You are here: TUTWiki>Tietoturva/Tutkielmat>TyoLuettelo?>2006-1 (revision 5)

RFID:n muodostamia tietoturvauhkia

Johdanto

Työssä esitellään RFID-tekniikkaa, sen nykysovelluksia sekä mahdollista tulevaisuutta. Pääasiassa käsitellään kuitenkin tekniikan muodostamia, tällä hetkellä tunnettuja tietoturvariskejä tekniikan käyttäjien näkökulmasta, sekä esitellään tekniikoita joilla niihin voidaan varautua. Työssä käytetään lähteinä lähinnä asiantuntijoiden ja asiantuntijayhteisöiden lausuntoja Internetissä.

RFID-tekniikka

RFID:n toiminta

Tarkoituksena on selvittää radiotaajuuksilla toimivan tietojen tallentamiseen ja niiden välittämiseen suunnitellun sirun toimintaa.

RFID (Radio Frequency IDentification), on tekniikka jolla tietoa voidaan etälukea ja -tallentaa.

RFID-tunnisteet voivat olla joko aktiivisia, passiivisia tai puolipassiivisia. Passiivisilla tunnisteilla ei ole omaa virtalähdettä, vaan niiden tarvitsema virta indusoituu antenniin saapuvasta signaalista. Virtalähteen puuttumisen vuoksi tunnisteen lähettämä vastaus on yleensä lyhyt, esimerkiksi ID-tunnus. Toisaalta virtalähteen puuttumisen vuoksi ne saadaan hyvinkin pieneen tilaan. Pienin tällainen tunniste 2006 on 0,15 mm X 0,15 mm ja paperiarkkia ohuempi. Niiden lukuetäisyydet vaihtelevat välillä 10 mm – 5 metriä. Puolipassiivisella laitteella taas on virtalähde, muttei omaa lähetintä. Virtalähteen vuoksi tunnisteella on passiivista sirua suurempi toimintasäde, ja se pystyy säilyttämään tietoja muistissaan.[3]

Aktiivisilla tunnisteilla on sekä virtalähde, joka mahdollistaa passiivista tunnistetta pidemmän kantaman ja suuremman muistin että lähetin. Suuremman muistin vuoksi aktiivisia tunnisteita voidaan yhdistää sensoreihin ja siten lähettää reaaliaikaista tietoa langattomasti. Aktiivisten tunnisteiden kantama voi olla jopa satoja metrejä ja pariston kesto jopa 10 vuotta. Luonnollisestikin passiivinen laite maksaa vähemmän kuin aktiivinen, joten suurin osa käytetyistä tunnisteista on passiivisia. Passiivisten tunnisteiden hinnat loppuvuonna 2005 olivat 0,10-0,02 €/kpl, kun taas aktiivisten tunnisteiden hinnat olivat alkuvuonna 2005 4-5 €/kpl.[3] Muun muassa tunnettu IDTechEx?-konsulttiyritys sekä puolijohdevalmistaja Kovio tavoittelevat ja uskovat, että noin vuonna 2015 passiiviset tunnisteet voisivat maksaa 0,01-0,03 dollaria / kpl.[13][14]

Nykyään käytössä on neljänlaisia RFID-tunnisteita: Matalan taajuuden tunnisteita (125-134 kHz), korkean taajuuden tunnisteita (13,56 MHz), UHF-tunnisteita (868-956 MHz) ja mikroaaltotunnisteita (2,45 GHz). Näistä 2,45 Ghz:n taajuus on käytettävissä kansainvälisesti ja siten samalla kaupallisesti ainoa järkevä taajuus. Tällä taajuudella suurin sallittu sallittu säteilyteho Yhdysvalloissa on 4 W ja Euroopassa 0,5 W, joten Euroopassa teho voi jäädä liian alhaiseksi monille sovelluksille. Se taas johtuu siitä, että suurempi teho mahdollistaa suuremman lukuetäisyyden.[3]

RFID-sirujen lukuetäisyydeksi on suunniteltu vain muutamia senttejä, mutta nyrkkisäännön mukaan jokaisen radiotaajuuden speksattu lukuetäisyys on saatu toimimaan vähintään 100-kertaisella etäisyydellä. Esimerkkeinä mainittakoon Bluetooth ja Wifi.[10] RFID:llä on saatu onnistuneesti luettua tietoa noin 9 metrin päästä sirusta, jonka suunniteltu lukuetäisyys oli 10 cm.[11]

RFID-sirujen käyttökohteita

Matalan taajuuden tunnisteita käytetään esimerkiksi eläinten tunnistukseen, sekä autojen käynnistyksen- ja varkaudenestojärjestelmissä. Korkean taajuuden tunnisteita taas käytetään rakennusten kulunvalvontaan, sekä logistiikan ongelmien ratkaisemiseen. VHF-taajuuksia käytetään arvotavaran, esimerkiksi autojen, jäljittämiseen. Myös UHF-taajuuksia käytetään logistiikassa, mutta suljetulla alueella, kuten satamassa. Mikroaaltotaajuuksien käyttö keskittyy ajoneuvojen pitkän matkan pääsynvalvontaan, esimerkkinä GM:n OnStar?.[3]

Tulevaisuuden sovelluksia

RFID-tunnisteen odotetaan korvaavan viivakoodit, sillä viivakoodit ovat aina tuotekohtaisia, kun taas jokaisella RFID-tunnisteella voi olla oma koodinsa. Siten jokainen yksittäinen tuotekappale on paikannettavissa koko tuotantoketjun alusta loppuun, aina tehtaalta kuluttajalle, jolloin pystyttäneen vähentämään tuotehävikkiä. Lisäksi tekniikan odotetaan helpottavan ainakin potilaan yksilöimistä sairaaloissa, tuoteväärennösten paljastamista ja korvaamaan kassahenkilöt kaupoissa.[3] Ainakin viimeinen kohdista lienee utopiaa, sillä väittäisin että suurin osa ihmisistä haluaa säilyttää edes pienen henkilökohtaisen kosketuksen kaupassa käydessään.

RFID:n tulevaisuus voi kuitenkin jäädä nopeasti menneisyydeksi, sillä anturiverkkojen kehitys on jo osittain tuotteistuksessa saakka. Anturiverkkoihin verrattuna RFID:n ongelma on se, että se tarvitsee aina vastaanottavan laitteen, eivätkä tunnisteet keskustele toistensa kanssa laisinkaan.[7] Silti uskoisin, että RFID on parempi tai halvempi tekniikka tilanteisiin, joissa on "luonnollista" käyttää tunnistelaitetta ja vastaanotinta. Se johtuu siitä, että anturiverkkojen antureissa on enemmän "älyä", jota ei tarvita kaikissa sovelluksissa. Tällöin hinta yleensä nousee ja lisäksi vikatilanteet yleistyvät.

Tietoturvauhkia

Tietoturvauhkia kuluttajalle

RFID:n ehdottomasti suurin heikkous on se, että speksien mukaan tiedonsiirrossa ei vaadita autentikointia eikä salattua tiedonsiirtoa.[9]

Kuten edellä mainittiin, jokaisella tunnisteella voi olla oma koodinsa. Siten jokainen tunniste voidaan erottaa toisista tunnisteista. Siinä on sekä mahdollisuus että uhka, sillä jonkin tuotteen valmistaja voi saada arvokasta tietoa yksittäisestä tuotteesta etsiessään pilalle mennyttä tuote-erää ja selvittäessään syytä siihen. Se kuitenkin myös mahdollistaa yksittäisen ihmisen anonymiteetin murtamisen, jos vain osaa yhdistää tietyn tunnisteen tiettyyn ihmiseen. Tietenkin ihmisellä pitää olla mukanaan kyseinen tunniste, esimerkiksi vaatteissaan, passissa, kännykässä tai vaikkapa ihon alla.

Kun viedään ihmisen tunnistaminen vielä pidemmälle ja ruvetaan seuraamaan hänen tekemisiään, RFID tarjoaa mahdollisuuden myös siihen. Hajautetulla lukijalaitteiden verkostolla voidaan selvittää ihmisen liikkeet, jos vain verkosto on tarpeeksi kattava. Toisaalta voidaan myös selvittää hyvinkin paljon ihmisen käyttäytymisestä, jos vain päästään käsiksi hänellä mukana olevien RFID-tunnisteiden tietoihin, ja saadaan yhdistettyä ne valmistajien tietokantaan. Tämä vastannee tietyn ihmisen roskien penkomista, mutta onko sillä merkitystä, löytääkö juorulehden toimittaja julkisuuden henkilön raskaustestin roskalaatikosta vai tunnistaako hän sen RFID-tunnisteen. Tavallisen kaduntallaajan roskat tuskin ketään kiinnostavat, mutta on hyvä muistaa, että identiteettivarkauksia on tapahtunut myös Suomessa ja niiden tekeminen on sitä helpompaa, mitä enemmän tietää varkauden kohteesta.

Kuluttajien tietoturvan turvaamiseksi on ehdotettu erilaisia turvallisuuspolitiikkoja. Koska sirun lukeminen on näkymätöntä, eikä kuluttaja välttämättä edes tiedä sirun olemassaolosta tuotteessa, eivät pelkät tietoturvapolitiikat riitä kuluttajan anonymiteetin suojaamiseksi. Yksityisyyden turvaksi on kehitetty kolme tekniikkaa, jotka eivät kuitenkaan vielä ole saavuttaneet täydellistä toimintavarmuutta. Ensinnäkin siru voidaan tehdä toimintakyvyttömäksi koodilla, jolloin kuluttajakaan ei tosin pysty hyödyntämään sirun ominaisuuksia. Toinen vaihtoehto on käyttää sirun lähistöllä laitetta, joka lähettää estosignaalia, ja kolmas on sirun kyky selvittää lukijalaitteen etäisyys signaali-kohinasuhteen perusteella, jolloin etäisyydestä arvoidaan lukijan luotettavuutta.[8]

Tietoturvauhkia yrityksille

Jaottelu yritysten ja kuluttajien uhkiin ei ole aivan yksioikoinen, koska osa uhkista voidaan luokitella kumpaankin luokkaan, ja toisaalta kuluttajan ja yrityksen uhkien erottelu toisistaan ei ole niin selvää kuin voisi kuvitella. Jos vaikka yrityksen avainhenkilön sateenvarjossa oleva siru auttaa kidnappaajia kaappauksessa, niin selvästikin sekä yksityisen että yrityksen uhat ovat toteutuneet.

RFID-lukijoiden salakuuntelun mahdollisuus muodostaa yrityksille suuren tietoturvauhkan, sillä lukijan tietoja voidaan lähettää broadcastina jopa satojen metrien päähän ja niiden lähetyksiä on vaikea rajoittaa ilman, että häiritsee niiden käyttöä.[6]

Vaikka RFID-tunnisteista odotetaan olevan apua väärennösten paljastamiseen, niin myös RFID-tunnisteita voidaan väärentää. Tunnisteiden hinnan laskeminen ei myöskään auta tätä ongelma. Näin ollen tunnisteen liittäminen tiettyyn arvoesineeseen auttaa sen liikkumisen selvittämisessä, muttei käy varsinaisesta autentikoimisesta.[5]

Seuraavassa linkissä on Wired-verkkolehden artikkeli siitä, miten helppoa kryptaamattoman sirun hyväksikäyttö omiin tarkoituksiin on. Artikkelin pääasiat voidaan tiivistää siihen, että suojaamaton siru on todella helppo kopioida ja sen tiedot muuttaa. Kun kryptattu siru maksaa noin 5 $ /kpl ja kryptaamaton siru noin 10 senttiä, on todella helppo uskoa, että kryptaamattomia siruja tullaan käyttämään sellaisissakin yhteyksissä, joissa tarvittaisiin parempaa suojaa. Ja samalla otetaan suuria ja todennäköisiä tietoturvariskejä.

Tietoturvauhkiin varautuminen

Kuten edellä mainittiin, RFID:n tietoturvauhkat liittyvät tilanteisiin, joissa tunnisteen tiedot on päässyt lukemaan henkilö, jolla ei pitäisi olla pääsyä kyseisiin tietoihin, riippumatta siitä kuinka vähäpätöisiltä tiedot saattaisivat vaikuttaa. Otetaan esimerkkinä taas passissa oleva siru. Tietoturvauhkina on silloin se, että passin tiedot pääsee lukemaan salaa sellainen henkilö, jolla ei pitäisi olla pääsyä kyseisiin tietoihin, sekä se, että passi saadaan kopioitua. Uhkana on myös se, että salatut tiedot valuvat vääriin käsiin vaikka ne on siirretty turvalliseksi luultuun lukijalaitteeseen. Tällaisen uhkan toteutumista ei juurikaan voida omilla toimilla estää. Ellei sitten halua pysytellä Suomessa koko elämäänsä.

Tietoturvauhkiin voidaan varautua erilaisilla kryptoalgoritmeilla, mutta koska tunnisteista puuttuu kyky hienostuneeseen laskentaan, varmin tapa lienee se, että pitää huolen tunnisteen fyysisestä koskemattomuudesta. [6] Siruun saataisiin varmastikin helposti lisää laskentatehoa, mutta se lisäisi sirun kokoa ja hintaa, ja tarkoituksena on ollut pyrkimys halpoihin joka paikan siruihin.

Fyysisen koskemattomuuden pystyy varmistamaan esimerkiksi Faradayn häkillä. Tällöin tunnisteen tietoja ei pystytä lukemaan. [5] Ainakin USA:sta löytyi passeille säilytyspusseja ja kukkaroita, jotka hyödyntävät Faradayn häkkiä. Kukkaroissa on ainakin se ongelma, että niissä on passin mentävä aukko, jota kautta voi päästä käsiksi sirun tietoihin. Toinen ongelma mikä Faradayn häkkeihin liittyy, on se, että passi pitää ottaa pois suojapussistaan passintarkastuksen yhteydessä, jolloin se on jälleen suojaamaton. Ja tällöin leijona tietää, millä juomapaikalla antilooppia pitää väijyä. Tässä kuitenkin kuvia kyseisistä tuotteista.

Toinen tapa taata fyysinen koskemattomuus, on lähettää radiosignaalia, joka häiritsee tunnisteen lähetystä. Tässä on kuitenkin se ongelma, että valtiovallalla on tapana reguloida maanpäällisiä taajuuksia, joten tällaisen laitteen käyttöön tarvittaisiin todennäköisesti valtion lupa. Luvan saaminen taas voi olla hyvinkin vaikeaa muille kuin 2,45 GHz:n taajuudelle. [5]

Tehokkain tapa estää tunnisteen tietojen vuotaminen eteenpäin, on tietenkin tunnisteen tuhoaminen. Se onnistuu väkivallalla, mutta kuten tuli sanottua, tunnisteet ovat tätä nykyä niin pienikokoisia, että niiden havaitseminen voi olla haastavaa. Hienostuneempi konsti on laittaa siru mikroaaltouuniin. Se tuhoaa tunnisteen, mutta tunniste voi myös syttyä palamaan.[5]

USA:ssa kaksi miestä havaitsi kauppareissullaan dollareiden sisällä olevat RFID-sirut ja kokeilivat niiden toimintakyvyttömiksi tekemistä mikroaaltouunissa. Lisää voi lukea artikkelista. Sanottakoon vielä, että kyseisiä siruja löytyy myös euroseteleistä.

Yrityksille on kehitetty kaksi erilaista tapaa varautua salakuunteluun. Toista kutsutaan silent tree-walking:iksi. Siinä tunnisteen lukemiseen käytettyä protokollaa on muutettu siten, ettei tunnisteen tietoja lähetetä broadcastina. Toinen tapa on käyttää samalla tunnisteella monia eri pseudonyymejä, jotka vaihtelevat satunnaisesti. Tekniikan ideana on se, että laillinen tiedon hakija tunnistaa eri pseudonyymit samaksi tunnisteeksi, mutta salakuuntelija ei.[6]

RFID-sirujen kryptologia

Kuten edellä mainittiin, kryptologisten suojausten käyttöönottoa on hidastanut sirujen rajallinen laskentateho ja pyrkimys pitää niiden hinnat mahdollisimman alhaisina. Toinen este on de facto -standardin puute, minkä vuoksi valmistajat valmistavat tuotteitaan omien standardien mukaan, jolloin eri valmistajien tuotteet eivät toimi keskenään.

Kryptausmenetelmien tarkoituksena on estää sirujen kopiointi. Tämä voidaan toteuttaa niin sanotulla "rolling code" -menetelmällä, jossa sirun tunnistetta muutetaan jokaisen lukemisen jälkeen. Tällöin sirun salakuuntelun hyödyllisyys pienenee. Kyseistä menetelmää käytetään esimerkiksi autotallin ovien kaukosäätimissä.[12] Parempaa tietoturvaa tarvittaessa, voidaan käyttää erilaisia haaste-vaste-protokollia, kuten vaikkapa symmetrisen tai julkisen avaimen protokollia. Koska kryptaus vaatii paljon laskentatehoa sirulta, ovat eräät laitevalmistajat kehittäneet kevyempiä salausmenetelmiä, jotka eivät kuitenkaan välttämättä tarjoa suojaa hienostuneempia hyökkäyksiä vastaan. Esimerkkinä Texas Instrumentsin Digital Signature Transponder, joka on käytössä Exxon:n ja Mobil:n huoltoasemilla ympäri maailmaa.[3]

Lopuksi

Paljon tuli sanottua, mutta enemmän jäi sanomatta. Tutkielman paisuttua kuin pullataikina, vedän kuitenkin rajan tähän. Jos jotakuta aihe kiinnostaa, niin alla olevilta sivustoilta löytyy mielenkiintoisia esimerkkejä aiheesta.

Lähteet

-- TomiSalmi? - 17 Sep 2009
Print version |  PDF  | History: r7 | r6 < r5 < r4 < r3 | 
Topic revision: r5 - 05 Oct 2009 - 23:09:58 - TomiSalmi?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback