Research and Development 1/^Archief/2007-2008/RFID chip/OnderzoeksVerslag
Het onderzoeksverslag is te vinden op Bestand:RFID-Onderzoeksverslag.pdf, en eventuele updates van het verslag zullen ook op diezelfde pagina gezet worden. Onderstaande tekst was een opzet tot, maar voor de uiteindelijke tekst verwijzen we u naar eerdergenoemd onderzoeksverslag.
Inhoud
- 1 Onderzoeksverslag
- 1.1 Inleiding
- 1.2 Maatschappelijk nut
- 1.3 Probleemstelling
- 1.4 Literatuuronderzoek
- 1.5 Testhardware
- 1.6 Antwoorden op de vragen
- 1.7 Conclusie
Onderzoeksverslag
Inleiding
Te doen
Maatschappelijk nut
Het toenemende gebruik van RFID chips leidt tot een maatschappelijk debat op het gebied van privacy en security.
Door het Tweede Kamerlid Vos zijn naar aanleiding van het onderzoek “RFID-bewustzijn van consumenten: Hoe denken Nederlanders over Radio Frequency Identification?” door het Rathenau Instituut, de Consumentenbond en ECP.nl Kamervragen over RFID chips gesteld aan de ministers van Justitie en Economische zaken. In een verslag op de nieuwssite Nu.nl over het overleg in de Tweede Kamer naar aanleiding van deze Kamervragen wordt gesteld dat “Gegevens op de chip kunnen alleen op heel korte afstand herkend worden door speciale apparaatjes.”
De meeste mensen zijn bij het deelnemen aan het maatschappelijk debat over RFID technologie afhankelijk van algemene nieuwsbronnen als Nu.nl voor wat betreft hun kennis van technologie en de consequenties daarvan. Daarom zou het niet onaardig zijn dat de berichtgeving over dergelijke fenomenen juist en niet voor meerderlei uitleg vatbaar is, vooral als de maatschappelijke consequenties van die technologie groot zijn.
Probleemstelling
Het doel van het onderzoek is antwoord te geven op de vraag of de mening van de Nederlanders overeenkomt met de uitspraak van minister Ballin zoals gepubliceerd in de media dat de gegevens op een RFID chip alleen op heel korte afstand herkend kunnen worden door speciale apparaatjes.
Omdat een dergelijke vraag als zodanig niet direct te beantwoorden is wordt eerst gekeken naar een concretisatie van de begrippen “heel korte afstand”, “herkend” en “speciale apparaatjes”.
De deelvragen met betrekking tot “heel korte afstand”:
- Op welke afstand is een RFID-chip / soorten chips te lezen?
- Op welke afstand is een RFID-chip / soorten chips te schrijven?
- Hoe sterk moet een RFID lezer zijn om de chip op een bepaalde afstand te lezen?
- Wat vindt de doelgroep daarvan?
De deelvragen met betrekking tot “herkend”:
- Zijn de signalen van de verschillende RFID chips in een klein gebied van elkaar te onderscheiden? (Kan ik twee winkelwagentjes met RFID-chips onderscheiden op een leesbare afstand?)
- Zijn uit de data begrijpelijke gegevens te extraheren?
De deelvragen met betrekking tot “speciale apparaatjes”:
- Is de apparatuur en software waarmee bovenstaande te doen is laagdrempelig te verkrijgen?
- Herkent de doelgroep de apparaten in de door ons gepresenteerde vorm?
- Zijn de apparaten gemakkelijk te maken en te gebruiken voor en door niet experts als wijzelf?
Tot slot de integratie van de bovenstaande vragen om te komen tot de eindconclusie:
- Wat is er mogelijk met de gegevens van een RFID-chip voor onverlaten, gegeven de antwoorden van de bovenstaande deelvragen?
Literatuuronderzoek
Kort overzicht van de theorie met betrekking tot RFID
- Lezer/Chip
- Passief/Actief
- Standaarden
- Eigenschappen, oa. afstand
| Frequentie | LF | HF | UHF | |
|---|---|---|---|---|
| Type | Smart tag/label/implantaat | Smart card | Smart tag/label | Smart tag/label |
| ISO standaard | 11784, 11785, 14223, 18000-2 | 14443, 18092 (NFC1), 21481 (NFC2) | 15693, 18000-3 | 180006 (UHF) [EPC Class Gen 1 and Gen 2] |
| EPC compliant | Nee | Nee | Ja | Ja |
| Maximale leesafstand | 1 meter | <10 cm | 1 meter | 4 meter (Gen1), 6 meter (Gen2) |
| Encryptie | Ja (gematigd) | Ja (zwaar): 3DES, AES, PKI | Nee, maar mogelijk | Nee, maar mogelijk |
| Kill-feature | Nee | Nee | Ja (EPC), Ja/Nee (non-EPC) | Ja (EPC), Ja/Nee (non-EPC) |
| Leesomgeving |
|
|
|
|
| Toepassingsgebieden |
|
|
| |
Testhardware
Vier soorten RFID lezers: Deze lezers zijn bedoeld voor korte afstanden (minder dan 15 cm)
COTS lezers
Model: SCR 331-DI Van producent SCM Microsystems.
Contactless specificaties:
ISO14443-A en ISO14443-B compatible (13.56 MHz).
Data transfer snelheid 106Kbit/s.
Operating distance 1cm.
Model: ACR122 van producent NFC
Contactless specificaties:
ISO14443 1-4, PC/SC, CE, FCC, RoHS compatible (13.56 MHz).
Data transfer snelheid 212 Kbit/s.
Operating distance 5cm.
Model: Omnikey 5121 van producent Omnikey
Contactless specificaties:
ISO 14443 A, ISO 14443 B, ISO 15693 compatible (13.56 MHz).
Data transfer snelheid 424 Kbit/s.
Operating distance 5cm.
Zelfbouw lezer
http://www.rfid-webshop.com/shop/product_info.php/info/p160_HF-Multi-ISO-OEM-Module.html
Model: ACG HF Multi ISO OEM Module van producent Mifare.
Contactless specificaties:
ISO14443A, ISO14443B, ISO 15693, ISO 18000-3(13.56 MHz).
Data transfer snelheid up to 848 KBit/s.
Operating distance 9cm. (sterk afhangend van overige specificaties (RFID tag, antenne, en stroomvoorziening)
Antwoorden op de vragen
Hieronder staan de bevindingen met betrekking tot de onderzoeksvragen tot nu toe.
De deelvragen met betrekking tot “heel korte afstand”
Op welke afstand is een RFID-chip / soorten chips te lezen?
We hebben ervoor gekozen om het onderzoek te beperken tot passieve RFID chips, omdat we ervan uitgegaan dat het probleem van RFID chips met name zit in het zonder toestemming van de chiphouder lezen van de chip. Bij het gebruik van actiev chips is de kans op onwetendheid bij de chiphouder veelal geringer (duurdere chips, stroombronnen)
| Frequentie | LF | HF | UHF | |
|---|---|---|---|---|
| Type | Smart tag/label/implantaat | Smart card | Smart tag/label | Smart tag/label |
| ISO standaard | 11784, 11785, 14223, 18000-2 | 14443, 18092 (NFC1), 21481 (NFC2) | 15693, 18000-3 | 180006 (UHF) [EPC Class Gen 1 and Gen 2] |
| Maximale leesafstand | 1 meter | <10 cm | 1 meter | 4 meter (Gen1), 6 meter (Gen2) |
Op welke afstand is een RFID-chip / soorten chips te schrijven?
De meeste RFID chips kunnen op dezelfde afstand als zij gelezen worden ook geschreven worden.
Hoe sterk moet een RFID lezer zijn om de chip op een bepaalde afstand te lezen?
Om deze vraag te kunnen beantwoorden is het noodzakelijk de omstandigheden te kennen. Het vermogen dat de lezer nodig heeft hangt af van de gebruikte tag, de gebruikte standaard, de antenne en ook van de lezer zelf. Deze vraag is dus op dit moment ook niet te beantwoorden omdat de formulering van de vraag het niet toelaat (nog aan te passen).
Wat vindt de doelgroep daarvan?
De doelgroep heeft geen duidelijke mening over de afstand waaronder een RFID chip . Wel blijkt uit het publieksonderzoek dat het de Nederlander een grote mate van behoefte heeft om de zelf te bepalen of een derde partij de gegevens mag en kan lezen. Ook is men zeer duidelijk over het feit dat een lezer altijd als zodanig te herkennen moet zijn.
Hieruit trekken wij de conclusie dat de afstand waarop de doelgroep het scannen acceptable vindt niet uit te drukken is in meters, maar in de afstand waaronder de doelgroep in staat is om een RFID scanner te herkennen waarmee gescanned zou kunnen worden zonder toestemming van de doelgroep.
Uit informeel navragen bij diverse mensen bleek dat zelf dedicated lezers niet herkend werden als zodanig. Omdat de scanactiviteiten bij een afstand van 15 cm redelijk makkelijk te herkennen zijn lijkt ons de kritische grens die van ongeveer 1 meter. Het is uitstekend mogelijk om een apparaat te kamen dat de doelgroep niet herkend als een scanner terwijl er toch veel tags zijn (met name in gebruik bij de logistiek) die op die afstand al wel te herkennen zijn (zie bovenstaande tabel)
De deelvragen met betrekking tot “herkend”
Zijn de signalen van de verschillende RFID chips in een klein gebied van elkaar te onderscheiden?
Kan ik twee winkelwagentjes met RFID-chips onderscheiden op een leesbare afstand?
Deze vraag valt bij nader inzien uiteen in twee deelvragen Op de eerste plaats of de tags als zodanig te onderscheiden zijn en op de tweede plaats of de locatie van de tags te onderscheiden is.
Het antwoord op de eerste vraag hangt af van de vraag of er op twee verschillende tags ook verschillende informatie staat. Als dat het geval is dan kunnen de tags uit elkaar gehouden worden. Als die informatie identiek is dan is niet met zekerheid vast te stellen of een response van een of meerdere tags afkomstig is (tag collision).
De locatie van een tag is niet met behulp van een lezer te bepalen omdat de lezers in het algemeen niet richting gevoelig zijn, maar omnidirectioneel. Het scenario dat twee winkelwagens te onderscheiden zijn is dus in het algemeen niet mogelijk: we kunnen wel vaststellen dat binnen het bereik van een lezer zich twee potten appelmoes bevinden maar niet in welk winkelwagentje welke pot zit.
Zijn uit de data begrijpelijke gegevens te extraheren?
Dit hangt er vooral vanaf of je van de tag weet op welk protocol de tag werkt. Het protocol kan de encryptie bepalen en bepaalt waar wat staat in het geheugen van de tag. Wanneer je weet met welk algoritme de data versleuteld is, zou je het kunnen ontcijferen. Dat wil echter niet zeggen dat je dan meteen begrijpelijke gegevens hebt. Dit hangt van de implementatie van de tag, van de gegevens en of tijdens de overdracht van de data er geen corrupte informatie ontvangen/verzonden wordt.
De deelvragen met betrekking tot “speciale apparaatjes”
Is de apparatuur en software waarmee bovenstaande te doen is laagdrempelig te verkrijgen?
De hard- en software is zeer laagdrempelig (webwinkels in overvloed) en tegen zeer geringe kosten (vanaf € 20,-) te verkrijgen. Het correct aan de praat krijgen van een RFID systeem lijkt echter niet eenvoudig en vergt een aanzienlijk investering in termen van tijd en kennis.
Herkent de doelgroep de apparaten in de door ons gepresenteerde vorm?
We hebben aan een aantal mensen gevraagd of zij de apparaatjes die wij ze getoond hebben (dezelfde als op de presentatie). Daaruit bleek dat mensen de lezers niet als RFIDlezers herkenden. Wel dat het lezers waren van iets, maar niet expliciet als RFIDlezers.
Gegeven de grooote van zowel de COTS lezers als het door ons aangeschaft bouwpakket lijkt het ons niet problemenatisch om een lezer te maken die op een afstand van 1 meter door vrijwel niemand te herkennen is als een lezer.
Zijn de apparaten gemakkelijk te maken en te gebruiken voor en door niet experts als wijzelf?
Voor zowel het maken als het gebruiken geldt dat de beschikbare documentatie erg karig is, en dat het vinden van hulp bij anderen niet zo makkelijk is als het lijkt.
Maken De beschikbaarheid van de kitjes om zelf een lezer mee te maken is erg hoog. Dan komt de stap om het een en ander op elkaar aan te sluiten. Hiervoor is het wel aan te raden enige kennis te hebben met microchips, en anders hulp te zoeken op fora. Hier kan en wordt erg goed mee geholpen. Maar over bijvoorbeeld het maken van de antenne en bijbehorend circuit, is weinig informatie beschikbaar, en het is ook minder algemene kennis, dus daar is wel enige expertise voor nodig. Het uiteindelijk in elkaar zetten van het geheel is geen probleem.
Prefab Het is doorgaans gewoon een kwestie van het inpluggen en eventueel drivers zoeken. De software die meegeleverd wordt is echter meestal erg karig voorzien van documentatie en vaak ook toegespits op een bepaalde situatie, zoals software die alleen reageert op readers die smartcards slikken.
