RFID(Radio Frequency Identification, 無線射頻識別)技術的應用日益廣泛,從早期門禁卡、捷運悠遊卡到最近的信用卡與電子護照,RFID晶片上存放的個人資料愈來愈多,資料外洩風險也就愈高,政府或企業在應用RFID的同時,資安議題應該放在優先順位去考量。
在日前舉行的澳洲生物辨識機構年度大會中,澳洲NSST(註1)資深安全顧問Helen Cartledge指出,無論是電子護照或信用卡中的RFID晶片,都有可能遭到他人以無線讀卡機側錄器(wireless skimming devices)截取個人資訊。
一般來說,電子護照多遵循國際民航組織(ICAO)所制定的基本存取控制(Basic access control, BAC)資料安全與存取標準,用來降低資訊在RFID晶片與讀卡機之間流通的風險,及非法人士由護照持有人處取得資訊的風險,另外,由BSI制定的延伸存取控制標準(Extended access control, EAC),則用來強化指紋或生物辨識資料的防護機制。
在BAC與EAC標準下,不只讀卡機必須經過授權核準,才能讀取電子護照中的資料,個人資料由RFID晶片傳輸至讀卡機過程中,同樣也得經過加密處理,以防止他人竊取或偷聽傳輸中的資訊,然而,這種加密金鑰的防護措施,似乎不再是安全的保護,因為荷蘭的研究人員已經找到遠端讀取資訊的方法。
至於信用卡,因為沒有類似BAC與EAC的安全規範,非法讀取的成功機率較高。假如攻擊者在卡片持有者附近,使用與RFID晶片相同頻率的讀取器,就有可能讀到資料。Helen Cartledge應用faraday cage theory提出防範建議,如:在皮夾裡放一層金屬薄片,干擾非法讀取的行為,當然這些都是治標不治本的方法,最重要的還是使用者主動關心RFID晶片安全的問題,才能促使企業正視這個問題。
註1:NSST全名為National Security Science and Technology、國家安全科學與科技部門,隸屬於澳洲總理與內閣部門之下。