登錄
注冊
RFID世界網(wǎng) >
新聞中心 >
行業(yè)動態(tài) >
正文
危險!RFID淪為恐怖分子利用工具
作者:IT168
來源:來源網(wǎng)絡(luò)(侵權(quán)刪)
日期:2007-04-15 22:01:17
摘要:似乎還嫌RFID芯片問題所引起的恐慌還不足夠似的,倫敦的皇家工程學(xué)院目前進(jìn)一步指出,哪天恐怖分子倘若有適當(dāng)?shù)奶炀€及放大器,將能利用RFID技術(shù)遠(yuǎn)程讀取個人資料,設(shè)置炸彈在指定目標(biāo)人物進(jìn)入他鎖定范圍時引爆
任何人只要有一個RFID閱讀器就能偷偷讀取到護(hù)照中RFID(無線射頻識別)芯片上所存儲的未加密數(shù)據(jù),這點(diǎn)現(xiàn)已廣為人知。而在互聯(lián)網(wǎng)上購買各種零件來組裝一個閱讀器只需少少的20美元即可,這點(diǎn)在今年3月初的黑帽大會上美國公民自由協(xié)會(ACLU)就已指出。只要有了一個閱讀器,你將能輕松獲取RFID芯片所發(fā)送出的護(hù)照號碼、名字、地址、社會安全碼等所有信息。
據(jù)皇家工程學(xué)院表示, RFID的功能被以這些危險方式所利用也僅是未來先進(jìn)技術(shù)可能被惡意利用來進(jìn)行攻擊的其中一例。 該學(xué)院在3月26日發(fā)表一份標(biāo)題為“隱私與監(jiān)督的兩難抉擇:技術(shù)變革所面臨的挑戰(zhàn)” 的報告,該報告由學(xué)院隱私及監(jiān)督組主席奈杰爾.吉爾伯特(Nigel Gilbert)所寫。報告中吉爾伯特還總結(jié)其他一些已發(fā)生及可能正在發(fā)生的技術(shù)沖擊,具體如下:
生物護(hù)照保護(hù)RFID數(shù)據(jù)
生物護(hù)照(biometric passports)也被稱為電子護(hù)照(e-Passport),是通過使用面部識別技術(shù)將紙質(zhì)護(hù)照與個人連系起來,并取虹膜和指紋數(shù)據(jù)作為備份。這種生物技術(shù)現(xiàn)在也引起了其他國家的濃厚興趣。
而之所以提議在護(hù)照中使用RFID芯片,是由于護(hù)照中數(shù)據(jù)將在各種地方被讀取,比如護(hù)照檢查處查驗護(hù)照持有者的身份,因而這些數(shù)據(jù)必須能被快速可靠地傳輸。
此外,一張偽造的護(hù)照可能也包含一個護(hù)照持有者的所有生物特征信息,只不過它所用的名字、出生日期及公民身份等都是偽造的個人資料。當(dāng)然,護(hù)照可以通過與中央數(shù)據(jù)庫進(jìn)行核對確保數(shù)據(jù)與護(hù)照是相匹配。不過,由于這些數(shù)據(jù)可以隨時在需要時從中央數(shù)據(jù)庫中取得,所以常被認(rèn)為無需將其保存在護(hù)照上。因而護(hù)照上并未有這些數(shù)據(jù)。
“對電子護(hù)照上的數(shù)據(jù)進(jìn)行加密將會有助于避免這些問題,”吉爾伯特在報告中寫道。“但即便到那時仍會有潛在的不足之處。首先,這些加密代碼可被破解的話,那么上述的這兩個安全漏洞又會再次浮出水面。其次,英國目前的電子護(hù)照計劃還存在一個問題,即芯片上數(shù)據(jù)的密鑰就存儲在護(hù)照本身上,因此加密實際上無法真正達(dá)到阻止犯罪分子的效果。”
“要保持RFID護(hù)照信息真正安全的唯一方式,就是要以極牢靠算法來進(jìn)行加密,并禁止通過使用護(hù)照上所存儲的密鑰來存取護(hù)照上的加密數(shù)據(jù)。”吉爾伯特表示。“否則的話,就應(yīng)集中精力來于開發(fā)一種完全不同方式來設(shè)計電子護(hù)照了。”
激光表面認(rèn)證取代RFID?
戀童癖者想來要‘夢想成真’了:所有孩子的數(shù)據(jù)都集中存儲在一個國家數(shù)據(jù)庫。據(jù)報導(dǎo),英國正計劃對凡屬達(dá)到11歲孩童的名字和家庭地址以及指紋進(jìn)行采集,并將這些數(shù)據(jù)存儲在一個政府?dāng)?shù)據(jù)庫中。孩子們的數(shù)據(jù)將作為英國的生物護(hù)照計劃的一個子集,在孩子們16歲時轉(zhuǎn)移到英國新的國家身份數(shù)據(jù)庫中。“若是這類數(shù)據(jù)庫出現(xiàn)數(shù)據(jù)漏洞或缺陷,那么所引發(fā)的結(jié)果可能是極其嚴(yán)重的。”吉爾伯特表示。“這類信息可能會被戀童癖者濫用來鎖定他們想要虐待的孩童。”
此外,吉爾伯特還指出還有其它已發(fā)生以及可能仍在發(fā)生的嚴(yán)重泄漏:信用卡數(shù)據(jù)泄漏,這常被用來騷擾公眾人物;敏感場所的工作員工泄漏地址,比如流產(chǎn)門診部以及常有做動物實驗的研究中心;健康記錄的泄漏,它可能左右病人的雇傭前景,有時甚至可能將他們曝露于暴力的危險中,其中包括HIV(愛滋病)狀況,一位女士有過終止懷孕(如果她的伴侶或父母還不知道這事)的記錄,或顯示與一個小孩與所推斷的父親可能不存在父子關(guān)系的數(shù)據(jù)(如DNA或血型)。
報告還詳細(xì)敘述了其他最壞情況,包括利用語義網(wǎng)絡(luò)(Semantic Web)及其可公開訪問到的廣泛個人資料進(jìn)行身份欺詐,以及使用指紋圖象來騙過觸摸付款(pay-by-touch)系統(tǒng)。
這些技術(shù)誤用的遠(yuǎn)景可能看起來十分可怕,不過吉爾伯特也在報告中指出了許多可安全防護(hù)這些技術(shù)的方式,比如:對于一個生物觸摸付款系統(tǒng),你可要求進(jìn)行雙重模式的認(rèn)證,即一個PIN碼和一個指紋,在阻止欺詐方面它將會比單依靠指紋的系統(tǒng)更成功得多。
至于應(yīng)用RFID技術(shù)的護(hù)照以及它們可能被連接到炸彈或其它危險的可能性,要想降低這些突出的弊端是有一個替代方法,就是放棄RFID芯片使用其它技術(shù),比如Ingenia Technology公司正開發(fā)的一項名為激光表面認(rèn)證(Laser Surface Authentication,LSA)技術(shù)。
LSA技術(shù)著重考慮一個指定文檔的獨(dú)特表面品質(zhì)。紙質(zhì)文檔和塑料信用卡都有獨(dú)特的精微表面品質(zhì),可歸結(jié)為紙纖維是如何排列的或者塑料是如何設(shè)置的。“這些品質(zhì)是人為所不能控制和復(fù)制的,而且它們在每一例中都是唯一的,有點(diǎn)類似于人類指紋,”吉爾伯特表示。 “Ingenia已發(fā)明出一種可顯示這些表面特性的文檔掃描方式,用他們自己的話來講就是‘LSA指紋’。他們所創(chuàng)建的這個系統(tǒng)只有‘只讀’功能,而文檔是被動的,它只能被簡單掃描,所記錄的也只是其表面特性。”
據(jù)皇家工程學(xué)院表示, RFID的功能被以這些危險方式所利用也僅是未來先進(jìn)技術(shù)可能被惡意利用來進(jìn)行攻擊的其中一例。 該學(xué)院在3月26日發(fā)表一份標(biāo)題為“隱私與監(jiān)督的兩難抉擇:技術(shù)變革所面臨的挑戰(zhàn)” 的報告,該報告由學(xué)院隱私及監(jiān)督組主席奈杰爾.吉爾伯特(Nigel Gilbert)所寫。報告中吉爾伯特還總結(jié)其他一些已發(fā)生及可能正在發(fā)生的技術(shù)沖擊,具體如下:
生物護(hù)照保護(hù)RFID數(shù)據(jù)
生物護(hù)照(biometric passports)也被稱為電子護(hù)照(e-Passport),是通過使用面部識別技術(shù)將紙質(zhì)護(hù)照與個人連系起來,并取虹膜和指紋數(shù)據(jù)作為備份。這種生物技術(shù)現(xiàn)在也引起了其他國家的濃厚興趣。
而之所以提議在護(hù)照中使用RFID芯片,是由于護(hù)照中數(shù)據(jù)將在各種地方被讀取,比如護(hù)照檢查處查驗護(hù)照持有者的身份,因而這些數(shù)據(jù)必須能被快速可靠地傳輸。
此外,一張偽造的護(hù)照可能也包含一個護(hù)照持有者的所有生物特征信息,只不過它所用的名字、出生日期及公民身份等都是偽造的個人資料。當(dāng)然,護(hù)照可以通過與中央數(shù)據(jù)庫進(jìn)行核對確保數(shù)據(jù)與護(hù)照是相匹配。不過,由于這些數(shù)據(jù)可以隨時在需要時從中央數(shù)據(jù)庫中取得,所以常被認(rèn)為無需將其保存在護(hù)照上。因而護(hù)照上并未有這些數(shù)據(jù)。
“對電子護(hù)照上的數(shù)據(jù)進(jìn)行加密將會有助于避免這些問題,”吉爾伯特在報告中寫道。“但即便到那時仍會有潛在的不足之處。首先,這些加密代碼可被破解的話,那么上述的這兩個安全漏洞又會再次浮出水面。其次,英國目前的電子護(hù)照計劃還存在一個問題,即芯片上數(shù)據(jù)的密鑰就存儲在護(hù)照本身上,因此加密實際上無法真正達(dá)到阻止犯罪分子的效果。”
“要保持RFID護(hù)照信息真正安全的唯一方式,就是要以極牢靠算法來進(jìn)行加密,并禁止通過使用護(hù)照上所存儲的密鑰來存取護(hù)照上的加密數(shù)據(jù)。”吉爾伯特表示。“否則的話,就應(yīng)集中精力來于開發(fā)一種完全不同方式來設(shè)計電子護(hù)照了。”
激光表面認(rèn)證取代RFID?
戀童癖者想來要‘夢想成真’了:所有孩子的數(shù)據(jù)都集中存儲在一個國家數(shù)據(jù)庫。據(jù)報導(dǎo),英國正計劃對凡屬達(dá)到11歲孩童的名字和家庭地址以及指紋進(jìn)行采集,并將這些數(shù)據(jù)存儲在一個政府?dāng)?shù)據(jù)庫中。孩子們的數(shù)據(jù)將作為英國的生物護(hù)照計劃的一個子集,在孩子們16歲時轉(zhuǎn)移到英國新的國家身份數(shù)據(jù)庫中。“若是這類數(shù)據(jù)庫出現(xiàn)數(shù)據(jù)漏洞或缺陷,那么所引發(fā)的結(jié)果可能是極其嚴(yán)重的。”吉爾伯特表示。“這類信息可能會被戀童癖者濫用來鎖定他們想要虐待的孩童。”
此外,吉爾伯特還指出還有其它已發(fā)生以及可能仍在發(fā)生的嚴(yán)重泄漏:信用卡數(shù)據(jù)泄漏,這常被用來騷擾公眾人物;敏感場所的工作員工泄漏地址,比如流產(chǎn)門診部以及常有做動物實驗的研究中心;健康記錄的泄漏,它可能左右病人的雇傭前景,有時甚至可能將他們曝露于暴力的危險中,其中包括HIV(愛滋病)狀況,一位女士有過終止懷孕(如果她的伴侶或父母還不知道這事)的記錄,或顯示與一個小孩與所推斷的父親可能不存在父子關(guān)系的數(shù)據(jù)(如DNA或血型)。
報告還詳細(xì)敘述了其他最壞情況,包括利用語義網(wǎng)絡(luò)(Semantic Web)及其可公開訪問到的廣泛個人資料進(jìn)行身份欺詐,以及使用指紋圖象來騙過觸摸付款(pay-by-touch)系統(tǒng)。
這些技術(shù)誤用的遠(yuǎn)景可能看起來十分可怕,不過吉爾伯特也在報告中指出了許多可安全防護(hù)這些技術(shù)的方式,比如:對于一個生物觸摸付款系統(tǒng),你可要求進(jìn)行雙重模式的認(rèn)證,即一個PIN碼和一個指紋,在阻止欺詐方面它將會比單依靠指紋的系統(tǒng)更成功得多。
至于應(yīng)用RFID技術(shù)的護(hù)照以及它們可能被連接到炸彈或其它危險的可能性,要想降低這些突出的弊端是有一個替代方法,就是放棄RFID芯片使用其它技術(shù),比如Ingenia Technology公司正開發(fā)的一項名為激光表面認(rèn)證(Laser Surface Authentication,LSA)技術(shù)。
LSA技術(shù)著重考慮一個指定文檔的獨(dú)特表面品質(zhì)。紙質(zhì)文檔和塑料信用卡都有獨(dú)特的精微表面品質(zhì),可歸結(jié)為紙纖維是如何排列的或者塑料是如何設(shè)置的。“這些品質(zhì)是人為所不能控制和復(fù)制的,而且它們在每一例中都是唯一的,有點(diǎn)類似于人類指紋,”吉爾伯特表示。 “Ingenia已發(fā)明出一種可顯示這些表面特性的文檔掃描方式,用他們自己的話來講就是‘LSA指紋’。他們所創(chuàng)建的這個系統(tǒng)只有‘只讀’功能,而文檔是被動的,它只能被簡單掃描,所記錄的也只是其表面特性。”
