W systemach RFID unikalny identyfikator (UID) jest często źle rozumiany. Jest on często traktowany jako poświadczenie bezpieczeństwa, podczas gdy w rzeczywistości nigdy nie został zaprojektowany do tego celu. Aby prawidłowo zaprojektować, ocenić lub przeprowadzić audyt systemu RFID, konieczne jest zrozumienie czym jest identyfikator UID, czym nie jest i jak należy go używać.
Techniczne znaczenie identyfikatora UID
Identyfikator UID to nieulotny identyfikator przechowywany na stałe w układzie scalonym RFID. Jest on przypisywany przez producenta chipa podczas produkcji i ma na celu jednoznaczne odróżnienie jednego tagu od drugiego na poziomie protokołu.
Z perspektywy standardów, UID istnieje w celu zapewnienia:
- Niezawodny wybór tagów
- Rozdzielczość kolizji
- Deterministyczna komunikacja między czytnikiem a tagiem
Tak nie zapewniają uwierzytelnianie, szyfrowanie lub dowód legalności.
W jaki sposób identyfikator UID jest używany podczas komunikacji RFID?
Gdy czytnik RFID zasila pole RF, wiele tagów może odpowiedzieć jednocześnie. Identyfikator UID odgrywa kluczową rolę w tej fazie.
Typowa sekwencja to:
- Tagi odpowiadają swoimi identyfikatorami
- Czytnik wykonuje funkcję antykolizyjną
- Pojedynczy tag jest wybierany przy użyciu jego identyfikatora UID
- Rozpoczynają się operacje wyższej warstwy (jeśli są obsługiwane)
Na żadnym etapie UID nie sprawdza, czy tag jest autentyczny, autoryzowany lub zaufany.
Przechowywanie i niezmienność UID
W oryginalnych chipach RFID identyfikator UID jest przechowywany w fabrycznie zaprogramowana pamięć tylko do odczytu. Nie można go modyfikować ani przepisywać podczas normalnej pracy.
Tagi umożliwiające modyfikację identyfikatora UID to:
- Chipy klonujące
- Emulatory
- Urządzenia deweloperskie
Nie są one reprezentatywne dla poświadczeń produkcyjnych zgodnych ze standardami.
Długość i struktura identyfikatora UID
Długość UID zależy od standardu RFID i rodziny chipów. Typowe przykłady obejmują:
- 32-bitowe i 40-bitowe identyfikatory UID w starszych systemach LF
- 7-bajtowe lub 10-bajtowe identyfikatory UID w systemach ISO/IEC 14443 HF
- 96-bitowe identyfikatory powiązane z ramami UHF EPC
Struktura identyfikatora UID może obejmować:
- Identyfikacja producenta
- Informacje o rodzinie chipów
- Numeracja seryjna
Struktura ta wspiera interoperacyjność, a nie tajność.
Zachowanie UID w różnych pasmach częstotliwości RFID
Niskie częstotliwości (125 kHz)
Systemy LF RFID niemal powszechnie opierają się na działaniu wyłącznie UID. Systemy te zapewniają:
- Stałe identyfikatory
- Brak uwierzytelniania
- Brak szyfrowania
- Komunikacja jednokierunkowa
W takich systemach posiadanie identyfikatora UID jest wystarczające do podszycia się pod tag.
Wysoka częstotliwość (13,56 MHz)
HF RFID wprowadza opcjonalne warstwy zabezpieczeń. Rola UID zmienia się w zależności od typu chipa.
W bezpiecznych systemach HF identyfikator UID jest używany tylko do:
- Ochrona przed kolizją
- Wybór tagów
Podejmowane są decyzje dotyczące kontroli dostępu po uwierzytelnieniu kryptograficznym, a nie przez porównywanie identyfikatorów UID.
Ultra-wysoka częstotliwość (UHF)
W RFID UHF koncepcja pojedynczego identyfikatora UID została zastąpiona wieloma identyfikatorami:
- TID dla autentyczności chipa
- EPC do identyfikacji na poziomie aplikacji
Również w tym przypadku identyfikatory wspierają skalę i logistykę, a nie zaufanie.
Dowiedz się więcej: Wyjaśnienie częstotliwości chipów RFID: LF vs HF vs UHF
Podstawowy błąd projektowy: Traktowanie UID jako danych uwierzytelniających
Wiele systemów kontroli dostępu nadal opiera się na porównywaniu identyfikatorów UID jako mechanizmie autoryzacji. To podejście jest zasadniczo błędne.
Autoryzacja oparta na UID nie powiodła się, ponieważ
- Identyfikatory UID są przesyłane w postaci zwykłego tekstu
- Każdy kompatybilny czytnik może je przechwytywać
- Sklonowane tagi są nie do odróżnienia od oryginałów
To nie jest błąd implementacji - to jest niewłaściwe wykorzystanie koncepcji UID.
Dlaczego systemy oparte wyłącznie na UID wciąż istnieją?
Pomimo znanych ograniczeń, systemy oparte wyłącznie na UID są nadal powszechne ze względu na
- Niski koszt
- Starsza infrastruktura
- Minimalna złożoność oprogramowania
- Kompatybilność z wczesnymi wdrożeniami RFID
Są one odpowiednie tylko tam, gdzie wymagania bezpieczeństwa są znikome.
Jak bezpieczne systemy RFID prawidłowo wykorzystują UID?
W nowoczesnych, bezpiecznych systemach RFID:
- Identyfikator UID nigdy nie jest używany do podejmowania decyzji o dostępie
- Uwierzytelnianie opiera się na kryptograficznej metodzie wyzwanie-odpowiedź.
- Tajne klucze pozostają chronione wewnątrz chipa
- Weryfikacja oparta na sesji zapobiega odtwarzaniu i klonowaniu.
W tych systemach duplikowanie identyfikatora UID nie ma praktycznej wartości.
Perspektywa standardów
Standardy RFID takie jak ISO/IEC 14443, ISO/IEC 15693 i ISO/IEC 18000 wyraźnie definiują zachowanie UID. Żadna z nich nie definiuje UID jako mechanizmu bezpieczeństwa.
Bezpieczeństwo jest celowo warstwowe powyżej UID.
Rozróżnienie to jest wyraźne zarówno w dokumentacji standardów, jak i projektach referencyjnych dostawców.
Praktyczne implikacje dla projektantów systemów
Jeśli bezpieczeństwo systemu zależy od tajności UID, system jest niebezpieczny z założenia.
Jeśli system wykorzystuje UID tylko do identyfikacji i opiera się na uwierzytelnianiu kryptograficznym w celu autoryzacji, jest to zgodne z nowoczesnymi najlepszymi praktykami RFID.
Identyfikator UID jest podstawowym elementem komunikacji RFID, ale nigdy nie miał być poświadczeniem. Mylenie identyfikacji z uwierzytelnianiem doprowadziło do dziesięcioleci możliwych do uniknięcia słabości bezpieczeństwa.
Zrozumienie właściwej roli UID nie jest opcjonalne - jest to warunek wstępny do budowania systemów RFID, które skalują się, współdziałają i pozostają bezpieczne.
