RFID's beveiligingsprobleem

Vanaf deze zomer hebben Amerikanen paspoorten nodig om naar Canada, Mexico, Bermuda en het Caribisch gebied te reizen, tenzij ze paspoortkaarten hebben of een van de verbeterde rijbewijzen die de staten Washington en New York zijn begonnen af ​​te geven.





Deze nieuwe vormen van identificatie zijn alleen geldig voor reizen over land en over zee en zijn een handige, goedkope optie voor mensen die niet per vliegtuig hoeven te reizen. Amerikaanse paspoortkaarten, die in juli werden geïntroduceerd, kosten ongeveer de helft zoveel als een volledig paspoort, en de extra kosten voor het verkrijgen van een verbeterd rijbewijs in plaats van een regulier rijbewijs zijn zelfs nog lager. Verbeterde licenties zijn sinds januari 2008 beschikbaar in Washington en sinds september in New York; andere grensstaten, waaronder Michigan, Vermont en Arizona, zijn van plan ze ook aan te bieden.

Reddingslijn voor hernieuwbare energie

Dit verhaal maakte deel uit van ons nummer van januari 2009

  • Zie de rest van het nummer
  • Abonneren

Maar niet iedereen is ervan overtuigd dat de nieuwe ID's een goed idee zijn. De paspoortkaart en de uitgebreide licenties bevatten RFID-tags (radiofrequentie-identificatie), dit zijn microchips die zijn uitgerust met antennes. Een RFID-lezer kan een zoekopdracht naar de tag sturen, waardoor deze de gegevens terugstuurt die deze bevat, in dit geval een identificatienummer waarmee douanebeambten informatie over de kaarthouder kunnen ophalen uit een overheidsdatabase. Het idee is dat directe toegang tot biografische gegevens, een foto en de resultaten van terroristische en criminele antecedentenonderzoeken, agenten zullen helpen om mensen efficiënt over de grens te krijgen. RFID-technologie heeft echter tot bezorgdheid over de privacy geleid sinds het begin jaren 2000 op productlabels werd geïntroduceerd.



Ondertussen zeggen experts dat sommige RFID-technologieën behoorlijk veilig zijn, maar de analyse van een beveiligingsonderzoeker van de Universiteit van Virginia van de NXP Mifare Classic (zie Hack, november/december 2008) , een RFID-chip die wordt gebruikt in tariefkaarten voor de openbaarvervoersystemen van Boston, Londen en andere steden, heeft aangetoond dat de veiligheid van smartcards niet vanzelfsprekend is. Ik denk dat we ons in de groeipijnenfase bevinden, zegt Johns Hopkins University, informaticaprofessor Avi Rubin, een onderzoeker op het gebied van beveiliging en privacy. Dit gebeurt met veel technologieën wanneer ze voor het eerst worden ontwikkeld.

Verbeterd rijbewijs New York
$ 30 kosten, toegevoegd aan de kosten van een rijbewijs
www.nydmv.state.ny.us/edl-main.htm

Verbeterd rijbewijs in de staat Washington
$ 15 kosten, toegevoegd aan de kosten van een rijbewijs
www.dol.wa.gov/about/news/priorities/edl.html



Amerikaanse paspoortkaarten
$ 45
travel.state.gov/passport/ppt_card/ppt_card_ 3926.html

Borderline-beveiliging
De eerste van de nieuwe ID-kaarten die worden geïntroduceerd, de federale paspoortkaarten en de rijbewijzen van Washington maken gebruik van vergelijkbare technologie, die is beoordeeld en goedgekeurd door het Amerikaanse ministerie van Binnenlandse Veiligheid. De RFID-apparaten van de kaarten, elektronische productcode-tags (EPC) genoemd, lijken veel op streepjescodes. De tags zijn goedkoop en kunnen in ideale omstandigheden worden gelezen vanaf ongeveer 50 meter afstand - een ongewoon groot bereik voor RFID, zegt Ari Juels, directeur en hoofdwetenschapper bij RSA Laboratories in Bedford, MA, dat samenwerkte met onderzoekers van de Universiteit van Washington om beide kaarten te evalueren.

Hoewel de kaarten geen persoonlijke informatie opslaan, concludeerden de onderzoekers dat zelfs het opslaan van een uniek nummer enige privacyproblemen met zich meebrengt. Als je nadenkt over het burgerservicenummer, zou er op een gegeven moment een argument kunnen zijn geweest dat het slechts een nummer is, geen persoonlijke informatie, zegt Tadayoshi Kohno, een assistent-professor informatica aan de Universiteit van Washington, die aan het onderzoek meedeed. Maar cijfers evolueren in de loop van de tijd, en gebruik evolueren in de tijd, en uiteindelijk kunnen deze dingen meer informatie onthullen dan we aanvankelijk verwachten. Bovendien kunnen relatief gangbare RFID-lezers, zoals die voor voorraadbeheer worden gebruikt, onder bepaalde omstandigheden de nummers van de kaarten van een behoorlijke afstand lezen. De onderzoekers waren van mening dat er een risico bestond dat de kaarten zouden kunnen worden gebruikt om mensen te volgen, zoals een paar winkelcentra in Groot-Brittannië signalen van mobiele telefoons hebben gebruikt om het winkelgedrag van klanten te volgen en te controleren hoe lang ze in winkels blijven. Hoewel mensen andere kaarten en apparaten bij zich hebben die ook voor tracking kunnen worden gebruikt, merken de onderzoekers op dat de identificatiekaarten op grotere afstand kunnen worden gelezen dan veel andere RFID-tags en dat mensen ze waarschijnlijk altijd bij zich zullen hebben, terwijl ze misschien vertrekken, zeggen, hun mobiele telefoons thuis. En reguliere Amerikaanse paspoorten, die ook RFID-chips bevatten, gebruiken technologie die privacyproblemen minder waarschijnlijk maakt. Paspoorten moeten, in tegenstelling tot paspoortkaarten, van dichtbij worden gelezen en ze hebben een beveiligingssysteem dat vereist dat een ambtenaar tekens van het document optisch scant om toegang te krijgen tot de persoonlijke gegevens die op de chip zijn opgeslagen.



Gigi Zenk, een woordvoerder van het Washington State Department of Licensing, zegt dat Washington het voor derden illegaal heeft gemaakt om gegevens van RFID-tags te gebruiken zonder toestemming van de tag-eigenaren. Zij en andere functionarissen voegen eraan toe dat iedereen die zich zorgen maakt over privacy de privacyhoezen kan gebruiken die bij de kaarten worden geleverd, die zijn ontworpen om radiosignalen te blokkeren, zodat de kaarten moeilijker te lezen zijn. Maar het onderzoek in Washington toonde aan dat de mouwen niet altijd werkten: ze blokkeerden bijvoorbeeld geen radiosignalen als ze verkreukeld waren. De onderzoekers voerden ook aan dat de meeste mensen de mouwen sowieso niet zullen gebruiken. Zelfs enkele privacyonderzoekers die Juels raadpleegde, gaven toe ze te zijn kwijtgeraakt, zegt hij.

En privacy is niet het enige probleem hier: de onderzoekers zeggen dat ongeoorloofd lezen ook de grensbeveiliging zou bedreigen. Als het identificatienummer gemakkelijk uit de kaarten kan worden gehaald, is het relatief eenvoudig om ze te vervalsen, simpelweg door een gestolen ID-nummer op een lege, kant-en-klare chip te laden. Als elke RFID-chip ook een uniek, vast bedrade serienummer zou hebben, dat moet overeenkomen met het opgeslagen ID-nummer, zou het moeilijker zijn om te vervalsen. Maar noch de Washington-licenties, noch de paspoortkaarten hebben die extra beveiligingsfunctie.

De Washington-kaarten staan ​​open voor een extra type aanval: EPC-tags kunnen worden uitgeschakeld wanneer een lezer een kill-opdracht geeft. Hoewel elke tag is ontworpen om te worden beschermd door een pincode waarmee alleen geautoriseerde gebruikers de opdracht kunnen geven, heeft de staat nooit de pincode ingesteld op de kaarten die hij heeft uitgedeeld, waardoor iedereen met een RFID-lezer deze zelf kan instellen en kaarten kan doden. Als een flink aantal Washingtonians met verbeterde licenties zich bij een grensovergang zou verzamelen, zou iemand een verstoring kunnen veroorzaken door grote aantallen kaarten te doden. Een aanvaller kan deze tactiek ook gebruiken om bepaalde individuen lastig te vallen, aangezien een gedode kaart waarschijnlijk argwaan wekt.



Juels merkt snel op dat de kaarten niet het enige zijn dat de grens beschermt. Als grensagenten alles doen wat ze moeten doen [inclusief bijvoorbeeld het vergelijken van de foto's die in de database zijn opgeslagen met de foto's die op het identiteitsbewijs zijn afgedrukt], zouden ze vervalsingen moeten kunnen detecteren, zegt hij. Hij voegt er echter aan toe dat het in de menselijke natuur zit om minder waakzaam te zijn als er technologie is om op te leunen.

Toen ik het Department of Homeland Security vroeg naar deze zorgen, antwoordde perssecretaris Laura Keehner met een verklaring die gedeeltelijk zei: Hoewel de risico's beschreven in de University of Washington/RSA-paper technisch mogelijk zijn, zijn we van mening dat veel onwaarschijnlijk zijn, en zelfs indien gerealiseerd, zou het weinig effect hebben, behalve dat het een individuele reiziger klein ongemak zou bezorgen aan de grens. … Naarmate we aanvullende mitigatiestrategieën identificeren, zullen we de vereisten voor … grensoverschrijdende reisdocumenten blijven versterken om zowel de grensbeveiliging als de privacy van de documenthouder te verbeteren.

De New York-licentie en verder
Geen enkele onafhankelijke onderzoeker heeft tot nu toe een evaluatie van het verbeterde rijbewijs van New York gepubliceerd, maar de kaart vermijdt enkele van de zorgen die zijn geuit over de federale en Washington-kaarten. De chips in de New York-licenties hebben serienummers om ze te beschermen tegen vervalsing, en hun geheugenbanken zijn vergrendeld om ze te beschermen tegen ongeoorloofd gebruik van commando's. Het is bewonderenswaardig dat Homeland Security en de staten waarmee het samenwerkt, bereid zijn om betere technologieën te gebruiken dan ze aanvankelijk kozen. Maar het is niet duidelijk of deze inspanningen ver genoeg zullen gaan.

De licenties van New York vertonen dezelfde privacykwesties als de andere kaarten, en zoals de opmerkingen van Keehner suggereren, hebben ambtenaren de neiging om dergelijke zorgen weg te nemen - wat heel goed zou kunnen betekenen dat er niets aan wordt gedaan. Toch is het zeker mogelijk om de privacy van kaarthouders te beschermen zonder dat ze privacyhoezen moeten bijhouden. Elke kaart zou bijvoorbeeld kunnen worden uitgerust met een knop waarmee de gebruiker kan bepalen wanneer hij informatie moet verzenden, zegt Avi Rubin. Tenzij de knop werd ingedrukt, zou de ID niet reageren op vragen. Dergelijke kaarten zouden wat meer kosten, maar ze zouden meer veiligheid en meer privacy kunnen bieden.

Zolang de resterende problemen echter worden genegeerd, is het onwaarschijnlijk dat de technologie goed genoeg zal worden om internationale grenzen te beschermen zonder de privacy van duizenden of miljoenen mensen in gevaar te brengen. Tadayoshi Kohno, bijvoorbeeld, zegt dat hij er op dit moment niet van overtuigd is dat RFID zelfs beveiligingsvoordelen biedt ten opzichte van de oude ID's. Technologie die op deze schaal wordt gebruikt, en voor doeleinden die zo belangrijk zijn, zou duidelijk beter moeten zijn dan wat het vervangt: de Amerikaanse ervaring met elektronische stemsystemen laat zien wat er kan gebeuren als dat niet het geval is. Als ambtenaren blijven pleiten voor pleisters zoals privacyhoezen in plaats van te werken aan de volledige omvang van de zorgen van critici, zullen ze uiteindelijk de technologie ondermijnen die ze hopen te promoten. Hoewel nieuwe ID-technologie waarschijnlijk zal blijven bestaan, kan het een fiasco worden als ambtenaren geen aandacht besteden aan het werk van hackers en beveiligingsonderzoekers. Deze mensen proberen zwakke punten bloot te leggen voordat ze kwaadwillig kunnen worden uitgebuit. Het is veel minder pijnlijk om het nieuws van hen in te slikken dan te wachten tot een probleem gênant of verwoestend wordt.

Erica Naone is een Technologie beoordeling assistent redacteur.

zich verstoppen