In RFID-Systemen wird der Unique Identifier (UID) oft missverstanden. Er wird häufig als Sicherheitsnachweis behandelt, obwohl er in Wirklichkeit nie für diesen Zweck gedacht war. Um ein RFID-System richtig zu entwerfen, zu bewerten oder zu prüfen, ist es wichtig, dass Sie Folgendes verstehen was eine UID ist, was sie nicht ist und wie sie verwendet werden sollte.
Die technische Bedeutung einer UID
Eine UID ist eine nichtflüchtige Kennung, die dauerhaft in einem integrierten RFID-Schaltkreis gespeichert ist. Sie wird vom Chip-Hersteller während der Produktion zugewiesen und dient dazu, ein Tag auf Protokollebene eindeutig von einem anderen zu unterscheiden.
Aus Sicht der Standards dient die UID dazu, dies zu gewährleisten:
- Zuverlässige Tag-Auswahl
- Auflösung von Kollisionen
- Deterministische Kommunikation zwischen Lesegerät und Tag
Das tut sie nicht eine Authentifizierung, Verschlüsselung oder einen Legitimationsnachweis bieten.
Wie eine UID bei der RFID-Kommunikation verwendet wird
Wenn ein RFID-Lesegerät das RF-Feld aktiviert, können mehrere Tags gleichzeitig antworten. Die UID spielt in dieser Phase eine entscheidende Rolle.
Die typische Reihenfolge ist:
- Tags antworten mit ihren Identifikatoren
- Der Leser führt eine Antikollisionsfunktion aus
- Ein einzelnes Tag wird über seine UID ausgewählt
- Operationen auf höherer Ebene beginnen (falls unterstützt)
Die UID prüft zu keinem Zeitpunkt, ob der Tag echt, autorisiert oder vertrauenswürdig ist.
UID-Speicherung und Unveränderlichkeit
Auf echten RFID-Chips ist die UID in werkseitig programmierter Festwertspeicher. Sie kann im normalen Betrieb nicht verändert oder umgeschrieben werden.
Tags, die eine Änderung der UID erlauben, sind entweder:
- Chips klonen
- Emulatoren
- Entwicklungsgeräte
Sie sind nicht repräsentativ für standardkonforme Produktionsnachweise.
UID Länge und Struktur
Die Länge der UID hängt vom RFID-Standard und der Chipfamilie ab. Gängige Beispiele sind:
- 32-Bit und 40-Bit UIDs in älteren LF-Systemen
- 7-Byte- oder 10-Byte-UIDs in ISO/IEC 14443 HF-Systemen
- 96-Bit-Kennungen in Verbindung mit UHF-EPC-Rahmenwerken
Die Struktur der UID kann Folgendes umfassen:
- Hersteller-Identifikation
- Informationen zur Chip-Familie
- Seriennummerierung
Diese Struktur unterstützt Interoperabilität, nicht Geheimhaltung.
UID-Verhalten über RFID-Frequenzbänder hinweg
Niedrige Frequenzen (125 kHz)
LF-RFID-Systeme basieren fast durchgängig auf einem reinen UID-Betrieb. Diese Systeme bieten:
- Feste Identifikatoren
- Keine Authentifizierung
- Keine Verschlüsselung
- Einseitige Kommunikation
In solchen Systemen reicht der Besitz einer UID aus, um sich als Anhänger auszugeben.
Hochfrequenz (13,56 MHz)
HF RFID führt optionale Sicherheitsschichten ein. Die Rolle der UID ändert sich je nach Chiptyp.
In sicheren HF-Systemen wird die UID nur für Folgendes verwendet:
- Kollisionsschutz
- Tag Auswahl
Entscheidungen zur Zugangskontrolle werden getroffen nach kryptografischer Authentifizierung, nicht durch den Vergleich von UIDs.
Ultra-Hochfrequenz (UHF)
Bei UHF-RFID wird das Konzept einer einzelnen UID durch mehrere Identifikatoren ersetzt:
- TID für die Authentizität des Chips
- EPC für die Identifizierung auf Anwendungsebene
Auch hier unterstützen Identifikatoren Größe und Logistik, nicht Vertrauen.
Erfahren Sie mehr: RFID-Chip-Frequenzen erklärt: LF vs HF vs UHF
Der zentrale Designfehler: Die UID als Berechtigungsnachweis behandeln
Viele Zugangskontrollsysteme verlassen sich immer noch auf den UID-Abgleich als Autorisierungsmechanismus. Dieser Ansatz ist grundlegend fehlerhaft.
Die UID-basierte Autorisierung schlägt fehl, weil:
- UIDs werden im Klartext übertragen
- Jedes kompatible Lesegerät kann sie erfassen
- Geklonte Etiketten sind von den Originalen nicht zu unterscheiden
Dies ist kein Implementierungsfehler - es ist ein Missbrauch des UID-Konzepts.
Warum es reine UID-Systeme immer noch gibt
Trotz der bekannten Einschränkungen sind reine UID-Systeme nach wie vor weit verbreitet, weil:
- Geringe Kosten
- Bestehende Infrastruktur
- Minimale Software-Komplexität
- Kompatibilität mit frühen RFID-Einsätzen
Sie sind nur geeignet, wenn die Sicherheitsanforderungen vernachlässigbar sind.
Wie sichere RFID-Systeme die UID korrekt verwenden
In modernen sicheren RFID-Systemen:
- Die UID wird nie für Zugriffsentscheidungen verwendet
- Die Authentifizierung basiert auf einer kryptografischen Challenge-Response
- Geheime Schlüssel bleiben im Inneren des Chips geschützt
- Sitzungsbasierte Verifizierung verhindert Wiederholungen und Klonen
In diesen Systemen hat die Duplizierung einer UID keinen praktischen Nutzen.
Standards Perspektive
RFID-Standards wie ISO/IEC 14443, ISO/IEC 15693 und ISO/IEC 18000 definieren das UID-Verhalten ausdrücklich. Keiner von ihnen definiert die UID als Sicherheitsmechanismus.
Die Sicherheit ist absichtlich mehrschichtig über die UID.
Diese Unterscheidung ist sowohl in der Dokumentation der Standards als auch in den Referenzdesigns der Hersteller explizit enthalten.
Praktische Implikationen für Systementwickler
Wenn die Sicherheit eines Systems von der Geheimhaltung der UID abhängt, ist das System von vornherein unsicher.
Wenn ein System die UID nur zur Identifizierung verwendet und sich für die Autorisierung auf eine kryptografische Authentifizierung stützt, entspricht es den modernen RFID-Best Practices.
Die UID ist eine grundlegende Komponente der RFID-Kommunikation, aber sie war nie als Berechtigungsnachweis gedacht. Die Verwechslung von Identifizierung und Authentifizierung hat über Jahrzehnte zu vermeidbaren Sicherheitslücken geführt.
Das Verständnis der richtigen Rolle der UID ist nicht optional - es ist eine Voraussetzung für den Aufbau von RFID-Systemen, die skalierbar, interoperabel und sicher sind.
