RFID 시스템에서 UID(고유 식별자)는 종종 오해를 받곤 합니다. 보안 자격 증명으로 취급되는 경우가 많지만 실제로는 그런 목적으로 설계된 적이 없습니다. RFID 시스템을 올바르게 설계, 평가 또는 감사하려면 다음 사항을 이해해야 합니다. UID가 무엇인지, 무엇이 아닌지, 어떻게 사용해야 하는지에 대해 설명합니다..
UID의 기술적 의미
UID는 RFID 집적 회로 내부에 영구적으로 저장되는 비휘발성 식별자. 이는 생산 과정에서 칩 제조업체가 할당하며 프로토콜 수준에서 한 태그를 다른 태그와 고유하게 구분하기 위한 것입니다.
표준 관점에서 볼 때 UID는 다음을 보장하기 위해 존재합니다:
- 신뢰할 수 있는 태그 선택
- 충돌 해상도
- 리더와 태그 간의 결정론적 커뮤니케이션
그렇습니다. not 인증, 암호화 또는 적법성 증명을 제공합니다.
RFID 통신 중에 UID가 사용되는 방법
RFID 리더가 RF 필드에 전원을 공급하면 여러 태그가 동시에 응답할 수 있습니다. 이 단계에서 UID는 중요한 역할을 합니다.
일반적인 순서는 다음과 같습니다:
- 태그는 식별자로 응답합니다.
- 리더가 충돌 방지 기능을 수행합니다.
- UID를 사용하여 단일 태그가 선택됩니다.
- 상위 계층 작업 시작(지원되는 경우)
어떤 단계에서도 UID는 태그가 정품인지, 권한이 있는지, 신뢰할 수 있는지 확인하지 않습니다.
UID 저장 및 불변성
정품 RFID 칩의 경우 UID는 다음 위치에 저장됩니다. 공장 출하 시 프로그래밍된 읽기 전용 메모리. 정상 작동 시에는 수정하거나 다시 작성할 수 없습니다.
UID 수정을 허용하는 태그는 다음과 같습니다:
- 클론 칩
- 에뮬레이터
- 개발 장치
표준을 준수하는 프로덕션 자격 증명을 대표하지 않습니다.
UID 길이 및 구조
UID 길이는 RFID 표준 및 칩 제품군에 따라 다릅니다. 일반적인 예는 다음과 같습니다:
- 레거시 LF 시스템의 32비트 및 40비트 UID
- ISO/IEC 14443 HF 시스템의 7바이트 또는 10바이트 UID
- UHF EPC 프레임워크와 관련된 96비트 식별자
UID의 구조에는 다음이 포함될 수 있습니다:
- 제조업체 식별
- 칩 제품군 정보
- 일련 번호
이 구조는 비밀 유지가 아닌 상호 운용성을 지원합니다.
RFID 주파수 대역에서의 UID 동작
저주파(125kHz)
LF RFID 시스템은 거의 보편적으로 UID 전용 작동에 의존합니다. 이러한 시스템은 다음을 제공합니다:
- 고정 식별자
- 인증 없음
- 암호화 없음
- 단방향 커뮤니케이션
이러한 시스템에서는 UID를 소지하는 것만으로도 태그를 사칭할 수 있습니다.
고주파(13.56MHz)
HF RFID는 선택적 보안 계층을 도입합니다. UID의 역할은 칩 유형에 따라 달라집니다.
보안 HF 시스템에서 UID는 다음 용도로만 사용됩니다:
- 충돌 방지
- 태그 선택
액세스 제어 결정 암호화 인증 후, 를 사용하여 UID를 비교하는 것이 아닙니다.
초고주파(UHF)
UHF RFID에서는 단일 UID의 개념이 여러 식별자로 대체됩니다:
- 칩 신뢰성을 위한 TID
- 애플리케이션 수준 식별을 위한 EPC
여기서도 식별자는 신뢰가 아닌 규모와 물류를 지원합니다.
자세히 알아보기: RFID 칩 주파수 설명: LF 대 HF 대 UHF
핵심 설계 오류: UID를 자격 증명으로 취급
많은 액세스 제어 시스템이 여전히 인증 메커니즘으로 UID 비교에 의존하고 있습니다. 이 접근 방식은 근본적으로 결함이 있습니다.
UID 기반 인증이 실패한 이유는 다음과 같습니다:
- UID는 일반 텍스트로 전송됩니다.
- 호환되는 모든 리더기에서 캡처할 수 있습니다.
- 복제된 태그는 원본과 구별할 수 없습니다.
이는 구현상의 실수가 아니라 UID 개념의 오용.
UID 전용 시스템이 여전히 존재하는 이유
알려진 한계에도 불구하고 UID 전용 시스템은 다음과 같은 이유로 여전히 일반적입니다:
- 저렴한 비용
- 레거시 인프라
- 소프트웨어 복잡성 최소화
- 초기 RFID 배포와의 호환성
보안 요구 사항이 무시할 수 있는 수준인 경우에만 적합합니다.
안전한 RFID 시스템에서 UID를 올바르게 사용하는 방법
최신 보안 RFID 시스템에서:
- UID는 액세스 결정에 사용되지 않습니다.
- 인증은 암호화 챌린지-응답을 기반으로 합니다.
- 비밀 키는 칩 내부에서 보호됩니다.
- 세션 기반 검증으로 재생 및 복제 방지
이러한 시스템에서 UID 복제는 실질적인 가치가 없습니다.
표준 관점
RFID 표준 ISO/IEC 14443, ISO/IEC 15693, ISO/IEC 18000과 같은 표준에서는 UID 동작을 명시적으로 정의하고 있습니다. 이들 중 어느 것도 UID를 보안 메커니즘으로 정의하지 않습니다.
의도적으로 계층화된 보안 위 UID를 입력합니다.
이러한 구분은 표준 문서와 공급업체 레퍼런스 디자인 모두에 명시되어 있습니다.
시스템 설계자를 위한 실질적인 시사점
시스템의 보안이 UID 비밀성에 의존하는 경우 시스템은 설계상 안전하지 않습니다.
시스템이 식별을 위해서만 UID를 사용하고 권한 부여를 위해 암호화 인증에 의존하는 경우, 이는 최신 RFID 모범 사례에 부합하는 것입니다.
UID는 RFID 통신의 기본 구성 요소이지만 결코 자격 증명이 될 수 없습니다. 식별과 인증을 혼동하여 수십 년 동안 피할 수 있는 보안 취약점이 발생했습니다.
UID의 올바른 역할을 이해하는 것은 선택 사항이 아니라 확장, 상호 운용 및 보안을 유지하는 RFID 시스템을 구축하기 위한 전제 조건입니다.
