近日,美国互联网上传播着一个反 RFID 视频,黑客 Chris Paget 在汽车里安装了从市场购买的 RFID 设备,接着驱车到旧金山转悠,在护照持有者不知情的情况下,偷偷地扫描电子护照的 ID 码。这项技术被称为侧录(skimming),是隐私保护组织对 RFID 技术最担忧的问题之一。不像现有的其它反 RFID 宣传片,这个视频成功地引起了人们对如何安全地使用 RFID 技术的关注。
视频一开始 Paget 就展示他如何在车上安装 RFID 设备:他在后座上放一台 Motorola XL-400 系列的阅读器,一支天线固定在车内顶部,面向车窗。阅读器与前座一台笔记本相连,实时显示天线获取的标签 ID 信息。Paget 安装过程简单,且价格不贵(虽然肯定不会比他宣称的 $250 便宜)。
620)this.style.width=620;" border=0>
后座上 Motorola XL-400 系列的阅读器
620)this.style.width=620;" border=0>
天线
620)this.style.width=620;" border=0>
车内的阅读器、天线和笔记本
视频其余部分主要是 Paget 开车在旧金山转悠,并谈论着自已对身份识别文件采用 RFID 技术的担心。Paget 坚决反对将 RFID 用于人类身份识别文件。他甚至称希望这个研究使整个“西半球旅行计划”(Western Hemisphere Travel Initiative, WHTI)被废弃。WWHTI 是美国政府推出的一个项目,要求所有国际航班乘客须持有有效的 WHTI 规定旅行证件(如 电子护照和PASS Card)才能在美国出入境。 尽管 Paget 对 WHTI 强烈反对,但他很显然并不是一个偏执狂和精神病。他自称自已是一个“白帽”黑客,研究和公布现有技术系统的漏洞,希望这些系统得以改进。
在旅途结束时,虽然 Paget 只获取了几个护照 ID,但他认为这是由于电子护照还处于应用的初期,几年后会有更多的人使用它。
整个视频中,Paget 没有提出一个重要、也是经常被忽略的问题,即侧录来的 ID 数据本身也是加密的,并没有内在的意义。即使一个黑客将一个护照 ID 克隆到一个伪造护照里,原护照的相片与黑客的脸也不相符。
Paget 认为将被盗者电子护照的 ID 及其非接触信用卡的数据相配,可确定护照持有者的身份。虽然这在理论上可能成立,实际上要侧录信用卡 信息要比电子护照难得多,因为信用卡的设计是短距离读取。这就产生一个问题:为什么电子护照采用长距离 RFID 技术,而非接触信用卡采用短距离 RFID 技术,答案正是护照采用 RFID 标签的原因之一:加快通关流程。
无论如何,这个视频还是值得一看的,因为它起码展示了侧录是真实存在的,而且操作还相对容易。虽然这并不代表大量克隆护照的涌现,公众还是会产生担忧。由于民众是任何技术应用的最终审判者,因此这个视频应促使 RFID 行业对安全问题更加警觉。
查看视频(http://www.youtube.com/watch?v=9isKnDiJNPk)