• RFID
• privacy
• sicurezza

La tecnologia RFID (Radio Frequency IDentification) consente l’identificazione di un oggetto in modo univoco attraverso l’utilizzo di una trasmissione a radio frequenza.
La potenzialità degli RFID non si limita solo al fatto di poter assumere informazioni su un determinato oggetto, cosa che può essere ottenuta attraverso l’utilizzo di altre sistemi come i Codici a barre Monodimensionali o Bidimensionali, ma soprattutto nella capacità di realizzare un sistema di comunicazione che, tramite i segnali a radio frequenza, non necessita di contatto fisico tra gli apparati e neanche di visibilità tra gli stessi.
Non si può parlare degli RFID, come di una tecnologia “nuova”, infatti le sue prime applicazioni in ambito militare risalgono alla Seconda Guerra Mondiale, ma negli ultimissimi anni il suo utilizzo sta sempre più crescendo, grazie soprattutto a chip sempre più performanti e meno costosi.
Risulta immediato immaginare i vasti scenari di applicazione di tale tecnologia in tutti quei settori dove l’assunzione di informazioni attraverso operazioni di ricerca, selezione, localizzazione spaziale e tracciamento di oggetti è di fondamentale importanza. Tra le innumerevoli applicazioni in cui gli RFID sono usati le più importanti sono i sistemi per il tracciamento delle merci nella catena di distribuzione, sistemi per l’anti taccheggio nel commercio al minuto; inoltre sono state sviluppate applicazioni più complesse come i sistemi elettronici di raccolta pedaggi, i sistemi per il controllo degli accessi, i sistemi di identificazione elettronica attraverso l’integrazione all’interno di documenti come i passaporti e carte di credito.
Notevole rilevanza assumono in questi contesti applicativi la Sicurezza e la Privacy dei dati contenuti all’interno degli RFID, infatti molto spesso questi due problemi sono stati sottovalutati in passato, rendendo possibile il fiorire di soluzioni proprietarie che si sono rivelate spesso poco affidabili e non compatibili tra loro. Questo tipo di approccio si è rivelato fallimentare non appena i protocolli e i sistemi sono diventati standard o comunque noti nella loro struttura.
L’obiettivo di questo lavoro, svolto presso il Consorzio CUBIT, è quello di realizzare uno schema in cui, per ogni tecnologia RFID oggi usata, viene definito un livello di Sicurezza e Privacy, evidenziando pregi e difetti degli algoritmi implementati.
Nella prima parte del lavoro svolto, si è analizzato il funzionamento dei sistemi RFID a livello fisico, sono quindi state presentate le modalità e le frequenze di funzionamento delle varie tipologie di sistemi presenti, inoltre ampio spazio è dato alle modulazioni usate per trasmettere i dati, ma che costituiscono anche l’alimentazione dei TAG e vedremo che in base al variare della modulazione usata si potranno avere chip più o meno performanti e quindi che possono o meno implementare algoritmi di cifratura più complessi.
Nella seconda parte si analizzano i problemi che nascono dall’utilizzo di questa tecnologia, in particolare i vari tipi di attacchi che può subire da eventuali aggressori e le possibili contromisure generali.
Nella terza parte si studiano le soluzioni implementate e proposte per risolvere i problemi della Sicurezza e della Privacy nei sistemi RFID, distinguendo i due casi :
Sistemi UHF: utilizzo, possibilità di implementare algoritmi di autenticazione e cifratura dei dati, cosa gli standard internazionali specificano e cosa invece può essere fatto per migliorare la Sicurezza e la Privacy.
Sistemi HF: definiti nello standard ISO/IEC 14443 che illustra il funzionamento delle smart card contactless e definisce due tipi di modulazioni possibili, Tipo A e Tipo B. Nello Standard sono definite però solo le funzioni di livello fisico e i protocolli di anticollisione, non c’è alcun riferimento sull’organizzazione dei livelli applicativi e quindi anche delle funzioni di Sicurezza che un dispositivo deve implementare. Questo ha portato al nascere di diverse soluzioni proprietarie più o meno affidabili. Con l’utilizzo di questa tecnologia, inoltre, le problematiche di Sicurezza e Privacy assumono una rilevanza ancora maggiore. Infatti le smart card contacless sono utilizzate in sistemi di controllo degli accessi oppure di trasporto pubblico. Spesso,inoltre,a queste card sono aggiunte funzionalità di “borsellino elettronico” oppure sono direttamente collegate a un account bancario per effettuare transazioni monetarie.
Per dispositivi che utilizzano la modulazione di Tipo A si fa riferimento alle card MIFARE, sviluppate da NXP, si analizzano gli algoritmi implementati per provvedere all’autenticazione e alla cifratura dei dati; si dimostra la fragilità di tali schemi e se ne propone una versione software implementabile in qualsiasi Reader. Per quanto riguarda il Tipo B, invece, è stato studiato il sistema Calypso, utilizzato per lo più in ambito trasporto, provvedendo alla certificazione delle carte contact-less che saranno utilizzate nel trasporto urbano della Regione Piemonte, prestando particolare attenzione a tutti i passaggi che richiedono lo scambio delle chiavi sia in fase di autenticazione della card sia per cifrare i dati.