Navigatie overslaan.
Start

RFID voor authenticatie == dom

Met mijn technische bagage en skeptische mindset, heb ik het altijd al erg grappig gevonden dat mensen RFID technologie willen gebruiken voor toegangsbeveiligingstoepassingen.

RFID is ontwikkeld om snel een inventaris te kunnen opmaken van een magazijn, niet om toegang te verlenen tot een gebouw.
Als je een goed systeem wil maken, en dat geldt zeker en vast voor beveiligingssystemen, moet je van het begin af aan een doel vastleggen en daar naartoe werken. Niet bestaande systemen proberen om te vormen zodat het lijkt alsof het kan dienen...

Hieronder wordt de basiswerking van RFID verklaard, en als je dan nog niet snapt waarom het een slecht idee is om dit te gebruiken voor beveiligingsdoeleinden, dan ben je net zoals die honderden bedrijven die RFID oplossingen leveren voor toegangscontrole, mischien moet je dan maar bij een dergelijk bedrijf gaan werken...

RFID staat voor Radio Frequency IDentity.
Het is een chip met daarin een serienummer en een beetje geheugen dat je via radiogolven kan uitlezen en/of beschrijven.

De chip hoeft geen batterij te hebben, want deze krijgt zijn stroom via de radiogolven.
Van hoever je een dergelijke chip kan uitlezen hangt af van de grootte van de antenne op de chip, maar vooral van de signaalsterkte van de scanner. (10m is geen uitzondering.)

Het leuke is dat iedere chip met eender welke scanner kan uitgelezen worden. Er is geen mogelijkheid om een blokkering te voorzien. De enige manier om ervoor te zorgen dat je een RFID chip niet kan uitlezen is, behalve door de chip te vernietigen, om deze af te schermen van radiogolven.
Dit kan bijvoorbeeld door ze in een kooi van Faraday te stoppen. Ik ken helaas niet veel mensen dit hun RFID toegangspasje zo goed wegstoppen...

RFID lijkt een beetje op de streepjescode die je op winkelproducten kan terugvinden, maar in plaats van een unieke streepjescode per product (Bv: 123456 voor een Six-pack Jupiler) heb je een uniek serienummer per item. (6 verschillende nummers, 1 per blikje bier.)
De oorspronkelijke bedoeling was dus om "producten" van een dergelijk uniek serienummer te voorzien zodat je razendsnel met een RFID scanner kan zien wat er in je magazijn staat en hoeveel. (Je moet natuurlijk wel weten dat nummertje X een blikje Jupiler is behorende tot een six-pack, maar je moet iets dergelijks ook al weten voor streepjescodes.)

Door die unieke koppeling is RFID een zeer groot privacyrisico.
Als je een "klantenkaart" bij een winkel hebt, wordt dat specifieke blikje bier gekoppeld aan jou als persoon. Indien later op straat dat blikje bier gevonden wordt, is het technisch zeer eenvoudig om aan te tonen dat jij dat blikje gekocht hebt.
Of wat dacht je van dievenbendes die op straat met een scanner rondgaan om te zien wie dure merkwaar in huis heeft? (RFID chips zitten vandaag ook al in kleren, en het heeft niet veel gescheeld of ze zaten ook in Euro briefjes.)

RFID voor toegangscontrole werkt dus op basis van dit serienummer.
De "toegangscomputer" heeft een lijst met alle nummertjes die gekend zijn en binnen mogen, en opent dan de deur, of juist niet.

Wat is nu het probleem?

Wel, in de eerste plaats is dit serienummer de enige toegangscode voor een gebouw. Als je dit vanaf een afstand kan uitlezen met eender welke RFID lezer, dan kan je niet meer spreken van een geheime toegangscode.
Ten tweede kun je blanco RFIDs kopen, waarin je dan zelf het serienummer moet zetten.
Ten derde was bij de ontwikkeling van RFID al voorop gesteld dat het een zeer goedkoop systeem moest worden. Zowel de chips als de scanner kosten bijna niets.

Snap je nu het probleem?

Het ander probleem is dat dergelijk "beveiligings" bedrijven bijna altijd een achterdeurtje inbouwen. Bepaalde serienummers openen ALTIJD de deur.
Spijtig voor het vertrouwen in dergelijk bedrijven, maar die serienummers lekken soms uit en zijn te vinden op het internet.
Koppel dit met puntje 2 van de bovenstaande paragraaf en alle beveiligingssystemen van merk X zijn eraan voor de moeite. "Sesam open U" krijgt ineens een heel andere betekenis.

Het enige waartegen RFID gebouwen beveiligd, is tegen braakschade bij diestal...

Nu zijn er in de praktijk wel een aantal systemen die het iets moeilijker maken, maar helaas is dit meer een vertraging dan een oplossing.
De toegangscomputer kan jou alleen maar toelaten tijdens bepaalde uren, of je kan ook bij iedere toegang extra data opslaan op een RFID chip en die de volgende keer controleren. Enz...

Maar geen enkel RFID toegangssysteem is momenteel waterdicht, en volgens mij was het toch de bedoeling van een beveiligingssyteem om zo waterdicht mogelijk te zijn.

Een goed toegangssysteem bestaat uit smartcards met versleutelde en geauthenticeerde communicatie. Een beter systeem bestaat uit meerdere lagen van authenticatie door middel van verschillende technologien. (Dus je mag gerust RFID gebruiken, maar zeker niet als enige systeem.)

Helaas is het tot nu toe onmogelijk om draadloos voldoende stroom te voorzien voor dergelijke "smart"-chips en juist daarom zal je vandaag de dag voor echte high security toepassingen nooit RFID zien gebruiken.

Voorlopig nog niet althans. Maar misschien wel ooit in de toekomst...