De risico’s van een RFID-systeem Auteur: ir. Erica Zaaiman > Erica Zaaiman is als adviseur werkzaam bij de Security & Technology groep van PricewaterhouseCoopers Advisory N.V. (e-mail:
[email protected])
Toepassingen Vanuit de samenleving bestaat steeds meer interesse voor RFID vanwege het steeds kleinere formaat van de RFIDchips en de steeds lagere prijs. RFID wordt onder andere gebruikt voor de volgende toepassingen: • In het lichaam geïmplanteerde toegangspas bij de Baja Beach Club, waarbij de chip gebruikt wordt om bezoekers te herkennen. De bezoeker krijgt hiermee toegang tot de VIP lounge en tevens kan betaald worden vanaf de rekening bij de Baja Beach Club. • Supply chain management in bijvoorbeeld een boekenwinkel, waarbij boeken eenvoudiger (per doos in plaats van stuk voor stuk) gescand kunnen worden. De logistiek en het voorraadbeheer worden hiermee eenvoudiger. Uiteindelijk is het de bedoeling om ook de dienstverlening te verbeteren doordat de locatie van boeken bekend is en door de mogelijkheid om klanten automatisch op de hoogte te stellen van het feit dat een besteld boek binnen is. • Medische toepassingen zoals het identificeren van (de medische geschiedenis van) patiënten door middel van het gebruik van RFIDtags in polsbandjes en verificatie van geneesmiddelen door middel van het opnemen van een RFID-tag in de verpakking, zodat door de verkoper gecontroleerd kan worden of de inhoud geen nepmedicijnen bevat. • Bewaking van gevangenen door middel van het gebruik van polsbandjes met RFID-tags, waardoor hun bewegingen te volgen zijn.
RFID (radio frequency identification) wordt steeds meer toegepast, variërend van logistieke toepassingen (supply chain management) tot en met toegangscontrole. Een recent voorbeeld is het nieuwe Nederlandse paspoort. Door de steeds bredere toepassingen van RFID is het relevant om op de hoogte te zijn van de specifieke beveiligingsrisico’s en -maatregelen van RFID-systemen. In dit artikel zal allereerst een beknopte technische toelichting van een RFID-systeem gegeven worden. Door middel van een risicoanalyse zal ingegaan worden op de specifieke beveiligingsrisico’s, waarbij tevens de mogelijk te treffen maatregelen aangegeven zullen worden. Daarna zal ingegaan worden op de risico’s met betrekking tot standaardisatie en wetgeving.
Technische toelichting Een RFID-systeem bestaat uit een RFID-tag, een reader en de back-end systemen (zie figuur 1). De back-end systemen zijn normale computersystemen en de communicatie tussen deze systemen en de reader vindt plaats via normale fysieke of draadloze communicatie.
De RFID-tag
actief en semi-actief) en de mogelijkheid om gegevens te herschrijven (RO, WORM en RW). Deze twee eigenschappen zijn onafhankelijk van elkaar te combineren. Een tag bestaat uit een microchip en een antenne. Daarnaast heeft een (semi-)actieve tag een eigen energiebron (bijvoorbeeld een batterij of gebaseerd op zonne-energie) en Figuur 2
De RFID-tag bevindt zich op of in het te identificeren product (zie figuur 2). Classificatie van tags is mogelijk op twee manieren, namelijk door de mogelijkheden van de tag (passief, Figuur 1
elektronica voor het uitvoeren van een specifieke taak. Doordat de passieve tag geen eigen energiebron heeft, is deze voor zijn energie afhankelijk van de radiogolf van de reader (hierdoor kan deze tag alleen informatie versturen op verzoek van de reader). Een actieve tag gebruikt zijn eigen energiebron om gegevens te transporteren naar de reader en voor de elektronica. Indien de batterij van een tag leeg is, kan een reader niet vaststellen of het onmogelijk is om een tag uit te lezen, doordat deze zich niet meer in de leeszone bevindt of doordat deze een lege batterij heeft. De reader kan eventueel
INFORMATIEBEVEILIGING NOVEMBER 2006
11
vaststellen dat de batterij de oorzaak is, indien de tag de status van de batterij aan de reader meldt. Met betrekking tot de communicatie met de reader zijn actieve tags te verdelen in twee categorieën, namelijk een transmitter of een transponder. Een transmitter verzendt zijn gegevens continu naar de omgeving en zal zodoende altijd de communicatie met de reader beginnen. De transponder wacht op een specifiek commando van de reader voordat hij zijn gegevens verstuurt. Hij spaart hiermee energie van de energiebron, omdat hij zich tijdens het wachten in een slaaptoestand bevindt. Een semi-actieve (semi-passieve) tag gebruikt de energiebron alleen voor het leveren van energie aan de elektronica en niet voor het verzenden van de gegevens. Hiervoor wordt gebruikgemaakt van de energie van de radiogolf van de reader. Voor wat betreft het herschrijven van de gegevens op de tag kan onderscheid worden gemaakt tussen RO (read-only), WORM (write once, read many) en RW (read-write). Een RO-tag wordt bij de productie in de fabriek geprogrammeerd, terwijl een WORMtag door de gebruiker van de tag geprogrammeerd wordt. Een RW-tag kan meerdere malen geprogrammeerd worden door een reader of een actieve tag door de aanwezigheid van Flash memory of FRAM (Ferroelectric Random Access Memory).
opgenomen in de lijst van gelezen tags. Een item op deze lijst heeft een zogenaamde permanente tijd. Indien een tag binnen dit tijdsbestek niet opnieuw gelezen wordt, wordt hij verwijderd van de lijst. Op de lijst wordt bijvoorbeeld de volgende informatie bijgehouden: het unieke ID van de tag, het tijdstip van lezen, hoe vaak een tag gelezen is sinds deze voor de eerste maal gelezen is, het ID van de antenne welke de tag gelezen heeft (in verband met het uitfilteren van duplicaten) en de naam van de reader. Deze lijst wordt opgeslagen in het memory van de reader.
mando’s van een applicatie op de host (automatisch) of van een gebruiker door middel van een cliënt (handmatig) en voert deze vervolgens uit. De communicatie van de reader met de tags (zie figuur 5) verloopt via de reader antenne. De antenne verzendt het RFsignaal van de reader en ontvangt namens de reader de antwoorden van de tags. De leeszone van de antenne wordt bepaald door de footprint. Generiek is een footprint een driedimensionale regio welke de vorm heeft van een ellipsoïde of een ballon. In de Figuur 4
De reader kan hem periodiek versturen aan een applicatie op de back-end systemen (zie figuur 4). Als er tijdelijk geen verbinding is tussen de reader en de back-end systemen, zullen hierdoor in eerste instantie geen gegevens verloren gaan. Het memory heeft echter een limiet, waardoor het overschreven wordt conform het FIFO-principe (First In First Out). Een interactieve reader ontvangt comFiguur 3
praktijk is een footprint nooit uniform gevormd, maar heeft deze altijd vergroeiingen en uitsteeksels. Hierdoor zal een tag niet altijd gelezen worden aan de randen van een antenne footprint. De antenne footprint is afhankelijk van de omgeving, dus zal deze bepaald moeten worden door middel van signaalanalyse. De communicatie tussen de reader en de tag kan van de volgende types zijn: • modulated backscatter; • transmitter type; • transponder type. Bij modulated backscatter communicatie wordt gebruikgemaakt van passieve en semi-actieve tags. De reader zendt hierbij een continue RF-signaal, welke bestaat uit energie en een kloksignaal. De microchip gebruikt de verkregen energie om een signaal terug te sturen
De reader
Figuur 5
De reader (zie figuur 3) kan gegevens lezen van en schrijven naar compatibele RFID-tags, waarbij de werkwijze afhankelijk is van de gebruikte modus (autonoom of interactief). In de autonome modus leest een reader alle compatibele tags die zich in de leeszone bevinden. Elke keer dat een tag gelezen wordt, wordt deze
12
INFORMATIEBEVEILIGING NOVEMBER 2006
naar de reader. Transmitter type communicatie wordt alleen gebruikt door actieve tags. De tag verzendt hierbij zijn eigen bericht met regelmatige intervallen naar de omgeving, onafhankelijk van het feit of zich hierin een reader bevindt of niet. Transponder type communicatie wordt gebruikt door de transponder. Tijdens de slaaptoestand van de tag, zendt deze tag periodiek een bericht om te controleren of een reader luistert. Indien een reader het bericht ontvangt, kan deze de tag instrueren om de slaaptoestand te beëindigen. Als zo’n bericht van een reader ontvangen wordt door een tag, zal deze zich gaan gedragen als een transmitter. De communicatie tussen de tag en de reader vindt plaats op de RFID frequenties: • LF (low frequency); • HF (high frequency); • VHF (very high frequency); • UHF (ultra high frequency); • Microwave frequency. In tabel 1 zijn deze opgenomen inclusief de gebruikte frequentie en tag (in Europa). Naam LF HF VHF UHF
Frequentie 125-134 KHz 13,56 MHz 30-300 MHz
Tag Passief Passief Niet van toepassing, wordt niet gebruikt Actief en passief
865-865,5 MHz, 0,1 watts ERP 865,6-867,6 MHz, 2 watts ERP 867,6-868 MHz, 0,5 watts ERP Microwave 2,45 GHz Semi-actief en passief
andere uitgevoerd worden zijn: -het uitfilteren van duplicaten van verschillende readers; -het samenvoegen en selectief verzenden van gegevens aan de back-end systemen; -het managen van readers; -het efficiënt beheren van gegevens welke geproduceerd worden door het RFID-systeem; -het verzorgen van generieke componenten welke gebruikt kunnen worden bij de implementatie van filtering en aggregatie.
municatie tussen de diverse back-end systemen. Tevens gelden de risico’s voor de back-end systemen ook voor de reader. De belangrijkste risico’s inclusief toelichting en bedreigde kwaliteitsaspecten zijn opgenomen in tabel 2.
Beveiligingsmaatregelen
Risicoanalyse
De risico’s zijn te voorkomen door het nemen van verschillende maatregelen, welke achtereenvolgend kort toegelicht zullen worden voor de tag, de communicatie tussen tag en reader, de reader en de back-end systemen inclusief communicatie.
Vanuit deze toelichting op de werkwijze van RFID is het duidelijk dat RFIDsystemen een aantal risico’s kennen. Om tot een gestructureerd overzicht van de risico’s van een RFID-systeem te komen, is een risicoanalyse uitgevoerd, welke hieronder toegelicht zal worden. Vanzelfsprekend zal bij de implementatie van een RFID-systeem een eigen risicoanalyse worden uitgevoerd naar de specifieke risico’s van het betreffende systeem, waarbij onderstaande risicoanalyse als uitgangspunt genomen kan worden. De risicoanalyse is gebaseerd op de kwaliteitsaspecten continuïteit, exclusiviteit en integriteit zoals geformuleerd door de NOREA. De resultaten van de risicoanalyse zijn opgenomen in figuur 7. De risico’s voor de communicatie tussen de reader en de back-end systemen zijn ook risico’s voor de com-
Het ongeautoriseerd uitlezen van de tag (risico’s 1, 2, 3 en 4) kan op een aantal manieren voorkomen worden: • het (tijdelijk) deactiveren indien deze (tijdelijk) niet noodzakelijk is door middel van het gebruik van een killcommando of het plaatsen in een kooi van Faraday. De kooi van Faraday kan ook toegepast worden door de gebruiker van de tag, waardoor deze een grotere keuzevrijheid heeft met betrekking tot het wel of niet lasten uitlezen van de tag. • het gebruik van een transponder, omdat deze alleen reageert op een verzoek om informatie van de reader. Tussendoor bevindt deze zich in een slaaptoestand en verstuurt deze geen informatie. Hierbij moet wel opgemerkt worden dat deze een batterij heeft en daardoor een Figuur 7
Tabel 1: RFID frequenties in Europa
Back-end systemen De back-end systemen (zie figuur 6) zijn bedoeld voor de integratie van de tags en de reader(s) met de bedrijfsprocessen. Taken die hierbij onder Figuur 6
beperkte levensduur. • het gebruik van authenticatiemethoden, waardoor niet-geauthenticeerde readers alleen de aanwezigheid van een tag kunnen vaststellen, maar niet kunnen bepalen welke tag het is. Het verwijderen van een tag van een object (risico 5) kan niet geheel voorkomen worden. Te nemen maatregelen
INFORMATIEBEVEILIGING NOVEMBER 2006
13
Nr, Risico 1 Gegevens op tag wijzigen 2 Tag uitlezen
3
Identiteit tag vervalsen
4
Tag deactiveren
5
Tag verwijderen
6
Communicatie tag en reader afluisteren Communicatie tag en reader verstoren, wijzigen of blokkeren
7
8
9
Identiteit reader vervalsen
Beperkte geheugencapaciteit reader
10 Normale risico’s communicatie
11 Normale risico’s computersystemen
Toelichting Gegevens op de tag kunnen gewijzigd worden, zodat verkeerde informatie naar de reader toegezonden wordt. Elke reader kan een compatibel tag uitlezen (ook als voor de gebruiker onbekend is dat een reader en/of tag aanwezig is). Hierdoor is het mogelijk om tags te volgen en op elke willekeurige locatie uit te lezen. Het is bijvoorbeeld ook mogelijk om bij de eerste generatie RFID-chips de sleutel te achterhalen, omdat deze niet goed beveiligd zijn. Door de unieke identificatie en de beveiligingsinformatie van een tag te gebruiken, kan de betreffende tag gekloond of nagebootst worden. Het is mogelijk een tag te deactiveren door deze mechanisch (bijvoorbeeld een kill-commando of een batterij van een actieve tag ontladen door deze veel te bevragen) of chemisch (bijvoorbeeld straling van een magnetron) stuk te maken. Het is mogelijk om een tag te verwijderen van het object waarop deze zich bevindt. Door het afluisteren van de communicatie tussen de tag en de reader is bekend welke tags zich waar bevinden, welke informatie een reader opvraagt en welke informatie een tag geeft. Door bijvoorbeeld veel tags te simuleren, een stoorzender te plaatsen, de gebruikte frequentie te verstoren of tags te verpakken in metaal (kooi van Faraday) is het mogelijk om de communicatie tussen tag en reader te verstoren of te blokkeren. Daarnaast is het mogelijk om de communicatie tussen de tag en reader op te vangen en zelf nieuwe te versturen (man-in-the-middle attack). In bepaalde systemen dient de reader zich te autoriseren aan de tags. Door de identiteit van de reader te vervalsen kan informatie van de tags en de back-end systemen verkregen worden, maar kan ook informatie verstuurd worden naar de back-end systemen. De reader heeft een beperkte capaciteit om gegevens op te slaan indien geen communicatie met de back-end systemen mogelijk is. Indien deze capaciteit vol is, zal het geheugen overschreven worden conform het FIFO-principe (verlies van informatie). Tussen de back-end systemen onderling en de reader wordt gebruiktgemaakt van de normale communicatiemiddelen. Hiervoor gelden de risico’s welke ook voor normale communicatie van toepassing zijn. De back-end systemen zijn normale computersystemen, waarvoor de risico’s gelden welke ook voor normale systemen van toepassing zijn.
C E I X
X
X X
X X
X
X
X
X X
X
X
X X X
X X X
Tabel 2: Risicoanalyse incl. bedreigde kwaliteitsaspecten (C(ontinuïteit), E(xclusiviteit) en I(ntegriteit))
zijn afhankelijk van het object, de locatie van de tag en de houding van het individu ten opzichte van RFID. Een kosten-/batenanalyse zal uitgevoerd moeten worden om de te nemen maatregelen te bepalen. De communicatie tussen de tag en de reader (risico’s 6, 7 en 8) kan beschermd worden door middel van het versleutelen van deze informatie, het authenticeren van reader en tag en het gebruik van een checksum. Het verstoren of blokkeren van deze communicatie kan niet geheel voorkomen worden, omdat het onmogelijk is om de omgeving geheel te conditioneren. Om ervoor te zorgen dat de reader alle
14
verkregen informatie van de tags kan opslaan in zijn geheugen (risico 9) is het noodzakelijk om te zorgen voor voldoende geheugen (afhankelijk van het gebruik van het systeem) ofwel een hoge beschikbaarheid van de achterliggende systemen en de communicatie infrastructuur (bijvoorbeeld redundant uitvoeren), waardoor de lijst met informatie altijd verstuurd kan worden. De risico’s voor de back-end systemen en de communicatie (risico’s 10 en 11) zullen bepaald moeten worden door middel van een risicoanalyse. Aan de hand van de risicoanalyse kunnen de te nemen maatregelen bepaald worden.
INFORMATIEBEVEILIGING NOVEMBER 2006
Standaardisatie Een risico met betrekking tot RFID is de afwezigheid van één standaard. De volgende organisaties hebben onder andere standaarden opgesteld voor RFID: • ANSI (American National Standards Institute) • AIAG (Automotive Industry Action Group) • EAN.UCC (European Article Numbering Association International, Uniform Code Council) • EPCglobal • ISO (International Organization for Standardization) • CEN (Comité Européen Normalisation) • ETSI (European Telecommunications Standards Institute) • ERO (European Radiocommunications Office) • UPU (Universal Postal Union) • ASTM (American Society for Testing and Materials) De standaard van EPCglobal heeft de grootste kans om wereldwijd geadopteerd te worden mede doordat deze niet specifiek is voor een bepaalde toepassing. EPCglobal gebruikt de Electronic Product Code (EPC) om een product uniek te identificeren. Deze EPC bevat geen informatie over het product. Een EPC bestaat uit vier onderdelen: • een header welke de gebruikte EPC versie aangeeft; • een manager number, welke de bedrijfsnaam of het domein aangeeft; • een object class, welke het classtype van het object aangeeft; • een serial number, welke een nummer aan het object meegeeft. EPCglobal heeft object classes gespecificeerd, waarvan de specificaties in tabel 3 zijn opgenomen. Een kill commando houdt in dat de tag de gegevens in zijn geheugen verwijdert of zichzelf zodanig opnieuw configureert dat communicatie met een reader niet meer mogelijk is. De tags van class 0 en 1 zijn niet uitwisselbaar. Deze tags zullen vervangen gaan worden door class 1 UHF Generation 2 tag (ook wel EPC Gen 2
Class Soort tag 0 Passief Class 0: RO Class 0+: WORM 1 Passief Class 1: WORM Gen 2: RW
2 3
4
Passief RW Actief RW Actief RW
Bits 64 bits EPC
Frequency UHF
Class 1: 96 Class 1: UHF bits EPC HF Gen 2: 96 Gen 2: UHF bits EPC,32 bits foutcorrectie en kill commando In ieder geval 224 bits gebruikersdata Nog niet gespecificeerde hoeveelheid gebruikersdata Nog niet gespecificeerde hoeveelheid gebruikersdata
Tabel 3: Specificaties object classes EPCglobal
of Gen 2 tag genoemd). De classes 2, 3 en 4 bevinden zich momenteel nog in de prototype fase. Het toewijzen van één of meerdere blokken EPC vindt plaats door de EPC manager (onderdeel van het RFID-systeem bij de organisatie welke RFID gebruikt). Deze rechten heeft de EPC Manager ontvangen van de Issuing Agency (instantie van EPCglobal). De EPC Manager heeft twee unieke verantwoordelijkheden: • het uitgeven van een EPC aan een fysiek object of een andere identiteit, waarbij de uniekheid van EPC’s behouden moet blijven; • het bijhouden van de Object Name Service (ONS) informatie over het blok of de blokken EPC’s, welke door de EPC Manager onderhouden worden (indien EPC’s alleen bij een EPC Manager gebruikt worden is dit niet noodzakelijk). De ONS kan vergeleken worden met een DNS. De ONS ontvangt als input een EPC en hij produceert als output een adres, waar deze EPC gevonden kan worden. Voor EPC-tags, interface protocollen en back-end systemen zijn specificaties beschikbaar, zodat readers, tags en soft-
ware van verschillende leveranciers interoperabel zijn.
Wetgeving Nederland heeft nog geen wetgeving met betrekking tot RFID. De enige uitzondering hierop is de Wet Bescherming Persoonsgegevens, welke alleen van toepassing is indien de gegevens in een RFID-systeem herleidbaar zijn tot een individu. De fractie van de ChristenUnie in de Tweede Kamer heeft in mei 2005 een notitie geschreven over RFID naar aanleiding van de berichten in de media over de steeds bredere toepassingsmogelijkheden van RFID. In de notitie worden door de ChristenUnie maatregelen voorgesteld met betrekking tot RFID, welke zich richten op het aanpassen/opstellen van wetgeving, het onderzoeken van de gevolgen van RFID, de beveiliging van RFID en het informeren/voorlichten van burgers/consumenten. De technologiecommissie van de Tweede Kamer organiseerde op 5 april 2006 een themabijeenkomst over RFIDtechnologie in samenwerking met het RFID Platform Nederland en ECP.NL. Tijdens de bijeenkomst werden twee debatten gevoerd over respectievelijk de kansen en mogelijke risico’s bij het gebruik van RFID-technologie in Nederland. Het debat over de kansen en mogelijkheden van RFID voor Nederland ging voornamelijk over de rolverdeling tussen overheid en bedrijfsleven bij het stimuleren van de ontwikkeling van RFID. De rol die de de overheid werd toebedeeld, lag vooral in het stimuleren van de toepassing van RFID, voorlichting en bewustwording rond RFID en het stimuleren van het standaardisatiewerk. Het debat over de mogelijke risico’s van RFID voor Nederland maakte duidelijk
dat de consument de grootst mogelijke keuzevrijheid moet hebben bij de acceptatie van RFID en dat de huidige wetgeving niet gewijzigd hoeft te worden in het kader van RFID, maar wel verduidelijkt. Concluderend werd gesteld dat de invoering van RFID op een verantwoorde wijze plaats dient te vinden, waarbij het een gezamenlijke taak van de overheid, aanbieders, gebruikers en maatschappelijke organisaties is om dit voorspoedig te laten verlopen. Ook de Europese Commissie is begonnen met een debat over de kansen en bedreigingen van RFID voor overheid, bedrijven en maatschappij. Dit debat is begonnen met een paneldiscussie tijdens CeBIT 2006. Gevolgd door vijf workshops (maart tot en met juni 2006). Op basis van de workshops zal een rapport opgesteld worden, waarover online gediscussieerd kan worden. Dit zal resulteren in een definitieve versie van dit rapport.
Conclusie Het gebruik van een RFID-systeem brengt diverse risico’s met zich mee. Afhankelijk van de toepassing van het betreffende systeem, zullen deze risico’s consequenties hebben voor de toepassing van het systeem. Bij de implementatie van een RFID-systeem zal zodoende een risicoanalyse uitgevoerd moeten worden om te bepalen welke specifieke risico’s gelopen worden en welke maatregelen zodoende noodzakelijk zijn. Startpunt voor het uitvoeren van deze risicoanalyse kan de in dit artikel opgenomen risicoanalyse zijn.
Literatuurlijst: Lahiri, S., RFID Sourcebook. International Business Machines Corporation, 2006.
Locatie-onafhankelijkheid - VPN toegangsvoorziening Auteur: Maarten Hartsuijker > Maarten Hartsuijker werkt bij het Competence Center Security van Getronics PinkRoccade als beveiligingsadviseur en technisch auditor. Hij is te bereiken via
[email protected].
Toen eind vorige eeuw het bedrijfsnetwerk zijn opmars maakte, ontstond al snel de behoefte om toegang tot de diensten binnen dit netwerk uit te breiden. Alleen toegang vanaf de eigen locatie was niet meer voldoende. Om leveranciers, klanten en medewerkers vanaf waar ook toegang te kunnen bieden tot het netwerk, werden modempools geplaatst. Hierop kon worden ingebeld, waarna via een privé netwerk over de telefoonlijn systeemconsoles beschikbaar kwamen om op afstand commando’s door te geven. Eenvoudige commando’s, want de snelheid van de verbinding maakte het uitwisselen van gegevens geen klus voor de ongeduldigen onder ons.
INFORMATIEBEVEILIGING NOVEMBER 2006
15
