Quando si parla di sicurezza e di privacy, la prima preoccupazione che riguarda il mondo RFId è la possibile lettura non autorizzata di tag oppure la possibilità di intercettare comunicazioni tra reader e tag ad una certa distanza.
Il fatto di aver standardizzato la comunicazione RFId ha implicato la nascita di tag promiscui, ovvero tag che possono essere interrogati da qualsiasi lettore e che, banalmente, rispondono a qualsiasi lettore: un tag EPC Class1Gen2 è detto promiscuo poiché risponde a qualsiasi reder che implementi lo standard Class1Gen2.
Alcune tecnologie RFId sviluppate per il settore immobilizer di veicoli, tipo NXP ICODE o TI, contengono un algoritmo di cifratura a 40bit, e, si noti, si tratta di dispositivi progettati e realizzati una decina di anni fa. Oggi 40bit per la cifratura sono pochi: la chiave viene decriptata in pochi secondi e la sicurezza crolla.
Oggi si parla di chiavi per la cifratura a 128 o addirittura 256bit: 128bit saranno sufficienti per i prossimi 5/10 anni (in base allo sviluppo commerciale dell’elettronica di consumo), mentre 256bit saranno sufficienti per qualche decina di anni.
In un post precedente abbimo introdotto le nuove caratteristiche di antenna della famiglia Monza4 di Impinj (produttore di chip RFId, Seattle, WASH). Questa famiglia sarà divisa nei seguenti prodotti:
· Monza4D: 128bits EPC, 32bits User Memory, 96bits TID
· Monza4U: 128bits EPC, 512bits User Memory, 96bits TID
· Monza4E: 496bits EPC, 128bits User Memory, 96bits TID
· Monza4QT: 128bits EPC, 512bits User Memory, 96bits TID e una funzione di privacy detta QT Technology.
Dal punto di vista della sicurezza, il prodotto Monza4QT introduce delle caratteristiche veramente interessanti. Monza4QT può switchare tra due diversi stati: privato, stato in cui tutta la memoria e tutti i comandi sono visibili e possibili; pubblico, modalità limitata dove un reader può interrogare il tag solo per recuperarne un identificativo seriale.
Inoltre è possibile rendere il tag sensibile a stimoli provenienti da lunga distanza o solamente in prossimità, prevenendo la possibilità di letture accidentali da reader adiacenti o vicini che non riguardano il prodotto taggato. Lo standard EPC non è ancora stato verificato a pieno ma la produzione in massa avverrà per il secondo quarter di quest’anno.
Conclusioni
La sicurezza delle informazioni è un punto di discussione fondamentale ai giorni nostri. Non basta poter bloccare un tag in scrittura: anche la lettura deve essere autorizzata. Le tecniche di oggi si basano sulla crittografia dei dati oppure sulla non accessibilità: poter impostare il tag in un modo di funzionamento sicuro permette di nascondere le informazioni che trasporta.