Petter Reinholdtsen

Mens jeg forsetter famlingen rundt i RFID-verden, kom jeg over en masteroppgave fra Institutt for Informatikk ved Universitetet i Oslo med tittelen "Investigation of security features in Near-field communication (NFC)" og følgende oppsummering:

With the increasing use of NFC and RFID technology it is important to look at the security, both for the user and for the system owner to see that the system is reliable. NFC is a standard inheriting some of the RFID standards and it is important to see how the old standards have handled security and how it is handled in NFC. There are certain RFID systems that are already in use, which is especially close to NFC. For example is Mifare a system used in many public transportation systems as ticket and in contactless access cards. Another example is electronic passports which uses a standard which is included in NFC. Examining the security in these and also investigate the use of NFC tags to make secure use of them is the focus in this thesis.

Rapportens analyse av MiFare Classic, som tilfeldigvis er systemet som brukes Universitetet i Oslos nye student- og ansattkort, er spesielt interessant for meg som jobber her. Sikkerheten i MiFare Classic ble reversutviklet og problemene i sikkerheten presentert for CCC i 2007. Det er i dag mulig å klone slike kort.

Bruken av RFID brer om seg. Klær, matvarer, borgere, elever, studenter og ansatte blir radiomerket på en måte som gjør det enkelt å følge med på hvor de beveger seg. Historien fra Enterprise Charter School i Buffalo, New York beskriver drømmen om massiv overvåkning av bevegelsesmønsteret til elevene vha. RFID. For de fleste får jeg inntrykk av at overgangen virker ganske liten, da de allerede er radiomerket med GSM-telefoner som rapporterer hvor de er til enhver tid. Personlig ser jeg på retten til å ferdes anonymt og uten å bli overvåket som fundamental for å beholde et demokratisk og fritt samfunn, og tror denne retten kun overlever hvis den blir brukt av borgerne, og velger derfor å ikke gå rundt med radiopeilesender på meg.

RFID-merking av folk, det være seg med busskort fra Ruter, student- og ansattkort for Universitetet i Oslo, nyere pass eller i klær som folk går med er radiomerking av befolkningen.

For å kunne sette meg inn i RFID-teknologi ser jeg etter en norsk leverandør som kan selge meg en RFID leser/skriver med USB-tilkobling som kan brukes til å se hva som er RFID-merket i dag. Jeg er fortalt at Ruter sitt Flexus-kort bruker 13,56 MHz som kan leses og skrives til, mens andre dinger typisk bruker 125 kHz som i utgangspunktet kun kan leses fra. Det finnes også andre frekvenser i bruk. Vet ikke hva som finnes av rimelig utstyr for lesing og skriving, men ble tipset om at Robonor har endel slike deler. Programvare på Linux for å lese og skrive mot RFID er tilgjengelig fra blant andre Open Proximity Coupling Devices-prosjektet og RFDump-prosjektet.

Blokkering av RFID-signaler ser ut til å være mulig ved å plassere kort med RFID i en metallboks. Min kortmappe med metall-plate for å stive av, lot i hvert fall til å blokkere for Ruters avlesning av Flexus-kort. Er også blitt fortalt at det fungerer å bruke en liten metall-boks. Er ikke sikker på om dette også blokkerer for mer følsomme lesere som kan lese av RFID-signaler på mange meters avstand.

De nye norske biometriske passene kan enkelt leses av på avstand og kopieres med RFID, slik at de som ønsker det kan å se bilde av nordmenn i nærheten, og informasjon om fingeravtrykk, høyde, hårfarge og det meste av informasjon om innehaveren. For meg virker det som en massiv sikkerhetsrisko, og det er meg et komplett mysterium at Stortinget og regjeringen har gått med på RFID-merking av pass. wikipedia har mer om de nye biometriske passene.