Seminar: RFID. B3: Security- und Privacy-Aspekte bei RFID. Inhalt. Gottlieb Duttweiler Institut, Rüschlikon, 26. Januar 2005

Transkript

1 Seminar: RFID B3: Security- und Privacy-Aspekte bei RFID ROMAN Consulting & Engineering AG Dr. I. ROMAN, CISSP Gottlieb Duttweiler Institut, Rüschlikon, 26. Januar 2005 RFID-Seminar, , Folie 1 Inhalt RFID Security News RFID Gefährdungen Angriffe an RFID Systeme Angriffsmöglichkeiten Gefährdung der Vertraulichkeit persönlicher Daten Abwehrlösungen Forderungen RFID-Seminar, , Folie 2

2 RFID Security News (I) RFID-Seminar, , Folie 3 RFID Security News (II) RFID-Seminar, , Folie 4

3 RFID Security News (III) RFID-Seminar, , Folie 5 RFID Security News (IV) RFID-Seminar, , Folie 6

4 RFID Gefährdungen Angriffe an RFID Systeme Gefährdung der Vertraulichkeit persönlicher Daten RFID-Seminar, , Folie 7 Angriffe an RFID Systeme Lesegerät Backend Luftschnittstelle Daten inkl. ID Transponder Trägerobjekt Der Angreifer verschaft sich unberechtigten Zugang zu Informationen. Ausspähen Der Angrifer speist unzutreffende Information ein. Täuschung Der Angreifer beeinträchtigt die Verfügbarkeit des RFID Systems. DOS (Denial of Service) RFID-Seminar, , Folie 8

5 Angriffsmöglichkeiten Identität fälschen Abhören Stören / Blocken Daten inkl. ID Inhalt fälschen Lesegerät Luftschnittstelle Transponder Identität fälschen Deaktivieren Abhören,.. Ablösen Backend Trägerobjekt Standard Angriffe RFID-Seminar, , Folie 9 Gefährdung der Vertraulichkeit persönlicher Daten Erstellung von Bewegungs-, Konsum- und Kontaktprofilen Möglichkeit, dass unberechtigte Personen Informationen lesen, weiterverarbeiten oder manipulieren. Unberechtigte Verknüpfung von Daten und Personen.... RFID-Seminar, , Folie 10

6 Unsere Zukunft? Replacement hip medical part # Wig model #4456 (cheap polyester) Das Kapital and Communist-party handbook 30 items of lingerie Quelle: RSA 500 Euros in wallet Serial numbers: , RFID-Seminar, , Folie 11 Datenschutz Schweiz (I) /d/gesetz/schweiz/index.htm RFID-Seminar, , Folie 12

7 Datenschutz Schweiz (II) RFID-Seminar, , Folie 13 Datenschutz Schweiz (III) Eidg. Datenschutzbeauftragter : 11. Tätigkeitsbericht 2003/ RFID-Seminar, , Folie 14

8 RFID Gefährdungen Abwehrlösungen sind da! Angriffe an RFID Systeme Gefährdung der Vertraulichkeit persönlicher Daten RFID-Seminar, , Folie 15 Abwehrlösungen (I) Starke gegenseitige Authentifizierung zwischen Lesegerät und Transponder (z.b. ISO 9798, Threepass mutual authentication protocol ) Verschlüsselung Verlagerung aller Daten bis auf die ID ins Backend Einsatz von Read-only Tags Abhörsichere Antikollisionsprotokolle Pseudonymisierung ( Verschleierung der Tag- Identität ) RFID-Seminar, , Folie 16

9 Abwehrlösungen (II) Einsatz von Detektoren, welche das Versorgungsfeld eines Lesegeräts erkennen Starke mechanische Verbindung des Tags mit Trägerobjekt Temporäres Verhindern des Auslesens durch Blocker (Bsp. RSA Lösung) *) Dauerhafte Deaktivierung durch Kill Befehl *)... *) Beim Missbrauch kann diese Funktion auch zum Angriff eingesetzt werden Autorisierung notwendig RFID-Seminar, , Folie 17 Forderungen (I) RFID Systeme sichtbar anbringen. Vollständige Transparenz bezüglich der Eigenschaften der eingesetzter RFID Systeme. Vollständige Transparenz bezüglich der Verwendung der ausgelesenen RFID- Daten Nur geringe (notwendige) Datenmengen auf den Transponder anbringen. RFID-Seminar, , Folie 18

10 Forderungen (II) Offene und nicht hersteller-spezifische Standards einsetzen. Recht auf Zerstörung des RFID-Tags nach Kauf, ohne Nachteile für den Käufer. Technologie-Kontrolle durch den Gesetzgeber RFID-Seminar, , Folie 19