RFID系统的使用机会与风险
在微型RFID无线电芯片迅速传播的背景下,德国联邦信息技术安全部(BSI)去年与其他伙伴一起对“RFID系统使用机会与风险”进行了研究。下面介绍一些研究成果。
RFID(Radio Frequency Identification)是描述无接触地识别和无线电技术跟踪物体的方法的概念。因此,按照使用的技术和无线电频率情况,可跨接的距离从厘米范围达到几米的范围。
一、应用和市场情况
RFID系统由三个关键部分组成:
带天线的集成在标签上的收发信机芯片;
从收发信机中读出信息以及技术复杂时也能将新的信息写在标签上的数据采集设备;
配有处理和存储信息的计算机和数据库的基础系统。
虽然使用多年来,“发射无线电信号的芯片”贴在标签上,但现在才迅速发展并越来越渗透到我们的日常生活中。集成度提高的同时微电子元件进一步小型化以及价格便宜的批量生产是这种增 长的主要原因。因此,一方面取代已知的但不灵活的技术??如条形码或OCR系统(Optical Character Recognition光字符识别),另一方面也开拓了崭新的应用领域。最简单的方案用于零售商业中防盗窃行为,对此1比特标签就够了。比较复杂的标签已经用于后勤、入口控制或轿车上。除了识别号外,它们可能还包括其他数据,例如豪华轿车上座位和反射镜的自己调节。
2002年,世界上标签、读出器和要求的软件约赚取10多亿美元,预计到2008年将达46亿美元。
一方面,对用户来说这种应用是公认的。B2B过程和零售商业中批量应用使今后几年的经济持续变化。另一方面,为创造“呆滞的居民”产生崭新的广泛可能性。来自经济界和国家机构的贪欲是巨大的。即使欧洲银行也计划将来将小芯片安在钞票上,使伪造困难。
为了能搞清客观评价的各种观点,德国联邦信息技术安全部去年对“RFID系统应用的机会和风险”进行了研究。此外,未来研究和技术评价研究所(ITZ)和瑞士Empa(联邦材料试验和研究机构)参加了制订研究计划。
二、看不见的数据芯片导向“呆滞的人”
RFID标签的特征是悄悄地“出现”。配有集成芯片和天线的标签不一定一眼就可识别这些东西。读出器也 可隐蔽地安置。即使用户知道在商店或入口控制方面使用,但他对存储数据的使用不能采取任何措施。同时他也不知道,标签上存储了哪些信息以及他不知道或不允许怎样使用这些信息。因此,消费者的保护者还警告与用户卡的其他信息或其共同利用导致呆滞售货员的类似数据库连接。
因此,有两个概念引起公众的讨论:“到处存在的计算”和“普遍计算”。他们描述没有自觉的帮助情况下交换信息、由此产生新的信息或引起某些活动的起初还相当简便的机器普通居民看不见而到处出现的新形式。
到处存在的计算理解为到处出现的在幕后悄悄登台表演的“小”物体。普遍计算描述在经济界出现的这些形式并视为广泛使用深入联网的信息和通信技术,因为广泛使用到达的巨大数据量只有通过使用重新联网的计算机和数据库才能保证。
三、正在扩展的多种使用领域
在RFID使用方面,物体(这可能是商品、集装箱、动物或人)原则上总是明显配有集成在标签中的芯片上存储的识别码。按照RFID使用目的,研究报告的作者阐明了他的使用领域:物体的标记、防偷窃行为保养和修理、入口和例行手续检查、环境监控器和传感器、文件的实时检查、供应链管理。
最老的使用领域之一是动物识别,在这方面20多年来使用标记系统。其优点是显而易见的。在坚持不懈地使用方面,有益动物的路径可以从鱼的诞生跟踪到出售。这使法律规定的质量和来源保证大为容易。
RFID标签也用于垃圾清除方面:因此可将垃圾桶分配给住户或家庭,并可按清空频繁程度实际结算费用。
特别是批发和零售商业可望得到高的节省效果。根据对欧洲提供计算机打印系统的企业的谘询,IT-行业所有欧洲商人有41%计划短期内采用RFID。
到目前为止,入口检查的RFID卡限于敏感的安全部门,从2005年底起随着在欧洲旅行护照和证件中有约束地使用生物特征数据,广泛使用人员识别的这种系统成为现实。在32字节大型存储范围内,除了个人数据外,还存储面部特征和其他生物特征数据。
在业余活动范围内,例如在冬季体育运动中心,客人今天就可以用这种卡享受如登山铁道或上山吊椅、滑雪道等服务。2006年世界足球比赛是业余活动广泛使用目前最有名的例子。所有入场卡都配有一部收发信机以及体育场的入口配有读出器。防盗窃行为也进入日常生活。现代轿车每把钥匙含有用以控制开出联锁装置和中央锁紧装置的收发信机。
四、可能的威胁情况
分析对RFID系统的攻击和威胁从可能的攻击点出发并说明与攻击有关的攻击方式和不同的目的。在这方面,可集中在正面范围,即真正的RFID-系统上,因为攻击基础设施,相当于攻击不是这次研究的对象的其他计算机系统。突出根据技术可行性的观点考察的下述攻击方式:伪造收发信机的内容、伪造收发信机的同一性、通过清除命令或破坏使收发信机失效、去除标签、窃听、通过大量存在的收发信机的欺骗中断读出器(可能的综合防冲突协议的环境)、干扰数据交换和伪造读出器的同一性。
攻击的目的可作如下分类:侦察出信息(无理存取信息)、伪造信息、拒绝服务( 损害功能的可用性)以及通过攻击系统试图保护私人范围。在这方面,按照RFID-系统的整个综合体中的位置威胁是不同的。总有不同利益的两个伙伴,作为主动方的系统经营者和被动方。这是标签的载体或配有标签的物体的使用者。主动方对最佳防止窃听攻击和其它威胁的广泛 搜集和分析数据的正常工作的系统感兴趣。
被动方有不同的兴趣。在B2B过程中,主动和被动伙伴共同对防止间谍活动和破坏活动感兴趣。相反如果被动伙伴是人,对他们来说保护私人范围是重点。这首先涉及数据秘密和地址秘密。由于单个存放的数据磁道的密度日益增大,个人数据的过滤以及不久的将来以新的质量编制运动概况是可能的。
目前为止几乎还没有讨论的被动方的其他观点。这就是将技术风险转嫁给被动方并加强约束配有标签的物体的用户。于是讨论集成无线电芯片的备件的标记,它只允许汽车或洗衣机用户安装原备件,否则机器使其服务失效。
两个观点虽然是没有犯法的能量实施攻击方式,但对用户来说是威胁和限制作出决定的自由。对攻击的研究报告中的探讨部分还具有理论性质。因此,目前还不能全面估计可行性和效果。
五、有哪些可能的安全措施
安全的RFID系统应增强保密性、防止信息外泄及可长期跟踪性,结合物理方法和密码方法来保证安全性。
编码(防止窃听读出器-收发信机空中接口);
敏感数据只存储在基础系统中;
使用防冲突协议(通过无声-树形-移动,临时识别的阿洛哈方法);
假名化(掩盖标签的同一性);
阻止通过字块标签读出;
使用户终端的标签持久去活化;
例如按照欧洲数据保护方针将公平的信息方式转换成RFID-协议。
对研究报告方面的专家询问得出,目前由于技术上花费精力,对RFID-系统攻击的危险还很小。但将来大批量使用时这种威胁可能改变。还没有积极努力知道能产生“呆滞的用户或居民”。商业企业只集中在后勤链上。目前,标签当前的费用和复杂数据库的综合分析阻碍用户或运动概况的深入编制。因此,在不久的将来也只是高档商品配置RFID-标签。大宗商品中仅运输集装架配置标签并因此只用于后勤目的。
最迟,当配有生物特征数据的旅行护照成为公共财产时,国家机关对挑选出的人员的运动概况的渴望将增加。美国对恐怖主义斗争借口下提出的生物特征护照的要求已指出了这条路子。
六、要求透明性
研究报告的作者从研究中推论出,普遍计算的未来应用以高度分布、自动联网和高度的系统复杂性为特征。同时内部透明性提高,因为联网产生的效果的行为和结果之间的关联不再能识别。总之,技术背景过程的依赖性提高。但用户的信任只有通过这种过程的广泛透明性获得。
但将来必须注意以下两个观点:
1、信息安全的威胁作为自动化经济中的危险,即RFID系统中数据的使用危险;
2、首先注意被动方的数据保护。
在第一种情况下研究的技术方案可以提供有效保护,而在第二种情况下也要求政策。数据保护法应反复地根据当前的要求进行审查并注意数据只能节省地发出,发出后尽快匿名。