Az adatvédelem helyzete az RFID-ban The issue of data privacy in RFID Radványi Tibor Eszterházy Károly Főiskola Matematikai és Informatikai Intézet
TÁMOP 4.2.4.A/2-11-1-201-0001
[Titkosítás és adatvédelem az RFID használatakor] Magyary Zoltán posztdoktori ösztöndíj
Miről lesz szó? Az RFID rendszerek, és fejlődési irányuk RFID systems and its trend Adatbiztonsági elvárások, ajánlások Data security requirements and recommendations Főbb támadási lehetőségek Attack possibilities
Titkosítási protokollok használata Using encryption protocols
Tudomány Napja 2013
2013.11.12.
2
AZ RFID Rádiófrekvenciás azonosítás Nem igényel közvetlen rálátást a leolvasáshoz Nagy olvasási sebesség érhető el Esetenként nagy távolságú olvasás Adattárolási kapacitás a tag-be integrált chip kapacitásától függ
Tudomány Napja 2013
2013.11.12.
3
RFID rendszerek elemei Tagek
Olvasók
Köztes réteg
Vállalati integráció
Tudomány Napja 2013
2013.11.12.
4
Aktív tag-ek Aktív tag-ek
Saját adó
Többnyire saját energiaforrás
Mikrocsipjükben tárolt információt sugározzák rádióhullámok útján
A használt frekvencia általában 455 MHz, 2,45 GHz vagy 5,8 GHz
olvasási távolsága 100 méter körüli
Felhasználása: nagy értékű konténerek, vasúti kocsik, stb
Ára függhet: mekkora a memóriája milyen az elem élettartama milyen egyéb (pl. hőmérséklet) érzékelővel van felszerelve
milyen a tokozása (az ipari kivitelű drágább)
Tudomány Napja 2013
2013.11.12.
5
Passzív tag-ek Passzív tag-ek nem rendelkeznek adóval csak az olvasóból kisugárzott energia segítségével verik vissza a (modulált) rádióhullámokat egy mikrocsipet tartalmaz, ami egy antennával van egybeépítve speciális tokozások általában emelik a költségeket Léteznek LF (125 kHz), HF (13,56 MHz), és UHF (860-960 MHz) tartományban
némely rendszer a 2,45 GHz-es sávot illetve egyéb sávot is használhat
Tudomány Napja 2013
2013.11.12.
6
RFID frekvenciák jellemzői Frekvencia
Előnyök • világviszonylatban elfogadott
Hátrányok • <1,5m olvasási távolság
Általános alkalmazás • élôállat azonosítás
• fémes anyagok mellett is mûködik • nem praktikus raktári használatra • söröshordók (keg) Alacsony • nem szabványosított az ePC (9-135 KHz) • széles körben elterjedt • Auto Key and Lock használatánál • Könyvtári könyvek • raklapazonosítás, • Világviszonylatban elfogadott • <1,5m olvasási távolság csomagazonosítás Magas • fémes környezetben nem • Légipoggyász (13,56 MHz) • Nedves környezetben is mûködik mûködik • Széles körben elterjedt • Beléptetô rendszerek • Jelenleg még nem használható • Nagyobb olvasási távolság >1,5m • konténer, szállító jármû Ultra magas Japánban (300-1200 • Növekvô kereskedelmi alkalmazás • elnyelôdhet • jármû nyomonkövetése MHz) • Nedves környezetben is mûködik • nincs kereskedelmi használatra • jármûbeléptetô Mikrohullám • nagyobb olvasási távolság>1,5m szóló megegyezés az EU bizonyos rendszerek részein (2,45 vagy 5,8 GHz) • bonyolult rendszer kiépítése szükséges hozzá
Tudomány Napja 2013
2013.11.12.
7
Az RFID működési elve LF és HF rendszerek általában induktív csatolást alkalmaznak Egy tekercs van az olvasó antennájában és a tag antennájában is, amelyek együtt egy elektromágneses mezőt alkotnak. A tag ebből az elektromágneses mezőből nyeri az energiáját. Ezért viszonylag közel kell lenniük egymáshoz. Az LF és HF rendszerek jobban működnek fém- és folyadékfelületek közelében, mint az UHF rendszerek.
A passzív UHF rendszerek úgynevezett "propagation" csatolást alkalmaznak Ebben az esetben az olvasó és a tag nem alkot elektromágneses mezőt, hanem az olvasó által kibocsátott energiát a tag arra használja, hogy az antennáján megváltoztatja a terhelést és egy módosított jelet sugároz vissza.
Tudomány Napja 2013
2013.11.12.
8
Felhasználási területek Biztonsági beléptető rendszerek Személyek, állatok azonosítása Vagyontárgyak nyomkövetése (termékek, járművek)
Gyártás optimalizálás Díjfizető rendszerek (pl: mobiltelefonos fizetés) Kiskereskedelemben Könyvtári alkalmazás „E-passport” – Elektronikus útlevél
Sportrendezvényeken időmérés
Tudomány Napja 2013
2013.11.12.
9
A technológia jövője „An Internet of Things” – A tárgyak Internete „Biztonságos étel” – Élelmiszerek nyomon követése a gyártási fázisokban, minőség-ellenőrzés egy magasabb szintje. Vásárolt termékek cseréje, levásárlás könnyebbé válik ha el vannak látva azonosítóval. Okos háztartási termékek: mosógépek amik azonosítják a ruhát és kiválasztják a megfelelő mosási programot.
Ruhavásárlásnál a megfelelő méretű ruhákon LED-ek jeleznek vissza a vásárlónak. Fizetni a bolt elhagyásával is lehet; a zsebed lévő chip segítségével egyenlíted ki a számlát. A legkisebb chip a haj vastagságánál is kisebb már… Tudomány Napja 2013
2013.11.12.
10
Adatbiztonsági elvárások, ajánlások A Economic Cooperation és Development Organizationje (OECD) által kiadott Fair Information Practices (FIP) egy elfogadott irányelv a felhasználók adatvédelmére
Gyűjtemény korlátozás: az adatgyűjtő csak összegyűjti a szükséges információkat, és ehhez az érintett teljes jogú beleegyezése szükséges.
Az adatok minősége: az eltárolt adatokat rendszeresen frissíteni kell majd a frissített állományt el kell tárolni. A cél meghatározása: meg kell határoznunk a célunkat, vagyis hogy az eltárolt, esetlegesen bejelentett információkkal mit szeretnénk elvégezni, milyen céljaink vannak velük kapcsolatosan. Felhasználói korlátozás, megszorítás: az adott alkalmazás csak akkor hajtható végre a megfelelő adatokkal, ha abban az érintett teljes jogú beleegyezését nem adta.
Tudomány Napja 2013
2013.11.12.
11
Biztonsági véd intézkedések: szigorú védelmet kell biztosítani az adatok tárolásánál bármilyen illetéktelen, jogosulatlan hozzáféréstől vagy annak nyilvánosságra hozásáról.
Nyitottság: biztosítani kell az érintett személyeknek bármilyen problémakezelés esetén, hogy kapcsolatba léphessenek az adatkezelővel. Egyéni részvétel: az érintett személyek számára lehetővé kell tenni a adatainak teljes körű hozzáférését, tehát például az adatmódosítás vagy adat lekérdezés megoldható legyen. Felelősségre vonhatóság: ezen elvek betartásáért az adatkezelőknek felelősséget kell vállalniuk.
Tudomány Napja 2013
2013.11.12.
12
Támadási lehetőségek
Tudomány Napja 2013
2013.11.12.
13
Támadási lehetőségek Klónozás Faraday kalitka
Lehallgatás Zavarás Az induktív (LF, HF) és a visszaveréses csatolás (UHF, Micro) kihasználása
Tudomány Napja 2013
2013.11.12.
14
Biztonsági célok A rejtjelezés alapvetően a passzív támadások ellen véd, az aktív támadások elleni védekezéshez kriptográfiai protokollokat használunk, ami előre meghatározott üzenetcsere-folyamatot jelent.
1.
Az olvasó kérést sugároz a tag-nek
2.
A tag azonosítja magát az olvasónak (megadja a tárolt adatokat)
3.
Az olvasó továbbítja az adatokat a háttér szervernek
4.
A szerver adatbázisa alapján feldolgozza az adatokat
5.
A szerver elküldi a hitelesítést és a feldolgozott adatot
Tudomány Napja 2013
2013.11.12.
15
Titkosítási protokollok, melyek használhatóak passzív tag-ek esetén is XOR: egyszerű, rövid ideig hatásos
RSA: bonyolultabb LMAP – álnevek, álindexek használata
Humming-bird 2: energia és műveletigényes a megvalósítása
Tudomány Napja 2013
2013.11.12.
16
Összegzés
Egyre nagyobb felhasználási kedv az RFID iránt – sok felhasznált tag
Egyre több személyes és védendő adat a tagekben és a kommunikációban
Egyre tudatosabb felhasználók
A kutatóknak egyre nagyobb hangsúlyt kell fektetni az adatbiztonsági előírások teljesítésére, miközben a lehető legkisebb energiafelhasználás mellett működtetik a rendszereket.
Tudomány Napja 2013
Kutatásaink iránya az energia harvest eljárások integrálása felé fordul, a kriptográfiai protokollok kiterjesztése mellett.
2013.11.12.
17
Köszönöm a megtisztelő figyelmüket
Radványi Tibor
[email protected]
Dr Radványi Tibor publikációt megalapozó kutatása a TÁMOP 4.2.4.A/2-11-1-2012-0001 azonosító számú Nemzeti Kiválóság Program – Hazai hallgatói, illetve kutatói személyi támogatást biztosító rendszer kidolgozása és működtetése országos program című kiemelt projekt keretében zajlott. A projekt az Európai Unió támogatásával, az Európai Szociális Alap társfinanszírozásával valósul meg. Tudomány Napja 2013
2013.11.12.
18
