RFID y seguridad

ImagenInteresante referencia en Smart Mobs a este artículo de New Scientist acerca de la seguridad en los chips de identificación por radiofrecuencia, RFID. Aquellos chips de tipo pasivo, carentes de generador de energía y que utilizan la energía generada por la onda electromagnética entrante (procedente del lector), parecen ser sumamente accesibles a la activación por parte de otras ondas procedentes de otras fuentes malintencionadas, y según las investigaciones de criptógrafos citados en la reseña, no sólo a las procedentes de equipos sofisticados, sino a las generadas por un simple teléfono móvil.

La falta de énfasis en eguridad tiene una explicación: la fortísima presión ejercida por los fabricantes para reducir el precio unitario de las etiquetas hasta más allá de los cinco centavos en su fabricación masiva ha eliminado la mayor parte de las prestaciones de seguridad y algoritmos de hashing, algo que compromete el uso de ese tipo de chips en cuestiones como los documentos de identificación, dispositivos de acceso y otros usos relacionados. Evidentemente, no tiene la misma gravedad el que alguien vaya por el supermercado «escuchando» lo que le cuentan los bricks de leche y las paletas de Jabugo, que el que una persona en la misma sala de espera que tú pueda ver tus datos personales en su teléfono móvil, sin ir más lejos. Obviamente, algo que tendrá que ser tenido en cuenta de cara al desarrollo de las próximas generaciones de chips, que muy posiblemente vayan por la vía del forking: familias de chips para usos de privacidad no comprometida y orientados a un coste lo más bajo posible, y otras destinadas a usos más sensibles y dotadas de otros condicionantes en su desarrollo.

10 comentarios

  • #001
    Gorki - 16 febrero 2006 - 11:39

    El riesgo del RFID es que cuando se vulgarice, podrán leer a la vez, tu DNI, el número de zapatos que usas, la camisa que llevas, si llevas bonobus, la entrada para el futbol, el modelo de calzoncillos que usas, la marca de tabaco, la multa por mal aparcamiento, el número de la seguridad social, y el dinero que tienes en la cartera.
    En fín lo que eres en los detalles más inttimos y más heterogeneos. Eso no se si es bueno, malo o indiferente, pero a mi no me gusta.

  • #002
    Edu - 16 febrero 2006 - 13:44

    Enrique,
    hay muchas clases de RFID tags. Las pasivas se pueden equiparar a los códigos de barras que usamos hoy en día. No hacen gran cosa: te devuelven un identificador (96 bits) a la mínima que captan suficiente energía. No parece muy nocivo cuando hoy en día leer un código de barrasno require más que coger el producto y poner el código de barras a la vista. No se compromete la seguridad ni nada por el estilo.
    Para otras aplicaciones más sofisticadas existen tags semi-pasivas, o directamente activas, que si bien son más caras, tienen capacidad para ejecutar algoritmos más sofisticados y para almacenar más información a parte de tag ID.
    Sinceramente, dudo que se use ninguna de las tags pasivas actuales para aplicaciones de seguridad, así que no hay que asustarse.
    Por cierto, estoy hablando de tags UHF, no de HF, que si que tienen múltiples aplicaciones (como por ejemplo abono transportes en Londres o Madrid)

  • #003
    mauve - 16 febrero 2006 - 15:48

    Curiosamente hablan en kriptopolis hoy de lo mismo, http://www.kriptopolis.org/node/1831.

    Anteriormente ya se había conseguido clonar Verichip http://cq.cx/verichip.pl aunque el proceso era más complicado y crackear y emular el DST de Texas Instruments: http://rfidanalysis.org/ no empieza con buen pie el RFID…

    Y su implantación pues no sé pero aquí os habla uno que lleva haciendo betatesting de una tarjetita de autentificación de Safelayer desde hace más de un año. Ni pensar quiero en cuánto puede llegar a tardar el RFID en abrirse un huequilllo…

  • #004
    Gorki - 16 febrero 2006 - 19:47

    Las etiquetas RFID pasivas y mas sencillas, son un número diferente para cada una, que se pueden leer ya facilmente en un radio de 14 metros, salvo que haya metales o líquido por medio, y aguantan el lavado y planchado de la ropa.

    Normalmente no se ponen en sitio visible para evitar que las quiten o sustituyan en las tiendas. Por ejemplo van en el interior del cuello de la camisa, en el tacón de los zapatos, en el interior de un tapón y sitios así.

    La diferencia con los códigos de barras es que identifican los objetos unitariamente, es decir que un bote
    de champú tinene distinto RFID que cualquier otro de la misma marca.

    Por tanto, si por la razón que sean, asocian una etiqueta RFID a tu persona, por ejemplo al facturar, siempre que uses esa prenda con RFID vas dando el cante de por donde pasas, a la vez que asocias a tu persona mas etiquetas RFID que lleves encima y por tanto tus costumbres y preferencias.

    Bueno como ven, muy util.

  • #005
    Isidro - 16 febrero 2006 - 23:29

    «Obviamente, algo que tendrá que ser tenido en cuenta de cara al desarrollo de las próximas generaciones de chips, que muy posiblemente vayan por la vía del forking: familias de chips para usos de privacidad no comprometida y orientados a un coste lo más bajo posible, y otras destinadas a usos más sensibles y dotadas de otros condicionantes en su desarrollo.»

    ¿Y lo dices ahora que van a poner etiquetas rfid en todos los pasaportes?

    Verás que risas cuando se una al club el DNI digital.

    Saludos.

  • #006
    Oscar - 16 febrero 2006 - 23:58

    Saludos.

    Que casualidad, me impresionó mucho la forma en que has hecho el post tanto de apariencia como en lo que tratas, y es que recientemente yo también he hecho uno muy similar [antes que el tuyo claro está] claro que ampliando un poco más el tema de la seguridad y la RFID….

    No espero que contestes solo quería comunicarte la amplia similitud incluso hasta en el título.

    El articulo lo puedes ver aca, no es la gran cosa el sitio, pero es lo mio.

  • #007
    Gorki - 17 febrero 2006 - 10:37

    No es por nada, pero antes que Dans y que tu hablé, hablé yo en un artículo en dos partes.
    Ni se me ocurre pensar que tu ni, menos Dans me haya plagiado. Las ideas de interés estan en el ambiente y mas o menos todos captamos los mismos temas.

    Por si tienes unterés en el tema aquí van las direcciones:
    http://www.laflecha.net/articulos/ciencia/rfid/
    http://www.laflecha.net/articulos/ciencia/rfid2/

    Saludos

  • #008
    jose m pelaez - 18 febrero 2006 - 11:54

    Imagino que las etiquetas pasivas que se empleen para la gestión de existencias se asociarán a los sistemas antihurto que ya se utilizan, que se desactivan al llevarte el producto de la tienda. Lo de ir luego ‘dando el cante’ con las etiquetas ‘escondidas’, pues como que no lo veo nada evidente…

  • #009
    Gorki - 18 febrero 2006 - 19:03

    Pues no se desactivan

  • #010
    izk - 26 enero 2007 - 09:54

    Gorki dijo:

    «Las etiquetas RFID pasivas y mas sencillas, son un número diferente para cada una, que se pueden leer ya facilmente en un radio de 14 metros»

    Eso es totalmente falso hoy en día, a menos que utilices una etiqueta del tamaño de un campo de fútbol. Si conoces dichas etiquetas dímelo, porque me interesaría mucho utilizarlas para un proyecto que tengo en marcha.

    Y lo de que las etiquetas no se desactivan tampoco es totalmente cierto. El standard EPC Gen2, que es el que se está imponiendo incluyen la opción de desactivar una etiqueta (comando «kill»). Y existen más alternativas, como por ejemplo romper la antena. Seguro que has visto alguna tienda que tiene etiquetas con los precios que se pueden romper. Pues ya existen modelos de etiquetas RFID con esa forma, de tal modo que al romper la etiqueta quedan inutilizadas.

Dejar un Comentario

Los comentarios están cerrados