電腦安全專家：一圖勝過千位鎖匠

A Picture is Worth a Thousand Locksmiths, Computer Scientists Say
http://www.physorg.com/news144519246.html

October 29, 2008

(PhysOrg.com) -- UCSD 電腦科學家打造出一套軟體，那能夠完成鑰匙的重製而不必擁有那把鑰匙。取而代之的是，電腦科學家只要這把鑰匙的一張照片。

"我們建構了我們的鑰匙複製軟體系統以證明人們的鑰匙並非天生就安全，" Stefan Savage 說，這位來自 UCSD Jacobs 工程學院的電腦科學教授，領導這個由學生進行的計畫。"或許這是種合理的假設，但數位影像與光學中的進步已使得它很容易從遠處複製某人的鑰匙而不必引起他們的注意。"

Savage 教授在 30 日於 ACM 的 CCS 2008 研討會（主要的學術性電腦科學研討會之一）上，對這項研究進行簡報。

你家裡與辦公室鑰匙上的凹凸之處代表著一種數值編碼，那完整地描述如何開啟你獨特的鎖。如果一把鑰匙無法將這個「齒碼（bitting code）」精確編碼，那它將無法開啟你的門。

在這套新軟體系統的示範中，電腦科學家以手機的數位相機拍一張一般家中鑰匙的照片，將影像餵入他們的軟體中，它接著產生創造相同複製品所需的資訊。在另一個例子中，他們使用五吋的望遠鏡頭，從校園建築的屋頂捕捉影像，並在 200 碼之外複製一堆放在咖啡桌上的鑰匙。

"這個構想應該會讓鎖匠或鎖的供應商有點驚訝，" Savage 說。"專家已能徒手從高解析度的照片複製出鑰匙有一段時間了。然而，我們提出，這種威脅已陷入絕境 -- 便宜的影像感應器已讓數位相機普及，而基本的電腦視覺技術能自動化抽取出一把鑰匙的資訊而無須任何專門技術。"

不過 Savage 教授提醒，某人的鑰匙是「敏感視覺資訊」這種想法並未在公眾裡獲得廣泛的察覺。

"如果你到照片分享網站，諸如 Flickr，你將找到許多人的鑰匙照片，那能用來輕易的做成複製品。雖然人們把信用卡與駕照的照片貼到網路上前，通常會將上面的號碼弄模糊，不過他們並不了他們應對他們的鑰匙採取同樣的預防措施，" Savage 說。

問及該對這種鑰匙重製威脅有何因應之道時，Savage 表示，許多公司都在積極開發與行銷新的鎖系統，那以電磁的祕訣以及物理性密碼編碼。"例如，許多車鑰匙，有 RFID immobilizer chips（RFID 禁止啟動晶片），那能防止複製鑰匙將車發動，" 他說。在此同時，他建議你該像藏匿你的信用卡那樣隱藏的你的鑰匙，"將它放在你的口袋中，直到你需要用它。"

它如何運作

用於美國大部分普通住宅鎖中的鑰匙都有一連串 5 或 6 個切口（cuts），留有規律的間隔。這些電腦科學家們在 Matlab 中創造出一套程式，那能從幾乎是任何角度處理鑰匙的照片並測量每個切口的深度。將每個切口的深度連成一串，而你就擁有一把鑰匙的齒碼，連同你鑰匙的廠牌、種類這些基本資訊，這些就是你複製一把鑰匙所需的東西。

這套軟體系統，稱為「Sneakey」，的主要挑戰是調整相機與鎖拍攝鑰匙間各種不同的角度與距離。為了辦到這件事，研究者依靠一種古典的電腦視覺技術，把參考影像的控制點與目標影像中的等價點相匹配，將一個物體在三維中的方向與大小正規化。

"這個程式很簡單。你只需在照片上點幾下，告訴它鑰匙的頂點在何處，以及其他幾個控制點。從這裡，它將鑰匙的大小與位置正規化。因為每個像素接著與一組距離相關，它能精確地猜出鑰匙上每個缺口的高度，" Benjamin Laxton 解釋，一篇替他贏得電腦科學碩士學位的論文的第一作者。

研究者將不會把他們的程式釋出給大眾，但他們承認，如果某人具有 MatLab 與電腦視覺的基本知識，要建造類似系統並不困難。

"電腦視覺中的技術趨勢正處於我們需要考慮物理性安全系統的新風險的時刻，" Kai Wang 說，電腦科學系畢業生，同時也是該論文的作者之一。Wang 是位電腦視覺研究者，正在研究創造能夠讀取產品包裝上面的文字的系統。這是電腦科學教授 Serge Belongie 實驗室中，一個為視覺受損者創造出電腦化個人購物助理的大型計畫的一部份。

身為一位電腦安全專家，Savage 表示與電腦視覺學生一起研究，他樂在其中。

※ 相關報導：

＊ 相機可事後對焦 怎樣都「照得住」
＊ Google Street View 當中的混合臉孔
＊ 新液態相機鏡頭：以聲音控制光
＊ NVision：「視覺運算」的曙光