RFID安全方面的忧虑一直困扰了RFID的应用和推广,而近日,国内网站开始对RFID安全方面的问题开始了集中报道,如“RFID安全性问题不可小觑” 。那么,如何正确看待RFID的安全问题?
1、如何看待RFID的安全问题?
安全问题对于很多人来讲都是大问题。RFID涵盖了多种技术,因而它具有造成安全难以保障的三个基本特征:一是能量问题。被动式标签从字面上就知道它不自带能量,半主动式和主动式标签自身的能量也非常有限;二是计算能力问题。即使是较大的RFID标签,自身的计算能力也是有限的;三是时间问题。RFID使用的协议是有限的,企图破坏者有足够的时间来研究他感兴趣的协议。
坦率地讲,很多我们今天用于电子邮件或有线传输的安全措施无法用于RFID标签这样如此之小且能量有限的环境中。因此,这就成为一个实实在在的问题:我们使用了20到25年的保密措施没有符合RFID平台需要的。为什么我们在RFID方面苦苦追寻,就是因为我们原来用于电子商务网站上保护信用卡交易安全的措施在RFID上无用武之地。
2、当我们讨论保护RFID标签安全问题时,它的确切含义是什么?
当我告诉别人“我们提供安全措施”时,他们第一反应就是:“噢,加密......”,即所谓的数据加密和解密。实际上,数据加密只是安全措施的一种。这里又牵涉一个隐私问题。
事实上,安全措施并不一直意味着隐私保护。有时候你需要安全措施,但不需要保护隐私,例如:鉴定。你希望你吃的药是真药,但是你并不担心别人能够知道这个药是真的。你并不在乎其它人也能知道药品的真伪情况。这就是一种形式的安全措施,但它不是隐私问题。
你可能需要有效的数据,RFID标签也是如此。例如,RFID标签会告诉你所标示的物体是100毫克,或者是价值100美元,或者其它什么。你需要的是其它人没有更改RFID标签内的信息,你买的货物物有所值。
如果我给你发一份email要求你给我汇10美元,某人截获了这份电子邮件,并在你对此一无所知的情况下将金额更改为1000美元,这个人有机会非法获取你的汇款。因此,这时你需要鉴定电子邮件的真伪,要确认其有效性,而我不在乎别人是否能够看到这封电子邮件。
当然,安全措施有时就是意味着数据保护,即诸如加密解密这样的事。“我希望保护该信息或数据不让外人看到”。这种保护措施是最传统的、最典型的,也是我们所说的“隐私保护”——我们希望该数据仅在两个认证的实体之间可见。综上可见,安全措施内涵十分丰富。
不仅如此,很多人忽视了,安全措施的级别是基于应用而改变的。例如,如果要把数据存放在银行里几十年,我可能需要很高的安全级别,确保其破解起来非常非常困难。换句话说,我需要复杂的计算能力来存储该数据或者将其打包以确保安全。如果我只是将一个无线电指令发送给一个战斗机,告诉它15分钟后要执行什么任务,那么这个指令只要1个小时内不被破解就行了。你可以象使用房间里的温度调节装置那样提高或降低安全级别。很多人不明白他们在说“这安全吗?”时意味着什么。你可以回答“是,这是安全的”,但是,有多安全?看到上面的例子你就明白安全的涵义了。不幸的是,报纸上整体吹嘘的这是安全的,那是安全的,一旦有人去测试它的安全性时,就不是那么回事了。
3、当今没有安全的RFID标签,或者说,所有RFID标签都不是安全的?
的确如此!就我们今天讨论的思路来看,这个问题的答案是“是”,也是“否”。正如上面我所解释的那样,如果你定义的所需安全级别比较低,那么RFID标签是安全的。由于这些标签已经符合了你所要求的安全级别,因此,它们是足够安全的。
但是,如果标签应用的物品比较昂贵,或者比较敏感,由此需要更高的安全级别,实际上,很多情况下,这些标签都不安全。有人会说:“不,我们的标签是安全的,我们有密码保护”。实际上,密码保护是一种典型的弱安全保护,现在已经有很多的方法来对付它。简单地说,密码保护是一种非常低,或者说是根本不存在的安全。
4、市场或媒体对RFID安全性的问题是不是过分渲染了?
现实生活中,很多情况下,以及一些媒体,过分夸大了安全级别的要求,夸大了数据的重要性,夸大了技术能力。事实上,现有的平台是无法确保数据安全的,然而这却演变成“你对安全或隐私风险的耐受程度?”。有意思的是,美国各州纷纷以隐私为由来立法限制RFID的使用,却对早就存在于汽车钥匙中的RFID芯片、对电子收费系统的RFID熟视无睹。在这些应用中,虽然存在一些原始的初级的安全措施,但是毫无安全性可言。同时,我们使用的几百万张信用卡中一点安全技术都没有,但人们对此也不在乎。
媒体对安全性问题是有点大惊小怪了,但是从另外一个角度讲,很多情况下需要安全措施。媒体提及的使用RFID标签作为海运集装箱的安全锁,这是一个很好的想法,但是,如果你不能确保这个RFID标签的安全,集装箱的安全从何谈起?
因此,我认为不同的情况下对安全措施的要求要区别对待。有时候你需要高强度的安全措施。SecureRF最近针对冷链管理推出了一种安全技术,它不仅可以用于高价值货物的保鲜,还可以用于一些价值低、安全要求不高的场合。
5、我们在业务处理中应该怎么做?作为消费者应该如何保护自己的隐私?
如上文所说,RFID安全问题不是一个“非是即非”的问题。在业务处理中,我们应该正确评估所需要的功能,决定所需要的安全级别——有时候,客户可能需要的是一种无法达到的安全级别,要把需求和可能进行平衡。对于消费者而言,消费者需要扪心自问:真正的风险或威胁在哪里?不要草木皆兵。不幸的是,我们在消费者教育方面做的工作太少。