San Jose (USA) – La tecnologia RFID continua a non convincere alcuni specialisti in sicurezza. Adi Shamir, docente di computer science presso il Weizmann Institute , ha presentato, durante la RSA Conference , gli ultimi risultati di una ricerca sulla qualità dei sistemi di cifratura utilizzati dai tag RFID. I test indicherebbero che queste soluzioni sono inaffidabili e facilmente craccabili con tecnologie a basso costo. Simili conclusioni erano già state raggiunte dalla società di sicurezza Riscure però nell’ambito dell’analisi della sicurezza dei passaporti elettronici wireless.
Shamir, utilizzando un’antenna direzionale e un oscilloscopio digitale è riuscito a monitorare le variazioni energetiche dei tag durante le fasi di lettura, dato che non dispongono di una batteria integrata ma si alimentano proprio grazie ai segnali radio assorbiti. La mappatura, secondo lo specialista criptografo, può essere analizzata per determinare quando i tag ricevono password corrette e non corrette. Inviando dei codici “civetta”, in base alla reazione energetica si riesce a comprendere quale sia la cifratura corretta .
“I segnali riflessi contengono una gran quantità di informazioni. Possiamo comprendere quando l’unità di processing riceve un codice sbagliato perché consuma più energia del normale… dato che va a scrivere una nota al riguardo direttamente sulla RAM per ignorare il resto della stringa”, ha dichiarato Shamir. “Non ho testato tutte le tag RFID del mercato, ma i modelli realizzati dai più importanti produttori hanno dimostrato di essere totalmente vulnerabili. In pratica, un comune cellulare sarebbe in grado di realizzare un attacco ad un qualsiasi tipo di tag RFID, dopo la mappatura energetica”.
Secondo Shamir non si tratta di un limite tecnico della tecnologia RFID ma semplicemente di una scelta costruttiva . Le aziende produttrici pur di far scendere il prezzo di ogni singolo tag sotto i 5 centesimi di dollaro – come richiesto dalle esigenze dei clienti – avrebbero cioè deciso di eliminare la maggior parte delle funzioni di sicurezza. Insomma, per agevolare la penetrazione nel segmento, i produttori sembrerebbero aver fatto affidamento su una strategia commerciale quanto mai aggressiva, e poco incline a scendere a compromessi con standard di sicurezza adeguati .
In contemporanea con questa tesi di inaffidabilità, Ron Rivest, il co-sviluppatore degli algoritmi di sicurezza RSA, ha rilanciato il progetto SHA-1 , ovvero un nuovo standard criptografico per RFID e non solo. “E’ uno squillo di tromba per i criptografi. Mi piacerebbe assistere, da parte delle aziende, allo stesso impegno profuso per l’adozione dell’algoritmo AES . Le nuove funzioni hash , comunque, dovrebbero essere pronte per il 2010″, ha dichiarato Rivest.
Dario d’Elia