The saddest aspect of life right now is that science gathers knowledge faster than society gathers wisdom. - Isaac Asimov, scientist and writer (1920-1992)

23 august 2010

Noile carti de identitate: Contactless vs. RFID

Guvernul Romaniei intentioneaza sa implementeze cartile de identitate electronice cu elemente biometrice. In cadrul unei dezbateri publice, reprezentantii Ministerului de Interne au precizat faptul ca nu este vorba de controversatele RFID ci despre "contactless" id card sau "contactless smart card". Ce sunt acestea? Cu ce difera ele de RFID? Sunt ele mai sigure? Cat de sigure? Incercam cateva lamuriri si o privire de ansamblu a problemelor ridicate de noua tehnologie din punctul de vedere al tematicii acestui blog.



DEFINIRE:
Intrucat in multe texte de pe internet apar confuzii intre Contactless si RFID si pentru a intelege mai bine despre ce tehnologie vorbim, vom defini comparativ mai jos cele doua tipuri de dispozitive incercand sa aratam pe scurt modul de functionare:
La modul general, ambele permit identificarea sau autentificarea la distanta si comunicarea de date intre card si un dispozitiv de citire, comunicarea realizandu-se utilizand undele radio.
Functionare:
  • dispozitivul de citire trimite semnale radio catre card
  • antena aflata pe card transforma undele in curent electric si "trezeste" cipul cardului
  • este creat un canal de comunicare intre card si cititor
RFID sau Radio-frequency identification - sunt dispozitive ce contin un cip care de regula poate fi doar citit si care are stocata informatie de identificare, neavand implementata si capacitate de procesare. Cel mai apropiat exemplu este cel al unui cod de bare dar care poate fi citit pe calea undelor. Utilizarea este limitata de regula la un singur scop, un exemplu fiind lanturile de aprovizionare unde serveste la identificarea si urmarirea traseului produselor. Distanta la care poate fi citit este de regula mai mare (chiar si cativa metri). Capacitatea memoriei este mica iar securitatea este slaba.

Contactless: cardurile "contactless" contin pe langa capacitatea de stocare si un microprocesor capabil sa comunice, sa "tina minte" informatii si sa ia "decizii" bazat pe noi informatii - in concluzie am putea spune - un mic computer integrat pe card, capabil sa faca calcule si sa elaboreze raspunsuri adecvate. Aceasta integrare permite implemntarea pe cardul Contactless a unor mai bune solutii de securitate precum encriptarea datelor si completarea acestora cu coduri PIN, date biometrice, etc. Capacitatea memoriei este mult mai mare comparativ cu RFID. Distanta de interactiune este mult mai mica decat la RFID, de regula aproximativ 5-6cm. Utilizarile pot fi multiple chiar pentru un singur card si includ: carti de identitate, pasapoarte electronice, carduri bancare contactless, datele stocate si procesate putand varia de la simple date de identificare si pana la detalii financiare, plati efectuate, drepturi de acces, etc.
Mai multe detalii despre diferenta dintre cele doua tipuri de dispozitive gasiti aici (http://www.frost.com/prod/servlet/market-insight-top.pag?docid=83467478)

DE LA CONCEPT LA IMPLEMENTARE sau CAT DE SIGURE SUNT CARDURILE CONTACTLESS
Pe taramul inovatiei, al conceptelor deci, in special in domeniul  informatic, un deziderat il reprezinta securitatea datelor. Permanent apar noi tehnologii "marketate" ca fiind sigure sau mult mai sigure decat altele. Fara indoiala cardurile contactless sunt o evolutie. Dar experienta practica ne invata ca nici un sistem informatic nu este 100% sigur si ca ceea ce astazi poate parea sigur, maine se poate dovedi usor de contracarat.

De aceea, la decizia de implementare, in special cand vorbim de transpunere electronica la purtator a datelor personale si posibilitatea ca aceste date sa fie accesate fara contact fizic, masurile practice luate ar trebui sa cuprinda decizii de la cea mai simpla: e nevoie neaparata de acest tip de act de identitate? si pana la efectuarea de teste extinse pe prototipurile de card implementate pentru a stabili clar gradul de siguranta al datelor stocate si care dintre solutiile existente pe piata e cea mai buna din acest punct de vedere.

Internetul abunda in documentatii despre cum sa realizezi diverse tipuri de atacuri informatice. Fie ca sunt furnizate de hackeri pentru hackeri, sau in interes de cercetare si academic, informatiile sunt la un click distanta. Un exemplu de studiu academic realizat chiar asupra Cardurilor Contactless il gasiti la adresa: http://www.crypto.ruhr-uni-bochum.de/imperia/md/content/texte/theses/da_silbermann.pdf si se intituleaza Security Analysis of Contactless Payment Systems in Practice, fiind realizat in Noiembrie 2009.

Din cadrul studiului vom spicui din capitolul dedicat tipurilor de atacuri posibile asupra cardurilor contactless si eventualele masuri de securitate capabile sa le contracareze, ramanand intrebarea generica: "Ce studii privind securitatea s-au facut de cate Guvernul Romaniei la momentul deciziei de a alege tipul de card de identitate?"
  • Eavesdropping - interceptare si/sau modificarea transmisiunii - este posibila prin amplasarea in apropierea cititorului a unei alte antene care sa intercepteze comunicatia. Encriptarea transmisiunii este indicata ca metoda de contracarare.
  • Covert Transactions - tranzactii realizate fara stirea posesorului cardului prin intermediul unui cititor aflat in apropiere. Contracarare: utilizarea de metode autentificare avansate la demararea comunicatiei card-cititor.
  • Tracking - (favorita noastra) reprezinta posibilitatea de urmarire a unei persoane posesoare a unui Contactless Card. Conform studiului citat, aproape toate cardurile contactless furnizeaza neencriptat, la inceperea comunicatiei, un numar de identificare unic, stabilit de fabricant si care nu poate fi schimbat. Daca cineva captureaza numarul de identificare si il asociaza persoanei - aceasta poate fi identificata ori de cate ori trece pe langa un dispozitiv cititor. Solutie - conform studiului cele mai noi si mai sofisticate carduri contactless (dar si cele mai rare in acest moment pe piata) genereaza la inceputul comunicatiei un numar serial aleator in locul celui fix. Actele de identitate romanesti de care vor fi?
  • Man-in-the-Middle - acesta este un tip de atac sofisticat si foarte puternic utilizat cu succes de multe ori impotriva unor sisteme cu autentificare criptografica si encriptare puternica a datelor. Atacatorul se interpune ca statie de tranzit in comunicatia dintre doua sisteme, acestea "avand impresia" ca comunica direct, cand de fapt atacatorul controleaza toata conversatia, fiind capabil sa injecteze propriile mesaje si instructiuni. O descriere simplificata gasiti pe Wikipedia (http://en.wikipedia.org/wiki/Man-in-the-middle_attack)
    Referitor la cardurile contactless si acest tip de atac, cteodor anunta intr-un comentariu pe blogul lui Bogdan Manolea faptul ca Germania a decis implementarea cartilor de identitate electronice ce utilizeaza protocolul PACE pentru autentificare, protocol ce ar fi sigur cu exceptia atacurilor MiM.
  • Side-Channel Attacks - este un tip de atac bazat pe implementarea fizica a unei solutii de encriptare si consta in "deducerea" datelor privitoare la cheia criprografica de comunicatie masurand diferiti parametri ai sistemului vizat cum ar fi: timpul de executie, puterea consumata in cadrul executiei unui anumit pas sau, in cazul cardurilor contactless, fluctuatiile in emisiile electromagnetice. Conform studiului multe carduri de pe piata din acest moment sunt susceptibile de a fi analizate astfel.
Acestea sunt cele mai frecvente si mai cunoscute metode, dar cu siguranta mai sunt si altele sau vor mai aparea si altele in viitor.

IN INCHEIERE
Decizia guvernantilor a generat dezbateri pe toate fronturile, incepand de la cele legate de drepturile omului, securitatea datelor personale si viata privata si terminand cu utilitatea reala a investirii a 32 de milioane de euro in aceasta implementare. Sunt multe argumente aduse si de adus in continuare in aceasta dezbatere.

Mai multe despre initiativa guvernului si reactii puteti citi:
Consideram necesara o evaluare realista a solutiilor tehnice si de securitate adoptate, si chiar a necesitatii reale de a implementa sau nu inca un nou element susceptibil de a fi atacat pe cale informatica, de data aceasta la nivel de impact national daca deciziile adoptate nu sunt cele corecte si extrem de bine fundamentate.

In modalitatile de atac de mai sus am vorbit doar de posibilitatea de a ataca cardurile, dorindu-ne raspunsuri prin studii din partea guvernantilor privitor la solutia adoptata si cum raspunde ea la astfel de atacuri. Nu ne-am atins insa de subiecte si intrebari precum:
  • pot fi terminalele cititoare de carduri atacate si sau modificate pentru a favoriza scurgerea de date, similar cum POS-urile pot fi compromise? - aceasta intrebare este legitima in conditiile in care poate fi mai "productiv" sa colectezi datele dintr-un terminal de acest gen pe unde trec sute de carduri zilnic decat sa urmaresti specific cardul unei singure persoane.
  • ce se intampla daca intreg sistemul este compromis? - Vor fi prompt inlocuite cardurile tuturor cetatenilor? Cine raspunde de deciziile luate acum si cine suporta costurile inlocuirii?
  • ce se intampla daca din neatentie se zgarie antena si cardul devine neoperabil din punct de vedere electronic? SAU: ce se intampla daca accidental cardul de identitate este defectat de catre un camp electromagnetic prea puternic pe langa care trec? - intrebarea a doua e legitima intrucat notiuni elementare de fizica ne spun ca un camp electromagnetic oscilant genereaza prin inductie curenti electrici cu atat mai puternici cu cat campul este mai puternic. 
  • care sunt masurile luate pentru a preveni pericolul din interior atunci cand atacul din exterior nu are sanse sa se duca la bun sfarsit? - se cunosc cazuri de casieri la magazin acceptand sa fie modificat POS-ul spre exemplu pentru a se fura date de card.
Si o intrebare de practica juridica pe domeniul criminalitatii informatice:
  • Daca cineva neautorizat reuseste sa-mi ia datele de pe cartea de identitate electronica Contactless asa cum este ea definita mai peste tot - poate fi condamnat pentru acces ilegal la sistem informatic? (a se vedea articolul Sistem informatic sau nu inca? :-) 

P.S. Intrevedem o inflorire a unui nou tip de afacere dupa implementarea cartilor de identitate electronice "contactless": Portofelele si copertile protectoare de identitate. Varianta cea mai simpla este invelirea in folie de aluminiu a cardurilor, dar se pare ca exista metode de a ocoli si aceasta protectie.

5 comentarii:

  1. Nu cred ca exista metode de a ocoli ecranarea.

    Dar nu asta este problema. Folosirea tehnologiei RFID in actele de identitate are avantaje cvasi-nule fata de o tehnologie bazata pe contacte deoarece deschide poarta spre un sistem global de urmarire.
    Cum? Sa zicem ca in aceasta versiune este cvasi-inofensiva.
    Nu pot fi citite la mai mult de 10m, doar de cititoare autorizate, pot fi usor ecranate.

    Dar daca peste 3 ani, ecranarea lor va fi interzisa, purtare obligatorie atunci cand calatoresti cu masina sa zicem sau iei trenul, intri in Mall, etc. iar distanta de citire se va extinde la 1km, si functiile criptografice vor lipsi cel putin in parte (pentru a face posibila citirea de la distanta mare)?

    Alt aspect: unde se mentioneaza cum si unde vor fi stocate cheile principale de criptare si ce organizatii si in ce conditii, cu respectarea carui protocol de securitate vor avea acces la ele?

    Cine ne garanteaza ca cititoarele de amprente nu pot fi modificate pentru a stoca amprentele citite?

    Ca acele chei criptografice cu care vor fi autorizate sa citeasca actele (daca exista un protocol de autorizare similar cu cel din pasapoarte) nu pot fi extrase din aparat si folosite de persoane neautorizate?

    N-ar trebui sa existe o transparenta in acest sens?

    Caietul de licitatie n-ar trebui facut public pentru a sti costurile REALE si cat de adecvata este tehnologia ce urmeaza a fi implementata?

    Nici un cuvant despre standarde in proiectul de legislatie..

    RăspundețiȘtergere
  2. RFID/Contactless = backdoor pentru tracking. E evident ca vor ajunge cititoare si in mediul privat, probabil la banca eBuletinul va fi citit cu un cititor. Chiar daca banca nu are acces (in prima faza) la amprente, totusi are la nume, prenume, CNP, etc. Si daca datele astea vor fi usor accesibile, atunci ne putem astepta oricand la "skimmere" montate in barile de la metrou, usile de la cladiri, orice asigura apropierea de 5-6cm intre portofel si cititor.

    Asa ca ramane marea intrebare? De ce prin radio? De ce nu cu contacte ca un "banal" smartcard bancar? Tehnologia e aproape la fel de sigura (chiar mai buna) si mult mai ieftina.

    Eu as distribui smartcard-uri bancare, care sa contina numele, prenumele, adresa, CNP si atat. Plasticul sa fie cu poza titularului. Iar apoi la orice "POS" instalat intr-un Logan de 35.000 Euro se face o falsa "interogare de sold" in serverul Politiei si afla daca smartcardul ala e valid. Magazinele/bancile pot face atunci contracte de credit pe baza acelor carduri, si le pot citi si ele cu o simpla interogare "de sold".

    Smartcardurile sunt ieftine, cititoarele la fel, nici o informatie prea sensibila nu se afla pe card, cardul nu poate fi (momentan) falsificat.

    RăspundețiȘtergere
  3. Personal opinez ca, in cazul smartcard-urilor, nu putem vorbi despre accesul ilegal la un sistem informatic. Oricat ne-am chinui sa aducem argumente, din punct de vedere electronic, chip-ul unui smartcard (chiar in varianta unui microprocesor) nu poate fi considerat sistem informatic (asa cum suna definitia din Legea 161/2003 sau din Conventia CoE asupra Criminalitatii Informatice). Un astfel de sistem ar trebui sa poata functiona independent de alte alimentari cu tensiune, "treziri" cu unde radio transformate in impulsuri electrice (by the way, ar trebui sa fie si niscai tensiuni de alimentare, fara de care nu prea se pot genera variatiile care sa conduca la "0" si "1" etc.).

    Pentru mine, un smartcard pare mai degraba un mijloc electronic (mai mult sau mai putin performant) de stocare a datelor. In chip sunt stocate informatii despre utilizatorul de drept, privilegiile pe care acesta le are in raport cu un serviciu al societatii informationale pentru care a fost creat, parole etc., aflate in forma deschisa sau criptata.

    Faptul ca datele pot fi citite de la distanta (indiferent de metoda sau tehnologie), aceasta poate fi, din punct de vedere juridic, un "transfer neautorizat de date informatice dintr-un mijloc de stocare a datelor" (art. 44 Titlul III, Legea 161).... Case closed (cum ar zice comisarul Soric de la IPJ Neamt !!! :)).

    Un exemplu la indemana oricui: o memorie flash San Disk Cruser care vine din fabrica cu un chip de stocare de 2,4,8,16 GB si cu un software embedded care face sincronizari cu folderele PC-ului, actualizari, criptari, autentificari etc. Este, oare, acest dispozitiv ceva mai mult decat un mijloc electronic de stocare a datelor ????

    RăspundețiȘtergere
  4. Acest comentariu a fost eliminat de administratorul blogului.

    RăspundețiȘtergere
  5. Foarte bine documentat articolul desi toata aceasta propaganda ca RFID nu este o tehnologie sigura nu e chiar reala. Eu pot infirma prin natura job-ului si anume acela de a furniza clientilor astfel de carduri, care pana acum nu au creat probleme. Pentru diferse inrebari va stau la dispozitie!

    RăspundețiȘtergere