Ψηφιακή Ταυτότητα: Τι Είναι RFID Και Πως Μπορεί Να Χρησιμοποιηθεί Εναντίον Σου
Ως ειδικοί της τεχνολογίας NFC στην Ελλάδα και μετά από έντονη παρότρυνση του κοινού μας, αποφασίσαμε να κάνουμε μία εκτενή έρευνα για το RFID. Σκοπός αυτής είναι να κατανοήσει μέχρι και ο πιο αρχάριος πολίτης, τι ακριβώς είναι η ψηφιακή ταυτότητα και πως το chip RFID που έχει θα μπορούσε, να χρησιμοποιηθεί εναντίον σου αν το αποφασίσουν.
Δεν θα σας δείξω video του Πετράκου, καθώς ο συγκεκριμένος “στηρίζει” εμμέσως τον Γεωργούλη, Ευρωβουλευτή του Σύριζα που σε κάθε πρόταση νόμου της Ευρωβουλής που αφορά τα Ελληνοτουρκικά, ψηφίζει πάντα υπέρ της τουρκίας και κατά της Ελλάδος. Ακόμα και για τις κυρώσεις στους δολοφόνους (γκρίζοι λύκοι) του Σολομώντα Σολωμού, ο Γεωργούλης ψήφισε υπέρ των δολοφόνων… Εμείς θα πάρουμε μία καθαρά τεχνική θέση σχετικά με την ψηφιακή ταυτότητα.
Τι Είναι Το RFID
Το RFID στο ελάχιστο αποτελείται από μία κεραία και ένα chip, ενώ μπορούν να χωρέσουν σε μία κάρτα όπως VISA ή Mastercard, όπως δηλαδή θα είναι στο περίπου σαν μέγεθος και οι RFID ψηφιακές ταυτότητες. Για την ανάγνωση των αποθηκευμένων πληροφορίων που βρίσκονται στο RFID χρειάζονται ραδιοκύματα σε συγκεκριμένη συχνότητα τα οποία εκπέμπονται από τον RFID αναγνώστη. Για την ταυτότητα το πιο πιθανό σενάριο είναι ο κανονισμός να επιτρέπει ανάγνωση δεδομένων σε απόσταση το πολύ 10 εκατοστά, χωρίς να σημαίνει πως αυτή η απόσταση πως δεν μπορεί να παραβιαστεί.
Ενεργό Και Παθητικό RFID
Για να κατανοήσουμε την νέα ψηφιακή ταυτότητα πρέπει αρχικά να ξεχωρίσουμε αυτές τις 2 έννοιες. Τα ενεργά RFID συνήθως τροφοδοτούνται από μία μικρή μπαταρία για να μπορούν να εκπέμπουν ραδιοκύματα σε πιο μεγάλη απόσταση. Όπως ακριβώς συμβαίνει με το σύστημα ηλεκτρονικών διοδίων που δεν χρειάζεται να σταματήσει το όχημα και χρεώνεται αυτόματα με τον πομποδέκτη από κάποια μέτρα απόστασης.
Τα παθητικά RFID που θα χρησιμοποιούν οι ψηφιακές ταυτότητες, δεν έχουν κάποια πηγή ενέργειας, αλλά αυτό όμως από μόνο του δεν σημαίνει πως οι παθητικές RFID είναι ασφαλής. Υπάρχουν στο εμπόριο παθητικές RFID οι οποίες μπορούν να λειτουργούν ακόμα και από απόσταση 25 μέτρων, ανάλογα με την συχνότητα τους.
NFC & RFID
Το NFC που όλοι πρέπει να γνωρίζουμε από τα κινητά μας και χρησιμοποιούμε κυρίως για ανέπαφες πληρωμές, ανήκει στην οικογένεια του RFID. Ναι καλά καταλάβατε, το RFID θα μπορούσε να χρησιμοποιηθεί και αυτό για ανέπαφες πληρωμές. NFC και RFID λειτουργούν στην υψηλή συχνότητα των 13,56MHz. Η βασική τους διαφορά είναι πως το NFC λειτουργεί και ως αναγνώστης για να μπορεί να ανταλλάσσει δεδομένα με άλλες NFC συσκευές όπως NFC tags ή άλλα smartphones. Ενώ είναι αρκετά σημαντικό να τονίσουμε πως κάποιες NFC συσκευές είναι ικανές να διαβάσουν RFID ετικέτες.
RFID Ταυτότητα – Πως Λειτουργεί
Η RFID ταυτότητα θα χρησιμοποιεί την τεχνολογία MRZ που ήδη χρησιμοποιείται σε αρκετά διαβατήρια Ευρωπαϊκών χωρών. To MRZ είναι κάτι σαν ένα κωδικοποιημένο barcode το οποίο διαβάζεται μηχανικά από έναν σαρωτή, όπως αυτόν που έχουν τα σούπερ μάρκετ ή ακόμα και κάποια αεροδρόμια για self check in. Για να ενεργοποιηθεί το RFID της ταυτότητας και να διαβαστούν τα δεδομένα που περιέχει, θα πρέπει πρώτα να διαβαστεί μηχανικά το MRZ, το οποίο αναμφίβολα είναι ένα έξτρα μέτρο προστασίας.
Πώς θα μπορούσε να χρησιμοποιηθεί εναντίον σου;
- Υπάρχει ένα “ρητό” που λέει “Nothing Is UnHackable” και όσο περισσότερη τεχνολογία προσθέτουμε στην ζωή μας τόσο πιο ευάλωτοι θα είμαστε σε επιθέσεις.
- Το RFID ακόμα και αν έχει απόσταση λειτουργίας μερικά χιλιοστά, είναι δυνατόν να τροποποιηθεί κακόβουλα ένας ειδικός αναγνώστης RFID, ώστε να εκπέμπει πιο ισχυρά ραδιοκύματα και να φτάσει να διαβάζει RFID ταυτότητες από απόσταση μερικών μέτρων. Φυσικά για να γίνει κάτι τέτοιο θα πρέπει πρώτα να έχει διαπεραστεί η κωδικοποίηση, αλλά και να βρεθεί τρόπος να παρακαμφθεί από τον hacker η μηχανική ανάγνωση του MRZ.
- Το RFID μπορεί να χρησιμοποιηθεί για ανέπαφες πληρωμές, οπότε με την ψηφιακή RFID ταυτότητα, αποδέχεσαι ακόμα ένα μέτρο που ενδέχεται να ενισχύει την κατάργηση των μετρητών σε μερικά χρόνια από τώρα. Το ψηφιακό εύρω είναι ήδη γεγονός, ενώ το Ευρωπαϊκό πορτοφόλι πλησιάζει με γρήγορους ρυθμούς.
- Το MRZ από μόνο του θα μπορούσε να φέρει σύγχρονες και ασφαλής ταυτότητες, όπως με επιτυχία λειτουργεί εδώ και χρόνια για σύγχρονα διαβατήρια και όχι μόνο. Το βασικό μειονέκτημα του MRZ για το σύστημα, είναι πως δεν μπορεί να λειτουργήσει με ασύρματες πληρωμές, ενώ στα μικρά γράμματα του κανονισμού της ΕΕ αναφέρεται πως οι νέες ταυτότητες πρέπει να περιλαμβάνουν βιομετρικά δεδομένα.
- Ο γεωεντοπισμός που ακούγεται είναι κυριολεκτικά θεωρία συνωμοσίας. Το μόνο αντίστοιχο σενάριο που θα μπορούσε να υπάρχει είναι να χρησιμοποιηθεί κάποιος ειδικά τροποποιημένος αναγνώστης RFID με ενισχυμένα και παράνομα ραδιοκύματα που θα μπορούσε να διαβάζει όλες τις RFID ταυτότητες σε μία μεγάλη ακτίνα.
Ο Κανονισμός Της ΕΕ
Ο περίφημος κανονισμός της ΕΕ είναι ο (EU) 2019/1157, ο οποίος κάνει ξεκάθαρο πως οι νέες ταυτότητες έως το 2026 θα πρέπει τουλάχιστον να έχουν το χαρακτηριστικό MRZ, κάτι στο οποίο συμφωνούμε και ισχύει και για την Ελλάδα και τις Ελληνικές ταυτότητες. Παρόλα αυτά άκρη δεν πρόκειται να βγάλετε διαβάζοντας τους κανονισμούς, καθώς το RFID παίζεται στα μικρά γράμματα που συνδέεται με άλλους κανονισμούς. Οι ανησυχίες για την ασφάλεια του RFID δεν είναι λίγες και η έλλειψη διαφάνειας από την ΕΕ σχετικά με την χρήση του RFID δεν βοηθάει. Για όποιον θέλει να ασχοληθεί πιο πολύ με το θέμα μπορεί να διαβάσει το παρακάτω αποκλειστικό κείμενο που πήρε το TechValue ως απάντηση από την ΕΕ:
- Indeed, the relevant Regulation on ID cards is Regulation (EU) 2019/1157. The equivalent rules on EU passports are found in Regulation (EC) No 2252/2004.
- Article 3(5) of Regulation (EU) 2019/1157 states that “Identity cards shall include a highly secure storage medium which shall contain a facial image of the holder of the card and two fingerprints in interoperable digital formats.”
In addition, Article 3(1) of that Regulation states that “Identity cards issued by Member States shall be produced in ID-1 format and shall contain a machine-readable zone (MRZ). Such identity cards shall be based on the specifications and minimum security standards set out in ICAO Document 9303 and shall comply with the requirements set out in points (c), (d), (f) and (g) of the Annex to Regulation (EC) No 1030/2002 as amended by Regulation (EU) 2017/1954”.
Part 9 of CIAO Document 9303 states that “A high-capacity contactless [integrated circuit] SHALL be the electronic storage medium specified by ICAO as the capacity expansion technology for use with eMRTDs in the deployment of biometrics. The contactless ICs used in eMRTDs SHALL conform to ISO/IEC 14443 Type A or Type B and ISO/IEC 7816-4”.
ISO/IEC 14443 is an international standard that defines proximity cards used for identification, and the transmission protocols for communicating with it. Its part 2 defines that such integrated circuit cards communicate via radio at 13.56 MHz. - Identity cards issued by EU Member States in compliance with Regulation (ΕU) 2019/1157 must also contain an MRZ in addition to the abovementioned highly secure storage medium (Article 3(1)).