第八章RFID安全与隐私课件

1,第八章RFID安全與隱私,2,教學目標,本章將介紹RFID系統在使用時可能面臨的安全以及隱私問題，並介紹幾種可以解決問題的方法，包含用科技以及法律規範的方式 希望學生可以了解RFID系統相關的安全與隱私議題，並可思考未來RFID廣泛使用後，該如何避免這些問題的發生，讓RFID系統可以在兼顧使用者隱私及資料安全的前提下，為人類帶來更便利的生活,3,大綱,RFID的安全議題 商業機密外洩 偽造虛假資訊 基礎建設遭受破壞 RFID的隱私議題 消費者的身分隱私 消費者的購物隱私 消費者的行蹤隱私,科技面解決方案 RFID的硬體限制 現行的RFID保護機制 規範面解決方案 可規範RFID使用的現行法律 其他RFID相關的規範與草案 小結,4,RFID的安全議題,5,RFID的安全議題,雖然RFID將為人類生活帶來極大的便利性，但目前RFID尚未有一套標準的安全技術，若資料未經加密或是未有完善的存取控制，有心人士便可運用相關技術，任意讀取標籤上的資料，甚至修改、寫入資料，造成標籤上的資料外洩，成為RFID應用時的安全議題,6,RFID的安全議題（續）,由於RFID是透過無線射頻 (Radio Frequency, RF) 來傳遞資訊，因此存在一般無線通訊技術會遇到的安全威脅，導致下列問題產生 商業機密外洩 破壞機密性 (Confidentiality) 偽造虛假資訊 破壞真確性 (Integrity) 基礎建設遭受破壞 破壞可用性 (Availability),7,商業機密外洩,未經授權讀取 (Unauthorized Read) 攻擊者只要有相同規格的讀取器，並且在標籤的可讀取範圍內，就能夠任意地讀取標籤內的資料，造成資訊洩漏的安全問題，甚至會危及使用者的隱私 竊聽 (Eavesdropping) 攻擊者利用特殊設備，來監聽標籤與讀取器通訊時在空氣中傳輸的無線電訊號，藉由監聽得到的訊息來分析其中所包含的資訊,8,商業機密外洩（續）,公司刺探威脅 (Corporate Espionage Threat) 攻擊者可以利用Reader在遠端讀取競爭對手倉庫的標籤，以收集競爭對手倉庫的存貨數量或商品資訊，甚至取得機密資料 行銷競爭威脅 (Competitive Marketing Threat) 競爭對手可以透過對RFID標籤的讀取，在未經授權的情況下取得消費者購物偏好資訊，利用這些資訊進行行銷競爭,9,偽造虛假資訊,未經授權寫入 (Unauthorized Write) 若是標籤沒有存取控制機制，攻擊者只要有相同規格的寫入器，並且在標籤的可寫入範圍內，就能夠任意地修改並寫入標籤內的資料，造成標籤資料遭竄改或偽造的安全問題 假冒 (Spoofing) 攻擊者可能透過物理分析，來取得某個標籤內所儲存的資料，然後複製 (Clone) 一個具有相同資料的標籤，因此可以假冒成合法的身分，通過讀取器的驗證，以達成攻擊者之目的,10,偽造虛假資訊（續）,重送攻擊 (Replay Attack) 攻擊者可能藉由監聽所蒐集之訊息，當讀取器查詢標籤時，將這些訊息重新送回給讀取器，因而通過讀取器的驗證 信賴邊界威脅 (Trust Perimeter Threat) 由於RFID系統的使用，標籤的相關資訊會在上下游廠商之間透過網路的方式共享，而此共享的管道即有可能受到攻擊者的入侵，因此將使公司對於資訊系統可信賴的邊界重新界定,11,基礎建設遭受破壞,基礎建設威脅 (Infrastructure Threat) 攻擊者可以使用特殊設備，持續發送無線射頻訊號，來干擾標籤或讀取器，導致標籤跟讀取器無法正常進行通訊，藉此癱瘓RFID系統，屬於阻斷服務 (Denial of Service, DoS) 攻擊,12,基礎建設遭受破壞（續）,惡意編碼傳播 (Hostile Code Propagation) 標籤上有記憶體可用來儲存額外資訊，若惡意的使用者用來存放與傳播惡意的編碼，將可能影響讀取器的正常存取功能 國外已有研究指出，攻擊者可在標籤植入惡意SQL語法進行SQL Injection攻擊，造成後端系統中毒，並可感染其他正常標籤，再透過受感染之標籤感染其他後端系統,13,RFID的隱私議題,14,RFID的隱私議題,RFID標籤因具有唯一識別的特性，若是標籤被任意讀取，或是遭受先前提到RFID的各種安全威脅，將衍伸出相關的隱私議題 消費者的身分隱私 消費者的購物隱私 消費者的行蹤隱私,15,消費者的身分隱私,關聯威脅 (Association Threat) 若標籤具有一個唯一識別的資訊，則此識別資訊將會與標籤的持有者產生關聯。例如消費者A持有一識別資訊為123之標籤，當讀取器讀取到標籤123，則可推測為消費者A 群聚威脅 (Constellation Threat) 若消費者攜有數個以上的標籤，這群標籤也可能與此消費者產生關聯，若讀取器一直讀取到同一群標籤，則可推測是某消費者,16,消費者的身分隱私（續）,麵包屑威脅 (Breadcrumb Threat) 此威脅是由關聯威脅所延伸出的；因為標籤的識別資訊可與持有者產生關聯，如果持有者的標籤遭竊或丟棄，可能會被有心人士利用來假冒原先持有者的身分，進行不法之行為,17,消費者的購物隱私,動作威脅 (Action Threat) 個體（消費者）的動作、行為及意圖可以透過觀察標籤的動態來推測；例如某個賣場智慧貨架上高價商品的標籤訊號突然消失，賣場即可推測是否有消費者想進行偷竊 偏好威脅 (Preference Threat) 由於標籤上可能記載著商品的相關資訊，如商品種類、品牌和尺寸等，可以藉由標籤上的資訊來推測消費者的購物偏好,18,消費者的購物隱私（續）,交易威脅 (Transaction Threat) 當某群標籤中的其中一個標籤，轉移到另一群標籤中，則可推測這兩群標籤的持有者有進行交易的可能性,19,消費者的行蹤隱私,位置威脅 (Location Threat) 由於標籤具有一個唯一識別的資訊，且標籤的讀取具有一定的範圍，因此可以透過標籤來追蹤商品或消費者的位置,20,科技面解決方案,21,RFID的硬體限制,RFID系統中，標籤的運算能力是有限的，尤其是低成本的被動式標籤；比起智慧卡或者是感測器 (Sensor) 來說，RFID標籤少了中央處理器及較大的記憶體空間，因此無法執行複雜的密碼學運算，是RFID在安全性上的一大缺點,22,現行的RFID保護機制,標籤特殊設計之保護方式 標籤銷毀指令 (Kill Command) 標籤休眠指令 (Sleeping Command) 密碼保護 使用額外設備之保護方法 法拉第籠 (Faradays Cage) 主動干擾 (Jamming) 阻擋標籤 (Blocker Tag) 其他方法,23,標籤銷毀指令,若標籤支援Kill指令，如EPC Class 1 Gen 2標籤，當標籤接收到讀寫器發出的Kill指令時，便會將自己銷毀，使得這個標籤之後對於讀寫器的任何指令都不會有反應，因此可保護標籤資料不被讀取；但由於這個動作是不可逆的，一旦銷毀就等於是浪費了這個標籤,24,標籤休眠指令,與銷毀標籤概念相同，當支援休眠指令的標籤接收讀取器傳來的休眠 (Sleep) 指令，標籤即進入休眠狀態，不會回應任何讀取器的查詢；當標籤接收到讀取器的喚醒 (Wake Up) 指令，才會恢復正常,25,密碼保護,此方法利用密碼來控制標籤的存取，在標籤中記憶對應的密碼，讀取器查詢標籤時必須同時送出密碼，若標籤驗證密碼成功才會回應讀取器；不過此方法仍存在密碼安全性的問題,26,法拉第籠,將標籤放置在由金屬網罩或金屬箔片組成的容器中，稱作法拉第籠，因為金屬可阻隔無線電訊號之特性，即可避免標籤被讀取器所讀取,27,主動干擾,使用能夠主動發出廣播訊號的設備，來干擾讀取器查詢受保護之標籤，成本較法拉第籠低；但此方式可能干擾其他合法無線電設備的使用,28,阻擋標籤,使用一種特殊設計的標籤，稱為阻擋標籤 (Blocker Tag)，此種標籤會持續對讀取器傳送混淆的訊息，藉此阻止讀取器讀取受保護之標籤；但當受保護之標籤離開阻擋標籤的保護範圍，則安全與隱私的問題仍然存在,29,其他方法,以密碼學為基礎的解決方案 亂數產生器 互斥或 (Exclusive OR, XOR) 循環冗餘檢查 (Cyclic Redundancy Check, CRC) 對稱式加解密 雜湊鎖 (Hash-lock) 雜湊鏈 (Hash Chain),30,規範面解決方案,31,可規範RFID使用的現行法律,電腦處理個人資料保護法 個人資料保護法草案 商品標示法 消費者保護法,32,電腦處理個人資料保護法,在民國84年所制定的電腦處理個人資料保護法；第一條即說明為規範電腦處理個人資料，以避免人格權受侵害，並促進個人資料之合理利用，特制定本法 個人資料是指自然人之姓名、出生年月日、身分證統一編號、特徵、指紋、婚姻、家庭、教育、職業、健康、病歷、財務情況、社會活動及其他足資識別該個人之資料；而個人資料檔案是指基於特定目的儲存於電磁紀錄物或其化類似媒體之個人資料之集合,33,電腦處理個人資料保護法（續）,在法令第六條中即明定個人資料之蒐集或利用，應尊重當事人之權益，依誠實及信用方法為之，不得逾越特定目的之必要範圍；第七、八、十八及二十三條亦規定公務或非公務機關對個人資料之利用或處理必須經當事人書面同意，不得侵害當事人權益；因此可考慮使用電腦處理個人資料保護法來規範企業透過RFID 收集個人資訊,34,電腦處理個人資料保護法（續）,由於時代科技的進步，利用電腦蒐集、處理與利用個人資料的情形與法令制定當年，已變得日益頻繁且複雜；再者各類型商務行為廣泛大量的蒐集個人資料，也已經不再限於個資法中所規範的徵信等八大類，例如醫院使用從病患取得、分析的資訊，就不受此法令的規範,35,個人資料保護法草案,在行政院94年通過的個人資料保護法草案（為電腦處理個人資料保護法之修正）中，參照各國立法案例，將受保護的客體與規範的主體在修正草案中予以擴大，保護的個體不再侷限於經電腦處理之個人資料，而修正成不論為自動化機器或其他非自動化方式檢索、整理之個人資料，均受個資法之保護 修正草案第二條第二款規定：個人資料檔案係指系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合；同條第四款規定：處理是指為建立或利用個人資料檔案所為資料之紀錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。,36,個人資料保護法（續）,而在法規適用的主體上，亦刪除非公務機關行業別的限制，使任何自然人、法人、其他團體等均受到個資法的規範；修正草案第二條第八款規定：非公務機關是指前款以外之自然人、法人或其他團體；及第五十條第一項規定：自然人為單純個人或家庭活動之目的，而蒐集、處理或利用個人資料者，不適用本法,37,商品標示法,個資法是以保護個人隱私為出發，雖然在個資法中清楚規範對於蒐集、處理與應用個人資料的原則，但是由於科技的進步，對於個人資料的蒐集往往是在消費者無法察覺的方式下進行，RFID的遠距讀取也使得這項憂慮更加深 個資法的規定固然可以讓消費者了解自己應該具有的權利，只是如果能夠透過其他的強制作為預先的阻止侵害的可能發生，那麼對於個人隱私的保護可能可以更完善；因此，應可考慮透過商品標示的強制，作為要求醫院或營業者在應用RFID技術時，就預先於消費者或病患使用的RFID手環上告知,38,商品標示法（續）,商品標示法第一條規定：本法目的即是為保障消費者權益，建立良好商業規範；由於RFID技術本就具有安全與隱私上的問題，因此將商品使用RFID技術的情況事先揭露予消費者得知，可以認為是一種有效的保護消費者的方式 根據商品標示法第九條第一項第五款的規定，商品應標示事項包括了其他依中央主管機關規定應行標示事項。；因此當主管機關在允許RFID技術應用於病患識別時，應可要求廠商相關標示措施，以保障消費者隱私權,39,消費者保護法,個資法的修正草案可有效的規範大部