Mauro Vecchio

Aziende unite contro la clonazione: di RFID

Accordi europei per lo sviluppo di una piattaforma capace di generare ID card sicure ed interoperabili. Per introdurre presto uno standard per i 27 paesi del Vecchio Continente

Roma - Tre delle aziende europee leader nella produzione di chip hanno recentemente annunciato una joint venture di risorse con alcune delle principali società di fornitura di carte elettroniche. Obiettivo primario, sviluppare entro l'estate del 2011 una piattaforma capace di generare ID card ad alto livello di sicurezza, in modo da prevenire clonazioni e attacchi informatizzati.

I protagonisti del progetto, tra cui chipmaker come ST Microelectronics e distributori come Giesecke & Devrient, hanno mostrato quello che si è rivelato il suo nucleo base: sviluppare un solido preparato tecnologico per un'introduzione massiccia di documenti elettronici d'identità validi su tutto il territorio dell'Unione Europea. L'unione di fondi e risorse è stata battezzata BioP@ass, per il costo complessivo di circa 13 milioni di euro.

Il progetto BioP@ass, come si apprende sul sito ufficiale, è mirato allo sviluppo di piattaforme smart card sicure ed interoperabili, in modo da soddisfare le esigenze di applicazioni europee relative all'amministrazione elettronica, tra cui e-identity, permessi di soggiorno e dati sanitari. Le pubbliche amministrazioni potranno, in pratica, contare su dispositivi tecnici capaci di offrire efficaci sistemi di autenticazione, con i possessori di PioP@ass card in grado di eseguire l'identificazione biometrica su Internet.
Infineon Technologies, produttore coinvolto nel progetto, ha poi annunciato l'intenzione di potenziare il trasferimento di dati personali dalle card a dispositivi esterni come un personal computer. Utilizzando i principali protocolli Internet si potrà dunque gestire le proprie carte d'identità senza la necessità di componenti software addizionali, con la semplice connessione in wireless o via USB.

Stando a recenti dati, sarebbero quasi 400 milioni i documenti elettronici attualmente in circolazione tra i 27 paesi dell'Unione Europea. La strada è quella della standardizzazione dei formati, con il Regno Unito che sta marciando con sicurezza verso l'introduzione delle carte d'identità biometriche (con tanto di impronte digitali), grazie ad un massiccio investimento di 5 miliardi di euro. Curioso pensare che ne sono bastati 250 (di dollari) ad un informatico statunitense per acquistare su eBay un dispositivo da integrare al suo laptop. Per clonare in 20 minuti due passaporti per le strade di San Francisco.

Mauro Vecchio
Notizie collegate
  • TecnologiaLa sicurezza è biometricaUna ricerca finanziata dalla Commissione Europea sviluppa una tecnologia capace di smascherare i terroristi e di impedire furti o sequestri d'auto. Regno Unito e States si mostrano interessati
  • Digital LifeUK: chippiamo i detenuti. Come i caniMantenere l'ordine negli istituti di pena, tracciare i membri delle gang o i condannati per reati specifici. Il Governo sembra pronto al grande passo: chip RFID sottopelle obbligatorio per i carcerati. Qualcuno protesta
  • AttualitàUK alla svolta: impronte digitali per affittare un'autoSi parte dai servizi forniti in un'aerostazione britannica. I dati, dicono le aziende coinvolte, verranno usati dalla polizia per combattere meglio la criminalità. Ma per i cittadini del paese la biometria è ormai vita di tutti i giorni
4 Commenti alla Notizia Aziende unite contro la clonazione: di RFID
Ordina
  • Gent.mo Mauro,
    vorrei dire la mia in merito all'articolo, che trovo comunque interessante.

    In breve (non è vero!):

    - Avrei da ridire sulla piattaforma in grado di generare ... etc. Seppure da anni nel settore, non comprendo. La sicurezza di un chip è data dalla componente hardware (il modulo utilizzato nel chip) dal sistema operativo impiegato (e fino a qui abbiamo le certificazioni EAL, etc.) e dalla infrastruttura PKI impiegata.

    - il problema, secondo me, è sì legato all'hardware, ad oggi quantomeno clonabile, ma poi il problema si sposta su chi avrà "le chiavi", come per il passaporto elettronico. Lei darebbe le chiavi del suo sistema ipersicuro in dotazione ad un rispettabile quanto corruttibile poliziotto di un altro Paese?

    - 400 milioni di documenti elettronici in Europa? Ma si rende conto della cifra? o parliamo di documenti non elettronici, o stiamo contando le carte di credito... L'Europa non arriva a 700 Milioni di abitanti e poche carte di identità elettroniche circolano solo per alcuni Stati, la maggior parte con progetti che sono partiti da poco(ad es. spagna e Portogallo), o mai decollati (siamo i primi della lista, con 3 milioni di CIE in 8 anni!), gli altri sono per lo più con carte plastiche o plastificate, tranne per la Finlandia e qualcosa nei Paesi Bassi (poco popolati). Cominciano a circolare numeri interessanti di Passaporti e permessi di soggiorno elettronici, ma seguendo le naturali scadenze e che non molti necessitano del passaporto, andiamo avanti a ritmi di 15-20 milioni l'anno. (toglierei il grassetto ... o citerei la fonte)

    E' sì vera la strada della standardizzazione, ICAO per i passaporti e Commissione UE per i permessi di soggiorno, qui lo standard c'è ed è più che noto da anni. Tanto che fra poco sarà obsoleta, o già lo è, visto che si tratta proprio della tecnologia RFID "clonabile" (e non solo...).

    Ma non comprendo: se la tecnologia RFID dei passaporti e dei futuri permessi di soggiorno CE è sicura, allora perchè c'è bisogno di un'alleanza per la sicurezza degli stessi?
    E se non è sicura, ci hanno ingannato finora, governi e produttori di chip?

    E troppi tavoli tecnici.
    Ho avuto come la sensazione che un consulente (per lo Stato o la P.A.) che trovasse rapidamente una soluzione ad un problema, è un consulente disoccupato.
    Il bravo consulente sa sempre dove (e quando) trovare un nuovo problema...

    Ma non sarà mica come un PC, te lo vendono per 10 anni di vita e poi, dopo uno o due è obsoleto, lento, vulnerabile, e quindi ne arrivano di nuovi, belli, sicuri e veloci?

    Per finire, io non sarei contento di vedere potenziato "il trasferimento di dati personali all'esterno ... protocolli Internet ...", le C.I.E. già funzionano benissimo (Parma e Piacenza hanno il 100% dei servizi al cittadino on-line, accessibile con un "vecchio" Infineon 32K del 2004). Che vuoi di più dalla vita? (...un Lucano?)
    Una tecnologia o è matura, o non lo è. Basta capirlo.

    I miei migliori saluti

    Paolo
    non+autenticato
  • anni di studi, milioni di dollari spesi, presentazione in pompa del progetto finito al parlamento europeo, luci, coriandoli, vino a fiumi, donnine allegre, pacche sulle spalle, etc etc.

    passa un mese...
    passano due mesi...
    passano tre mesi...

    Ed ecco che un maledetto haker russo/ucraino/serbo/quello-che-e' caccia fuori un programmino che si inchiappetta allegramente il sistema ad ALTA sicurezza.

    conclusioni: soldi buttati e figura di cacca per i progettisti.
    non+autenticato
  • In cina hanno fatto un antennino che immette il codice delle banconote direttamente nel chip a monte del lettore e svuotano i cambiamonete i quali credono che ci sia la banconota.....

    E io che ho le banconote vere con una piega le devo reinserire decine di volte prima che me le cambi.... Rotola dal ridere

    Non vedo lora che inventino l'e-money, mi sposo na cinese e mi fa diventare miliardario.... Rotola dal ridere
    -----------------------------------------------------------
    Modificato dall' autore il 23 ottobre 2009 17.08
    -----------------------------------------------------------
    Be&O
    1121
  • Salve a tutti, vorrei chiarire qualche punto:

    A - Gli RFID sono costituiti da tre elementi di memoria principale:

    1 - Seriale Univoco (presente sui trasponder ISO e su ALCUNI TIPI di EPC)
    2 - Area di memoria in cui scrivere le informazioni
    3 - Area di memoria di configurazione delle EVENTUALI password di accesso

    - Se non presente o configurato il Silent Code (cioè una password da inviare in testata al protocollo di comunicazione - Leggete Viaggio nel mondo dell'RFid per capirci di più), tutti i transponder RISPONDONO al polling con il loro CODICE UNIVOCO (ISO) o con L'EPC (EPC)

    Questa modalità non è spoofing. è la normale operatività di un Transponder.

    L'unico modo per accedere ad un trasponder in cui è impostato un Silent Code è un Brute Force Attack. Ovviamente i trasponder moderni hanno contromisure (es. non rispondono comunque se alimentati ed inviate pwd errate prima)

    Un Brute Forse su una pwd di 8 caratteri HEX dura mediamente da 3 a 6 giorni con i lettori moderni. Su trasponder più evoluti con pwd di 64 caratteri è praticamente impossibile.

    Il codice univoco è la cosrtuzione di:

    Codice produttore chip (es. Texas Instruments) +
    Codice dell'assemblatore antenna-chip +
    Seriale di produzione

    Il codice è immodificabile.

    Quindi l'unico in grado di clonare ipoteticamente un trasponder è un produttore di chip (o al massimo un assemblatore).

    Per l'area di memoria dati, se non impostata la password (che funziona come sopra) tale area è leggibile da un comando che chiede al trasponder di fornirla.

    Anche questo non è spoofing. è la normale operatività di un trasponder.

    la terza area di memoria non è leggibile, ma solo scrivibile (ed anch'essa è dotata di password).

    In ultimo, DUBITO FORTEMENTE (o per meglio dire - SONO SICURO) che un reader NON POSSA LEGGERE UN TRASPONDER DA PASSAPORTO A 10 METRI, TUTTALPIU' A 10 CM.

    Il motivo è semplice, i traspnder utilizzati nei passaporti sono di tipo ISO 14443, un tipo di trasponder che porta a bordo molta memoria (per le informazioni) proteggibile da pwd, ed un SERIALE UNIVOCO.

    Il seriale di questa tipologia di trasponder non è proteggibile, ma sempre leggibile. PECCATO CHE ESSENDO UN TRASPONDER AD ACCOPPIAMENTO MAGNETICO SU FREQUENZA HF (e non elettrico come per i chip UHF), hanno la distanza limitata a pochi centimetri. Le antenne/lettori più efficenti non arrivano a 40 cm su questa tecnologia.

    Ovviamente l'amministrazione ha scelto questa tecnologia perchè è il miglior rapporto qualità/prezzo/sicurezza. Ed è garantita l'inclonabilità.

    Ovviamente con un brute force si potrebbe accedere ai dati interni .. ma ci vorrebbero mesi di attesa, non il semplice passaggio con una macchina.

    Le problematiche in relatà sono molto diverse per quello che riguarda la sicurezza dell'RFID.

    Eventualmente per chi è interessato, sono presenti su Punto Informatico i miei articoli, e sul sito www.rfidguru.eu è presente il video e le slide sulla sicurezza e gli attacchi fattbili da e su un sistema RFiD tenuto per il Consip nel 2007.

    Saluti a tutti.

    Corrado Patierno