，除了輸入使用者ID之外，還必須將晶片金融卡插入讀卡機內與電腦相連，然後輸入晶片卡密碼進行雙因素驗證。