RFID Gesellschaftliche Sicht

Transcription

Aktuelle Themen
der Informatik
RFID - Verbraucherängste und
Verbraucherschutz:
Gesellschaftliche Sicht.
René Gründig - CN7
RFID – Verbraucherängste und Verbraucherschutz: Gesellschaftliche Sicht.
René Gründig CN7
1.
Was ist RFID ........................................................................................................................ 3
2.
Wo gibt es RFID ................................................................................................................... 3
3.
Das Problem ........................................................................................................................ 4
3.1.
Die Folgen .................................................................................................................... 5
4.
Der Metro Skandal .............................................................................................................. 5
5.
Die Fussball-WM ................................................................................................................. 6
6.
Schutzmaßnahmen ............................................................................................................. 7
6.1.
Abschirmung / Blocker-Tags ........................................................................................ 7
6.2.
Datenschutzagenten .................................................................................................... 8
6.3.
Kill-Funktion ................................................................................................................. 8
6.4.
Hash-Lock..................................................................................................................... 8
6.5.
Private ID ..................................................................................................................... 9
6.6.
Passwort Modell .......................................................................................................... 9
6.7.
Zero Knowledge Ansatz ............................................................................................. 10
7.
Fazit ................................................................................................................................... 11
8.
Quellen .............................................................................................................................. 11
Aktuelle Themen der Informatik
Seite 2 von 12
René Gründig CN7
1. Was ist RFID
RFID steht für "Radio Frequency IDentification". Ein RFID-Chip (oder -Tag) besteht aus einem
klitzekleinen Chip mit Drähten, die eine Antenne bilden. Das Röntgen-Bild unten zeigt den
RFID-Chip in der Metro-Payback-Kundenkarte.
Die Chips sind in Gegenstände, Etiketten oder Verpackungen eingebaut und brauchen keine
eigene Batterie. Sie funktionieren per Funk (genauer gesagt: per Induktion): Ein Lesegerät,
häufig auch "Antenne" genannt, sendet einen Funk-Impuls und der RFID-Chip sendet eine
auf ihm gespeicherte, weltweit einmalige Nummer zurück.
Es gibt ausserdem noch RFID Tags mit integrierter Batterie. Diese werden auch aktive
RFID-Chips gennant.
2. Wo gibt es RFID
Kleine RFID-Chips sind überall auf dem Vormarsch. Ob Sie Auto fahren (Funkschlüssel,
Wegfahrsperre), als Waldarbeiter Bäume im Wald einsammeln, einen Skilift benutzen, ein
Fußballspiel besuchen oder als Einzelhändlerin Ihre Joghurt-Becher drahtlos erfassen wollen.
Fast überall werden inzwischen Lösungen mit RFID angeboten. Und das meistens
ausschließlich zum Vorteil der Anwender - Personal, Kundschaft und Privatsphäre haben die
Risiken zu tragen.
Ausserdem werden bei Schließsystemen und Alarmanlagen für Gebäude RFID-Chips schon
länger eingesetzt. Sicherlich sehr sinnvolle Anwendungen. In Beispielprojekten des Handels
kann man RFID begegnen, so z.B. bei Tchibo, Gillette, Gerry Weber (an der Kleidung
abgehängt, so dass die Tags an der Kasse abgeschnitten werden können) und Metro sowie
den zugehörigen Ladenketten
Seite 3 von 12
René Gründig CN7
Hier noch eine kleine Auflistung, wo RFID Chips noch eingesetzt werden:
 Bahncard 100
 EU-Reisepässe (ePässe)
 Payback-Kundenkarte des Metro Future Store (wurden in der Zwichenzeit wieder
zurückgezogen)
 Studierendenausweise
 Mitarbeiter-Ausweis Ihrer Firma
 Ski-Pässe
 Unter der Haut als Eintrittskarte (z.B. die "Baja Beach Clubs" in Barcelona/Spanien)
 Tierkennzeichnung
 Lagerhaltung
Es gibt noch viele weitere Orte an denen RFID-Chips eingesetzt werden können.
3. Das Problem
Immer wieder wird abgewiegelt: "Meine Güte, über den Strichcode haben sich vor 20
Jahren auch alle aufgeregt und vorm "gläsernen Kunden" gewarnt. Was soll denn an RFID
nun so anders sein?"
Das neue an RFID-Chips ist, dass damit jeder Gegenstand eine weltweit eindeutige
Seriennummer bekommt und damit eindeutig identifizierbar ist.
Bislang hat jeder Joghurtbecher einer bestimmten Sorte im Regal den gleichen Strichcode
aufgedruckt. Mit RFID wird jeder Becher einzeln identifiziert. Erst der nachgeschalteten
Datenbank ist zu entnehmen, zu welcher Sorte gerade dieser Becher gehört. Sie als Käufer/in
werden dadurch ebenfalls eindeutig identifizierbar, wenn Sie den Becher z.B. mit Bank- oder
Kundenkarte bezahlt haben.
Ausserdem werden die RFID-Chips per Funk und damit berührungslos, ohne dass Sie es
merken können, gelesen.
Während Sie z.B. den Strichcode Ihrer Kundenkarte ausdrücklich vor ein Lesegerät halten
müssen, wissen Sie bei RFID-Technik nicht, wer zu welchem Zeitpunkt etwas über Sie weiß.
Die RFID-Chips sind in der Zwichenzeit so klein und billig, dass sie bald in jeden Jackenkragen,
jede Schuhsohle eingepflanzt werden können. Dort lassen sie sich nicht mehr entfernen,
ohne das Produkt (z.B. den Schuh) zu zerstören.
Häufig wird auch angeführt, die Chips gingen doch ganz einfach in der Mikrowelle kaputt. Es
wurde ausprobiert: Der Chip geht dort in Flammen auf und brennt z.B. ein Loch in den
Joghurtbecher.
Seite 4 von 12
3.1.
René Gründig CN7
Die Folgen
Diese Eigenschaften haben natürlich auch Folgen. Mit dieser Technik ist es möglich unser
Einkaufsverhalten auszuspionieren, ohne das wir es merken.
Zum Beispiel: Wer steht wie lange vor welchem Regal? Welche Werbung kann man diesem
Kunden gezielt zuschicken? Usw...
Die Antennen zum Auslesen können auch in Türschwellen, Tanksäulen oder Ampeln
eingebaut werden. Dann wissen bald viele - möglicherweise auch Geheimdienste oder
Verbrecher - welches Kaugummi wir kauen und welche Kreditkarten wir bei uns tragen.
Auch die Gesundheit sollte man nicht ausenvor lassen. Denn je mehr solcher RFID Chips es
gibt, um so höher ist auch der Elektrosmog. Und damit die Belastung für jeden.
Der ganze Müll der dabei entsteht, muss auch irgendwie entsorgt werden. Den ein solcher
RFID-Chip ist Sondermüll!
4. Der Metro Skandal
Metro ist nach eigenen Angaben einer der größten Handelskonzerne der Welt. In
Deutschland gehören dazu große Ketten wie Media Markt, Saturn, real, extra, Praktiker,
Galeria Kaufhof. Mit dieser Marktmacht versucht das Unternehmen, RFID flächendeckend
einzuführen.
Die Metro AG hat in Rheinberg bei Duisburg einen Test-Supermarkt eröffnet. In diesem
Supermarkt soll soll die Einführung der RFID-Chips getestet werden.
Bei einem Besuch der FoeBuD e.V. in diesem Supermarkt, wurde aufgedeckt, dass die
Kundenkarte einen RFID Chip beinhaltet.
Am Ausgang des Superm arktes ist ein „D eaktivator“ aufgestellt,der den RFID Chip
deaktivieren soll. Aber statt den Chip zu deaktivieren wird nur ein teil der Informationen
gelöscht. Die eindeutige Nummer bleibt auf dem Chip erhalten. (siehe Bild)
Seite 5 von 12
René Gründig CN7
Dies bedeutet, dass dieser Automat nur Augenwischerei ist, und jedes Produkt immer noch
eindeutig identifiziert werden kann.
Einer der Besucher hat zufällig eine Kundenkarte auf den Deaktivator gelegt, und musste
feststellen, dass eine RFID-Nummer angezeigt wurde. Damit ist es zum ersten mal bekannt
geworden dass die Kundenkarte einen RFID Chip beinhaltet. Dadurch sind die ausgelesenen
Daten eindeutig mit einer Person, die Waren und Karte trägt, verknüpfbar. Es kann so zum
Beispiel ausspioniert werden, WER was wann und wo gekauft oder auch nur in die Hand
genommen hat, WER vor welchem Regal wie lange stehen geblieben ist usw.
Mit dem Auslesen des Chips in der Karte könnten Kunden (theoretisch, denn die Metro AG
beteuert, dies nicht zu tun) schon beim Betreten des Ladens eindeutig identifiziert werden.
Man könnte - ebenfalls theoretisch - bestimmte, individuell zugeschnittene Sonderangebote
auf den Werbe-Monitoren einblenden oder kundenspezifische Sonderangebote auf den
digitalen Preisschildern machen (Preisdiskriminierung) - oder natürlich Preise für bestimmte,
unbeliebte Kunden verteuern.
Nachdem dieser Skandal aufgedeckt wurde und eine Demonstration vor dem Future-Store
angekündigt wurde hat die Metro AG reagiert. Es wurden ca. 10 000 schon ausgegebene
Karten gegen Karten ohne RFID-Chip umgetauscht. Ausserdem hat jeder betroffene
50 Payback Punkte geschenkt bekommen.
5. Die Fussball-WM
Was könnte es besseres geben: Ein Riesen-Ereignis mit Millionen begeisterter Menschen, die
für ihren Fußball wirklich alles tun würden. Und dazu ein Elfter September, seit dem eine
diffuse "Bedrohung durch Terroristen" quasi jede Maßnahme zur Einschränkung der Freiheit
rechtfertigt, solange man nur das Etikett "Sicherheit" drauf klebt. Und wenn die WM ohne
Anschläge abläuft, kann man das gesamte "Sicherheitskonzept" samt RFID in den
Eintrittskarten nachträglich als Erfolg loben und Kritiker mundtot machen mit einem "Hey,
Ihr Verschwörungstheoretiker, hunderttausende Fußballfans hatten keinerlei Problem mit
RFID."
Was hat die WM mit RFID Chips zu tun? Ganz einfach. Jedes WM-Ticket soll einen RFID-Chip
enthalten. Auf diesen Chips sollen laut Angabe des Sprechers des Bundesdatenschutzbeauftragten, Peter Büttgen, gegenüber der Nachrichtenagentur ddp "nur Serien- und
Kundennummern, aber keine Angaben zu Personalien gespeichert" werden. Im gleichen
Artikel wird er aber von ddp zitiert mit den Worten: "Die letzten vier Ziffern (der Personalausweis-Nummer des Antragstellers) auf der Karte würden vollkommen ausreichen".
Die RFID Chips werden dadurch begründet, dass das Ticket fälschungssicher sein soll. Das
stimmt aber leider nicht, denn das Fälschen wird nur teurer.
Seite 6 von 12
René Gründig CN7
Dann gibt es weiterhin die Frage, ist die Speicherung der Personalausweisnummer legal?
Denn im § 4 Personalausweisgesetz heißt es, dass die Seriennummer nicht so verwendet
werden darf, 'dass mit ihrer Hilfe ein Abruf personenbezogener Daten aus Dateien oder eine
Verknüpfung von Dateien möglich ist' (Abs. 2).
Durch die recherchierbare Speicherung der Nummer beim DFB wird gegen diese Norm
eindeutig verstoßen.
Der Frankfurter Amtsrichter versuchte in einer Verhandlung -- ganz im Sinne des DFB und
des Innenministeriums -- den Verstoß des DFB gegen das Personalausweisgesetz mit der
"Terrorismusgefährdung in Deutschland" zu rechtfertigen. Deutschland sei, wie viele Indizien
zeigen, ein von Terror bedrohtes Land. Deswegen sei die Speicherung der Personalausweisnummer, wenn man ein Fußballspiel besuchen möchte, zwingend notwendig. Diese sei der
alleinige Garant dafür, dass personalisierte Eintrittskarten geprüft und Terroristen vom
Besuch eines Stadions ferngehalten werden könnten.
Ausserdem ist zur Zeit noch nicht klar, was mit den gewonnen Daten nach der WM gemacht
wird. Der DFB will dieses System auf jeden Fall noch weiter ausbauen.
6. Schutzmaßnahmen
Da wir jetzt recht viel negatives über diese RFID Chips gehört haben, frägt sich bestimmt de
rein oder andere was man dagegen machen kann.
Hier kommt eine kleine Auflistung von Schutzmaßnahmen.
6.1.
Abschirmung / Blocker-Tags
Eine Möglichkeit zur Kontrolle der Auslesevorgänge wäre die Abschirmung aller RFID-Tags
(beispielsweise durch in Taschen eingenähte Metallfolien).
Eine andere Möglichkeit sind Blocker-Tags. Blocker-Tags sind besonders effektive
Störsender, die in Kenntnis des Kommunikationsprotokolls zwischen Tag und Lesegerät
im m er genau dann „dazw ischen senden“,w enn andere Tags antw orten w ollen. So versteht
das Lesegerät, welches den Störer auch noch mit der notwendigen Energie versorgt, im
Endeffekt keinen der RFID-Tags.Fraglich ist jedoch,ob eine derartige „D enial-of-Service“Strategie skalierbar ist und flächendeckend eingesetzt werden kann.
Seite 7 von 12
6.2.
René Gründig CN7
Datenschutzagenten
Eine weitere wichtige Schutztechnologie sind Datenschutz-„A genten “. Bekannt geworden
sind derartige Ansätze durch das vom W3C-Konsortium betriebene Projekt Platform for
Privacy Preferences (P3P) in dem Datenaustauschkonditionen zwischen Internetseiten und
deren Nutzern definiert werden. Analog dazu ist die Grundidee bei RFID-Chips so, dass sich
das Lesegerät gegenüber einem Transponder authentifiziert und dabei Zweck und Umfang
seines Einlesegesuchs mitteilt. Auf Nutzerseite gibt es eine Art Schutz-Tag (im Internet
analog Privacy Bird), in dem die Datenschutzpräferenzen einer Person gespeichert sind. Mit
Hilfe eines Agentensystems soll abgeglichen werden, ob die Datenschutzpräferenzen einer
Person mit den Zielen des Auslesevorgangs vereinbar sind. Wenn ja, kann der Auslesevorgang vonstatten gehen. Wenn nein, wird die Person entweder gewarnt oder der
Auslesevorgang wird abgelehnt.
6.3.
Kill-Funktion
Eine extreme Form der Deaktivierung ist das vollständige und unwiderrufliche Abschalten
der Tags. Laut Spezifikation ist für alle Tags nach den EPC-Standards ein Kill-Befehl
vorgesehen, wobei jeder Tag ein individuelles Passwort besitzt, mit welchem sich ein zum
„Kill“ berechtigtes Lesegerät vor Ausführung autorisieren muss. Der Kill-Befehl wird des
Öfteren als Allheilmittel für die Lösung der mit RFID assoziierten Datenschutz- und
Kontrollprobleme angesehen.
Dadurch wäre weder Tracking von Personen, noch eine Objektverantwortlichkeit, noch ein
Missbrauch, noch eine Personalisierung, noch Technologiepaternalismus möglich.
Dazu müsste jeder RFID-Tag standardmäßig und zuverlässig an der Kasse deaktiviert werden.
Nun verzichtet man damit aber natürlich auch auf die Nutzenpotenziale außerhalb von
Logistikkette und Supermarkt.
6.4.
Hash-Lock
Das Hash-Lock-Verfahren sieht eine Zugriffsbeschränkung auf RFID-Tags mittels einer im Tag
integrierten kryptographischen Hashfunktion vor. Eine Hashfunktion stellt einen hohen
Zugangsschutz nach gegenwärtigem Stand der Technik dar.
Geht ein Produkt in den Besitz eines Kunden über, so wird der Tag mit einem Hashwert
h = Hash(k) über einem zufällig gewählten Schlüsselwert k gesperrt und der Datensatz (h, k)
an eine private Datenbank des Kunden übergeben. Ein auf diese Weise gesperrter Tag
sendet einem Lesegerät auf Anfrage nur noch h und verschweigt den EPC oder andere
Tag-Daten. Ein mit dem Hash-Lock-Verfahren gesperrter RFID-Tag erlaubt demnach nur
Seite 8 von 12
René Gründig CN7
solchen Lesegeräten Zugriff auf den EPC, welche einen Zugang zu der privaten Datenbank
des Besitzers haben und den zu h korrespondierenden k-Wert als Authentifizierungsmerkmal
senden können. Der RFID-Tag überprüft diesen mittels seiner integrierten Hashfunktion.
Datenschutzprobleme wie unvorhergesehene Objektverantwortlichkeit, krimineller
Missbrauch und mögliche Personalisierung werden durch diese Technik effektiv
unterbunden. Aus Datenschutzsicht negativ ist, dass der Tag wieder erkannt werden kann:
Der an jedes Lesegerät ausgesendete Hashwert h stellt eine langfristig verwendete
(wenngleich von Außenstehenden nicht mit dem EPC verknüpfbare) Tagkennung dar. Das
Verfahren ist daher nur eingeschränkt geeignet, die Privatsphäre des Nutzers zu schützen.
Etwas eingeschränkt wird die Praktikabilität der Lösung ferner durch die Notwendigkeit einer
Datenbank im Nutzerbereich, die regelmäßig gepflegt und mit allen Lesegeräten einer
Person permanent vernetzt sein muss.
6.5.
Private ID
Eine wesentliche Vereinfachung des Hash-Lock-Verfahrens stellt der Private-ID-Ansatz dar.
Hier wird bei Übergabe des Objekts an den Kunden der EPC auf dem Tag einfach durch eine
frei wählbare Kennung, eben die Private ID, ersetzt. In einer privaten Datenbank des Kunden
wird dann die Zuordnung von Private ID zu EPC gespeichert. Fragt ein Lesegerät einen Tag
an, erhält es nur die ID des Tags. Zum richtigen EPC zugeordnet werden kann diese jedoch
nur, ähnlich den obigen Lösungen, durch den Besitzer der Datenbank. Problematisch ist bei
diesem Verfahren neben dem schon beschriebenen Wiedererkennungsproblem, dass keine
praktikable Methode vorgeschlagen wurde, wie das unautorisierte Setzen oder Löschen der
Private ID verhindert werden kann.
6.6.
Passwort Modell
Wie die bereits vorgestellten Verfahren basiert das vorgeschlagene Passwort-Modell auf
einem standardmäßigen Schutz der RFID-Tags, welcher ein Auslesen ohne Zustimmung des
Nutzers verhindert.
Die Grundidee ist einfach: Der RFID-Tag wird mit einer Aktivierungsfunktion (Enable/Disable
Function) ausgestattet. Diese Funktion aktiviert bzw. deaktiviert bestimmte Funktionen des
RFID-Tags, insbesondere solche, welche den (Lese-)Zugriff auf den EPC ermöglichen.
Ein aktivierter RFID-Tag verhält sich so wie im EPC-Standard vorgesehen: Jedes Lesegerät
kann nach erfolgter Separierung eines einzelnen RFID-Tags im Lesebereich den EPC erfragen.
Die Infrastruktur in Supermarkt und Logistik muss daher kaum angepasst werden: Jeder
RFID-Tag ist aktiv und besitzt ein individuelles „Kill“- bzw. Deaktivierungspasswort, welches
analog zum Kill-Ansatz über die Artikeldatenbank der Supermarktkasse verfügbar gemacht
wird.
Seite 9 von 12
René Gründig CN7
An der Kasse oder einer separaten Deaktivierungsstation wird ein RFID-Tag jedoch nicht
durch den Kill-Befehl zerstört, sondern nur temporär deaktiviert. Zusätzlich wird das TagPasswort durch ein von Verbraucher gew ähltes „RFID -Passw ort“ ersetzt,w elches
beispielsweise auf dessen „D atenschutz-Karte“ gespeichert ist.Deaktivierte RFID-Tags
erwarten nach der Separierung das korrekte Passwort zum Auslesen des EPC bzw. zur
(Re-)Aktivierung, ansonsten wird der Zugriff verwehrt. Im EPC-Standard für Tags der
Generation 2 ist ein Passwortschutz nur zur Absicherung der Kill-Funktion und zur
Beschränkung der Schreibrechte vorgesehen. Ein aktivierbarer Passwort-Schutz des
Lesezugriffs wie hier vorgeschlagen ist nicht vorgesehen.
6.7.
Zero Knowledge Ansatz
Einen ganz ähnlichen Ansatz verfolgt Engberg et. al.. Ebenso wie bei dem Passwort-Modell
wird ein Gruppenschlüssel (gemeinsames Passwort) für verschiedene Tags eines Bereiches
vorgeschlagen. Allerdings verwendet Engberg ein komplexeres Authentifikationsprotokoll:
Ein Lesegerät sendet folgende Nachricht:
<t, r XOR hash(t XOR key), hash(r XOR key)>
wobei t ein Zeitstempel, r eine Zufallszahl und key der Gruppenschlüssel ist. Der RFID-Tag
kann diese Berechnung nachvollziehen und somit verifizieren, dass das Lesegerät den
Gruppenschlüssel kennt. Der letzte akzeptierte Zeitstempel muss jedoch im RFID-Tag
gespeichert werden, um Wiederholungsangriffe zu verhindern. Zudem müssen alle
Lesegeräte synchronisiert werden. Der Vorteil dieser Methode ist einerseits der Verzicht auf
die Notwendigkeit eines Zufallsgenerators im RFID-Tag, andererseits steht der Wert r für die
Verschlüsselung eines Kommandos oder einer Antwort des Tags zur Verfügung, da ein
Abhörer r nicht ermitteln kann. Eine unverschlüsselte Übertragung des EPC kann so
vermieden werden. Zusätzlich propagiert Engberg die Löschung des EPC und die Ersetzung
durch einen zufälligen Wert, ähnlich wie bei Private ID. Der Vorteil ist ein besserer Schutz
vor physischen Angriffen auf die RFID-Tags, wegen des Verzichts auf jegliche identifizierende
Daten. Neben der dadurch notwendigen Datenbank im Nutzerbereich ist der wesentliche
Nachteil jedoch die fehlende mehrseitige Sicherheit: Ein einmal gesperrter Tag kann niemals
gegenüber Dritten beweisen, einen bestimmten EPC zu besitzen – dieser wurde ja gelöscht.
Es müsste diesbezüglich dem bisherigen Besitzer völlig vertraut werden. Bearbeitung von
Garantiefällen wäre dann auf Basis der RFID-Tags nicht möglich. Zudem ist fraglich, ob ein
Schutz des EPC gegen diese relativ theoretischen Angriffe sinnvoll ist, da der Angreifer noch
immer den Gruppenschlüssel extrahieren und somit alle Tags dieser Gruppe kontrollieren
könnte.
Seite 10 von 12
René Gründig CN7
7. Fazit
Alle vorgeschlagenen Authentifizierungsverfahren haben gemeinsam, dass sie eine
standardmäßige Anonymität gewährleisten und die Auslesung der Tag-Inhalte vollständig in
die Kontrolle des Endnutzers bzw. -verbrauchers transferieren. Jede der Techniken haben
Vor- und Nachteile die gegeneinander abgewogen werden müssen.
Ausserdem sollte es noch ein paar Regeln bei der Einführung der RFID Technik geben. Hier
ein paar Vorschläge aufgelistet:
•
Keine unkontrollierte RFID-Einführung!
•
Kennzeichnungspflicht für Produkte die RFID-Tags beinhalten.
•
Die Kontrolle über das Auslesen der Tags muss beim Verbraucher sein.
Nur so kann eine gesellschaftstaugliche Einführung von RFID stattfinden.
Seite 11 von 12
René Gründig CN7
8. Quellen
 Katherine Albrecht: Spychips 10/2005 ISBN: 1595550208
 RFID - Verbraucherängste und Verbraucherschutz;
Wirtschaftsinformatik; Heft 6, 2005; S422
 http://www.heise.de/newsticker/meldung/73243
 http://www.foebud.org/rfid/
Seite 12 von 12

RFID Gesellschaftliche Sicht

Transcription

Documents pareils

Schöne neue Welt

3MKonvertierungsstation Modell 812

Kurzfassung der Ergebnisse-Download PDF (69

RFID in Reverse-Logistics-Systemen

der Richtlinie einsehen

RFID als Infrastruktur http://ig.cs.tu