Kryptoblog

(Den här nyheten kom på min favoritwebbplats BoingBoing.) RFID införs på allt fler platser i vår vardag, inte minst i våra nya pass. Tyvärr verkar RFID-förespråkarna ta väldigt lätt (alternativt ignorera, eller vara omedvetna om) de säkerhetsproblem som finns med RFID. Därför är det skönt att se att det finns idéer om hur man kan förbättra säkerheten för RFID, när tekniken trots allt införs.

Artikeln A Platform for RFID Security and Privacy Administration beskriver en maskin som agerar som brandvägg för RFID-enheter du bär med dig:

Maskinen fungerar att den normalt sett stör ut/blockerar de RFID-taggar du bär med dig. Samtidigt agerar maskinen gentemot omvärlden som om den vore de taggar du bär med dig. När du kommer fram till en läsare du anser godkänd att kommunicera med en av dina riktiga RFID-taggar slutar enheten att störa ut den taggen, och normal RFID-kommunkation med just den taggen sker.

Det som oftast dyker upp som förslag på hur man bör skydda sig mot ID-stöld från RFID-taggar är att antingen linda in taggen (och det den sitter på/i) i metallfolie, alternativt steka den i mikrovågsugnen en stund. Men dessa lösningar är opraktiska, väldigt drastiska och funkar inte med de legitima system som de facto byggs upp med RFID som bas. Jag tycker att den här lösningen känns mycket mer intelligent och är du intresserad av personlig integritet och RFID rekommenderas artikeln starkt.

Enligt en nyhetsblänkare från Business Region Göteborg (BRG) har SATO International, en av världens största leverantör av RFID och etikettskrivare etablerat sig i Göteborg. Affärsutvecklingschefen för satsningen, Anders Åkesson förklarar satsningen så här:

Etableringen ger fortsatt möjlighet för Göteborg att positionera sig som ett centrum inom automatisk datafångst för produkter och mjukvara baserade på steckkods- och/eller RFID-teknik i Skandinavien

Att det blev Göteborg (med omnejd) är, iaf om det handlar om etiketter och automatisk märkning, inte så svårt att förstå. I Göteborg vimlar det av mer eller mindre stora företag som med lite olika inriktning sysslar med etikettskrivare, märkutrustning, RFID etc. Som utomstående verkar det nästan som om dom i rask takt försökar sig genom delning… Några av dom mer kända är Imaje och Matthews Swedot, men dit finns många fler.

HP har precis presenterat en helt ny teknologi kallad Spot. Spot är ett minneschip utrustat med en antenn och styrlogik direkt på den 2×4 mm stora kretsytan:

Det man direkt funderar på är vad som skiljer Spot från RFID. Enligt HP är det flera saker som skiljer:

• Antennen är integrerad direkt på kretsytan.
• Spot kommunicerar på 2.45 GHz, till skillnad från RFID som kommunicerar på 13.56 MHz. Den högre frekvensen innebär bland annat möjligheter till högre banbredd (dvs kommunikationshastighet).
• Läsavståndet är ca 1 mm, till skillnad från upp till 30 cm för passiva RFID-taggar.
• Kretsen lagrar minst 512 kByte, upp till flera MByte. RFID-kretsar lagrar ett fåtal kByte.

HP tänker sig flera olika applikationer för Spot, exempelvis ljudfiler integrerade i foton, patientbrickor med journalinformation och många andra smarta lösningar.

För att detta skall fungera måste Spot-kretsarna vara billiga. HP säger att dom räknar med att 1 USD/krets är fullt möjlig, ett pris jag tror är för högt. (RFID-taggar är redan i dag mycket lägre än så.)

Det vi alla naturligtvis funderar på är hur säkert Spot är? Tyvärr berättar inte HP så mycket om hur datat skyddas, både på kretsen och vid aväsning. Det korta avståndet för HP dock fram som en egenskap som gör Spot säker. Tyvärr visar RFID att även passiv avläsning kan nå mycket längre än man skulle kunna tro.

Guvenör Arnold Schwarzenegger gillar RFID, mer exakt gillar han inte att införa begränsningar och krav på hur RFID används. I sin roll som guvenör har han stoppat ett lagförslag som annars skulle infört krav på hur RFID används i Kalifornien.

Varför är nu detta intressant för oss i Sverige då? Jo, därför att Identity Information Protection Act of 2006, som lagförslaget kallas är ett i mitt tycke bra förslag som vi skulle behöva här också. EFF har skrivit en bra analys av av lagförslaget och några saker dom lyfter fram från förslaget är:

• Krav på att skyddmetoder (exempelvis kryptering) för att stoppa icke-godkänd avläsning.
• Krav på ömsesidig autenticiering.
• Krav på information till användaren om att RFID-utrustad enhet kan sprida information.

Och mycket mer. Är du intresserad av IT och personlig integritet rekommenderar jag dig att titta på lagförslaget och EFFs analys.

(Uppdaterad med rättstavning av Linus.)

RFID-humor från BBC: En bil- och hundägare blev av med sin RFID-nyckel och kunde inte starta bilen då RFID-nyckeln måste vara i närheten av bilen för att bilen skall gå att starta. Så småningom kom man fram till att den kära hunden hade ätit upp RFID-nyckeln. När hunden placerades i framsätet på bilen gick bilen återigen att starta!

Mer seriöst visar detta på att RFID-teknologi för att kontrollera behörigheter kan få konsekvenser för möjligheten att använda bilen, komma in i lägenheten osv. I min frus förra bostadsrättsförening fanns det en kille som arbetade som svetsare. Han förbrukade ett flertal RFID-brickor. Glömde han att lägga i från sig nycklarna innan han skulle börja svetsa kom han helt enkelt inte in i sin lägenheten på kvällen. Elfälten vid svetsningen förstörde brickan. (Visst en vanlig nyckel kan komma bort, men elektronik är mer känslig än en bit metall, och RFID-brickor är normalt sett mindre än nycklar.)

Hur det gick med hunden och RFID-nyckeln? Antagligen kom den ut efter ett par dagar - men skulle du vilja använda den nyckeln efteråt?
(Updaterad med rättstavning av Linus.)

Det svenska företaget ACSC - All Cards Service Center finska dotterbolag PA Segenmark skall enligt en artikel på Evertiq att börja tillverka dom nya finska biometriska passen. En ligt artikeln kommer passen att kosta 46 Euro och vara giltiga i fem år. Passen kommer från början bara att innehålla informatiom om ansiktsform, ej fingeravtryck.

ACSC hade jag aldrig hört talas om, men verkara vara ett stort företag på ID-kort, RFID-taggar m.m. Dom har flera olika typer av RDID-taggar för logistik, passersystem m.m. Taggarna finns i ett flertal olika typer av formfaktorer, exempelvis:

Dock förstår inte jag kopplingen mellan RFID och den här bilden på ACSC:s webbplats om RFID:

Enligt en artikel i Ny Teknik skall Datainspektionen utreda säkerheten i de nya, elektroniska passen där biometrisk information skall lagras i ett RFID-chip.

Skälet till utredningen är de attacker som presenterades tidigare i somras och som fick stor uppmärksamhet i utlandet (dock har det som jag uppfattat det varit ganska tyst i Sverige.):

1. Artikel på The Register.
2. Blog med fler detaljer om attacken.
3. En artikel som bla tar upp att kostnaden för attacken var ca 100 USD.

Artikeln på Ny Teknik berättar att företaget Smarticware i Stockholm varit de som arbetat med Sveriges inblandning i standardiseringsarbetet. Bolagets VD berättar i artikeln att EU lagt ut sa en halv miljard på utvecklingen av de nya passen. En sak jag inte visste, men som dök upp i en diskussion på maillistan cryptography är vilken organisation som specificerar vad som gäller för den här typen av pass och hur dom skiljer sig åt:

Actually, the international standards for the Machine Readable Travel Documents
(passports, aka MRTDs) are written by the International Civil Aviation
Organisation (ICAO).

Both the US and EU passports comply to the ICAO standards. However, EU
passports will be further protected by a so called Extended Access Control
procedure. This procedure provides, among others, terminal authentication to
the passport, to reduce the risk that biometric data is read by rogue readers.

Vi får väl se hur bra Extended Access Control Procedure verkligen fungerar.

Även om du inte går omkring med en hatt i aluminiumfolie är du kanske (med rätta) lite fundersam på om du inte borde skydda ditt nya fina kreditkort som har stöd för kontaktlös avläsning - dvs RFID. Nu behöver du inte leta längre.

Franska ASK har tagit fram ett slags fodral för kort kallat PrivaC´ticket. Fodralet är utrustat med en antenn som ser till att fånga upp och absorbera alla försök att kommunicera med kortet inne i fodralet.

Effektivt? Ingen aning, risken är väl att den likt hatten mest är en tröst för själen. Vore spännande att se om fodralet (till skillnad från hatten) verkligen fungerar.

RFID-lösningar baserade på standarden ISO-14443 börjar bli vanliga i ett flertal konsumentapplikationer - kreditkort, ID-kort, pass med E-funktionalitet m.m. I de flesta fall innebär detta ökad säkerhet för konsumenten. Men ett bekymmer med RFID i jämförelse med kontaktbaserade lösningar är att RFID går att läsa av på avstånd. I värsta fall innebär detta att du inte längre behöver lämna i från dig ditt kreditkort för att någon skall sno din information.

Låter det otroligt - eller iaf dyrt och komplicerat. Vad sägs om en kostnad på ca 1000 SEK, något en person med en liten hobbyverkstad och lite lediga kvällar och ambition? Det är iaf vad det krävdes för att ta fram den här utrustningen.

Den här läsaren är relativt stor och klumpig, men klarar av att läsa av RFID-taggar på ett avstånd på mer än 25 cm. Tillräckligt långt för att kunna gömma läsaren bakom en vägg. Systemlösningen ser ut så här:

Vad bilden visar är att med en förstärkare och en avstämd loopantenn läser man av ISO-14443-taggar på avstånd. Taggarna kommunicerar med en vanlig läsare som sedan skickar informationen till lämplig PC för datainsamling. Nu är det ingen liten antenn vi pratar om, så det är inget man stoppar i fickan precis:

40×40 cm stor loop av koppar-rör för att vara exakt.

Men storleken till trots, kan ett par personer med för mycket fritid och ca 1000 SEK bygga en sådan här utrustning är iaf inte jag beredd att köpa RFID-tillverkarnas försäkran om att RFID är säkert, inte går att läsa av på avstånd och att om det gick ändå är så besvärligt så ojojojoj.

Bättre att erkänna att det går och anpassa användningen samt förebygga problemet. Ignorans och dumhet är helt klart bästa vänner med säkerhetproblem.

Jösses, nu är detta bara ett förslag från ett företag som lever på att sälja RFID-utrustning, men väldigt skrämmande ändå.

Styrelseordföranden för VeriChip har med ett humanistiskt och trevligt förslag hoppat in i den i USA pågående debatten om immigration, illegala invandrare, flyktingar och allmänt 11:e September-tjafs.

Scott Silvermans förslag är att alla immigranter, gästarbetare och besökare till USA skall förses med en RFID-tag som stoppas in under huden. Japp, elektronisk övervakning injekterad i kroppen på alla som kommer till USA.

VeriChips RFID-taggar, som är byggda för att stoppas in under huden används i dag normalt på djur, men om alla som vill in i USA skall förses med en tag skulle VeriChips omsättning öka rejält - och det är ju bra.

Låter inte detta som Mark of the beast, jag som trodde att det var EAN-koderna som vad djävulens symbol. Men vad är en taturering eller en streckkod mot RFID-hightech under huden.