Technische Universität Dresden
Fachbereich: Sicherheitstechnik
Seminararbeit

Sicherheitsbetrachtung zu RFID-Anwendungen

eingereicht von:
Daniel Jäger

2005

Inhaltsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

1. Einleitung 1

2. Funktionsweise, Klassifikation und EPC ... 2
2.1 Grundlegende Funktionsweise ... 2
2.2 Klassifikation  ... 3
2.3 Electronic Product Code  ... 4
2.3.1 Aufbau der EPC Nummer  ... 4
2.3.2 Object Name Service  ... 5
2.3.3 Funktionsweise des EPC – Systems  ... 5

3. Allgemeine Bedrohungsanalyse  ... 6
3.1 Arten von Bedrohungen  ... 6
3.2 Bedrohungen für die aktive Partei  ... 7
3.2.1 Physikalische Denial of Service Angriffe  ... 7
3.2.2 Sonstige Denial of Service Angriffe  ... 8
3.2.3 Ausspähen von Daten  ... 9
3.2.4 Einspeisen falscher Daten  ... 10
3.3 Bedrohungen für die passive Partei  ... 12
3.3.1 Bedrohung der Data Privacy 1 ... 2
3.3.2 Bedrohung der Location Privacy  ... 14

4. Schutzverfahren  ... 15
4.1 Deaktivierung und Verhinderung des Auslesens  ... 15
4.2 Verfahren zur Pseudonymisierung  ... 16
4.3 Verfahren zur Authentifizierung und Verschlüsselung  ... 17

5. Fazit 18

6. Anhang 19

7. Literatur 20

1. Einleitung

Folgt man der allgemeinen Diskussion um die Einführung der Radio Frequency Identification Technologie (RFID) bekommt man den Eindruck vermittelt, dass in naher Zukunft jeder Mensch der Konsumgüter kauft zum gläsernen Konsumenten wird, dessen Bewegungen sich lückenlos überwachen lassen. Es werden Szenarien entworfen bei denen das Individuum, wenn es in einen Laden geht „gescannt“ wird, und nur noch (ähnlich der beim E–Commerce verwendeten Coockie–Funktionalität von Web–Browsern) die zu seinem Konsumprofil passenden Produkte angeboten bekommt.

Alles in allem ist dieser Zustand eine von Datenschützern und Bürgerrechtlern bedrohlich gezeichnete Zukunftsperspektive, welche nur aus der Sicht des Endkonsumenten gesehen wird. Tatsächlich sind von der Sicherheit bei RFID–Anwendungen auch weite Kreise, vor allem in der Logistik und Produktion, betroffen.

RFID Systeme werden in zunehmend stärkerem Maße in allen Bereichen des Lebens eingesetzt in denen Objekte – das können normale Endprodukte, logistische Einheiten wie Container aber auch Arzneimittel oder Tiere sein – im Mittelpunkt stehen. Zieht man in Betracht, dass nicht nur der Endkonsument mit RFID konfrontiert wird sondern alle, die an der Wertschöpfung beteiligt sind, verlieren die o.g. Szenarien ihre Bedeutung, ja sie stellen nur noch einen Teil vieler möglicher Bedrohungen dar, da in diesem Kontext der Konsument selbst zu einer Bedrohung werden kann, indem er z.B. versucht das RFID–System beim Einkaufen zu manipulieren – ein Möglichkeit, die es schon lange in Form des Vertauschens von Preisschildern gibt.

Diese Arbeit setzt sich mit der gesamten Sicherheitsproblematik bei RFID–Systemen auseinander. Ausgehend von der allgemeinen Funktionsweise sowie den in enger Verbindung stehenden Electronic Product Code wird der Bogen über in Verbindung mit RFID stehenden Bedrohungen bis hin zu spezifischen Szenarien gespannt. Im letzten Kapitel soll auf mögliche Lösungen eingegangen werden, Aspekte des Datenschutzes werden in fast jedem Kapitel mit angesprochen.

2. Funktionsweise, Klassifikation und EPC

Da es für die verschiedenen Anwendungen der RFID Technologie eine große Vielzahl von Tags gibt, soll in diesem Kapitel kurz auf deren grundlegende Funktionsweise eingegangen, sowie eine Klassifikation vorgenommen werden. Auch die mit der Einführung von RFID – Transpondern im Handel einhergehende Warenkennzeichnung, der so genannte Electronic Product Code (EPCTM), wird kurz beschrieben, da diese hinsichtlich des „gläsernen Konsumenten“ sicherheitsrelevant ist.

[...]