第八章RFID安全与隐私课件.ppt

1、初稿1第八章RFID安全與隱私初稿2教學目標n本章將介紹RFID系統在使用時可能面臨的安全以及隱私問題，並介紹幾種可以解決問題的方法，包含用科技以及法律規範的方式n希望學生可以了解RFID系統相關的安全與隱私議題，並可思考未來RFID廣泛使用後，該如何避免這些問題的發生，讓RFID系統可以在兼顧使用者隱私及資料安全的前提下，為人類帶來更便利的生活初稿3大綱nRFID的安全議題商業機密外洩偽造虛假資訊基礎建設遭受破壞nRFID的隱私議題消費者的身分隱私消費者的購物隱私消費者的行蹤隱私n科技面解決方案RFID的硬體限制現行的RFID保護機制n規範面解決方案可規範RFID使用的現行法律其他RFID相

2、關的規範與草案n小結初稿4RFID的安全議題初稿5RFID的安全議題n雖然RFID將為人類生活帶來極大的便利性，但目前RFID尚未有一套標準的安全技術，若資料未經加密或是未有完善的存取控制，有心人士便可運用相關技術，任意讀取標籤上的資料，甚至修改、寫入資料，造成標籤上的資料外洩，成為RFID應用時的安全議題初稿6RFID的安全議題（續）n由於RFID是透過無線射頻(Radio Frequency,RF)來傳遞資訊，因此存在一般無線通訊技術會遇到的安全威脅，導致下列問題產生商業機密外洩n破壞機密性(Confidentiality)偽造虛假資訊n破壞真確性(Integrity)基礎建設遭受破壞n破

3、壞可用性(Availability)初稿7商業機密外洩n未經授權讀取(Unauthorized Read)攻擊者只要有相同規格的讀取器，並且在標籤的可讀取範圍內，就能夠任意地讀取標籤內的資料，造成資訊洩漏的安全問題，甚至會危及使用者的隱私n竊聽(Eavesdropping)攻擊者利用特殊設備，來監聽標籤與讀取器通訊時在空氣中傳輸的無線電訊號，藉由監聽得到的訊息來分析其中所包含的資訊初稿8商業機密外洩（續）n公司刺探威脅(Corporate Espionage Threat)攻擊者可以利用Reader在遠端讀取競爭對手倉庫的標籤，以收集競爭對手倉庫的存貨數量或商品資訊，甚至取得機密資料n行銷競爭

4、威脅(Competitive Marketing Threat)競爭對手可以透過對RFID標籤的讀取，在未經授權的情況下取得消費者購物偏好資訊，利用這些資訊進行行銷競爭初稿9偽造虛假資訊n未經授權寫入(Unauthorized Write)若是標籤沒有存取控制機制，攻擊者只要有相同規格的寫入器，並且在標籤的可寫入範圍內，就能夠任意地修改並寫入標籤內的資料，造成標籤資料遭竄改或偽造的安全問題n假冒(Spoofing)攻擊者可能透過物理分析，來取得某個標籤內所儲存的資料，然後複製(Clone)一個具有相同資料的標籤，因此可以假冒成合法的身分，通過讀取器的驗證，以達成攻擊者之目的 初稿10偽造虛假資

5、訊（續）n重送攻擊(Replay Attack)攻擊者可能藉由監聽所蒐集之訊息，當讀取器查詢標籤時，將這些訊息重新送回給讀取器，因而通過讀取器的驗證n信賴邊界威脅(Trust Perimeter Threat)由於RFID系統的使用，標籤的相關資訊會在上下游廠商之間透過網路的方式共享，而此共享的管道即有可能受到攻擊者的入侵，因此將使公司對於資訊系統可信賴的邊界重新界定初稿11基礎建設遭受破壞n基礎建設威脅(Infrastructure Threat)攻擊者可以使用特殊設備，持續發送無線射頻訊號，來干擾標籤或讀取器，導致標籤跟讀取器無法正常進行通訊，藉此癱瘓RFID系統，屬於阻斷服務(Denia

6、l of Service,DoS)攻擊初稿12基礎建設遭受破壞（續）n惡意編碼傳播(Hostile Code Propagation)標籤上有記憶體可用來儲存額外資訊，若惡意的使用者用來存放與傳播惡意的編碼，將可能影響讀取器的正常存取功能國外已有研究指出，攻擊者可在標籤植入惡意SQL語法進行SQL Injection攻擊，造成後端系統中毒，並可感染其他正常標籤，再透過受感染之標籤感染其他後端系統初稿13RFID的隱私議題初稿14RFID的隱私議題nRFID標籤因具有唯一識別的特性，若是標籤被任意讀取，或是遭受先前提到RFID的各種安全威脅，將衍伸出相關的隱私議題消費者的身分隱私消費者的購物隱私

7、消費者的行蹤隱私初稿15消費者的身分隱私n關聯威脅(Association Threat)若標籤具有一個唯一識別的資訊，則此識別資訊將會與標籤的持有者產生關聯。例如消費者A持有一識別資訊為123之標籤，當讀取器讀取到標籤123，則可推測為消費者An群聚威脅(Constellation Threat)若消費者攜有數個以上的標籤，這群標籤也可能與此消費者產生關聯，若讀取器一直讀取到同一群標籤，則可推測是某消費者初稿16消費者的身分隱私（續）n麵包屑威脅(Breadcrumb Threat)此威脅是由關聯威脅所延伸出的；因為標籤的識別資訊可與持有者產生關聯，如果持有者的標籤遭竊或丟棄，可能會被有心人

8、士利用來假冒原先持有者的身分，進行不法之行為初稿17消費者的購物隱私n動作威脅(Action Threat)個體（消費者）的動作、行為及意圖可以透過觀察標籤的動態來推測；例如某個賣場智慧貨架上高價商品的標籤訊號突然消失，賣場即可推測是否有消費者想進行偷竊n偏好威脅(Preference Threat)由於標籤上可能記載著商品的相關資訊，如商品種類、品牌和尺寸等，可以藉由標籤上的資訊來推測消費者的購物偏好初稿18消費者的購物隱私（續）n交易威脅(Transaction Threat)當某群標籤中的其中一個標籤，轉移到另一群標籤中，則可推測這兩群標籤的持有者有進行交易的可能性初稿19消費者的行蹤隱

9、私n位置威脅(Location Threat)由於標籤具有一個唯一識別的資訊，且標籤的讀取具有一定的範圍，因此可以透過標籤來追蹤商品或消費者的位置初稿20科技面解決方案初稿21RFID的硬體限制nRFID系統中，標籤的運算能力是有限的，尤其是低成本的被動式標籤；比起智慧卡或者是感測器(Sensor)來說，RFID標籤少了中央處理器及較大的記憶體空間，因此無法執行複雜的密碼學運算，是RFID在安全性上的一大缺點初稿22現行的RFID保護機制n標籤特殊設計之保護方式 標籤銷毀指令(Kill Command)標籤休眠指令(Sleeping Command)密碼保護n使用額外設備之保護方法法拉第籠(F

10、aradays Cage)主動干擾(Jamming)阻擋標籤(Blocker Tag)n其他方法初稿23標籤銷毀指令n若標籤支援Kill指令，如EPC Class 1 Gen 2標籤，當標籤接收到讀寫器發出的Kill指令時，便會將自己銷毀，使得這個標籤之後對於讀寫器的任何指令都不會有反應，因此可保護標籤資料不被讀取；但由於這個動作是不可逆的，一旦銷毀就等於是浪費了這個標籤初稿24標籤休眠指令n與銷毀標籤概念相同，當支援休眠指令的標籤接收讀取器傳來的休眠(Sleep)指令，標籤即進入休眠狀態，不會回應任何讀取器的查詢；當標籤接收到讀取器的喚醒(Wake Up)指令，才會恢復正常初稿25密碼保護n

11、此方法利用密碼來控制標籤的存取，在標籤中記憶對應的密碼，讀取器查詢標籤時必須同時送出密碼，若標籤驗證密碼成功才會回應讀取器；不過此方法仍存在密碼安全性的問題初稿26法拉第籠n將標籤放置在由金屬網罩或金屬箔片組成的容器中，稱作法拉第籠，因為金屬可阻隔無線電訊號之特性，即可避免標籤被讀取器所讀取初稿27主動干擾n使用能夠主動發出廣播訊號的設備，來干擾讀取器查詢受保護之標籤，成本較法拉第籠低；但此方式可能干擾其他合法無線電設備的使用初稿28阻擋標籤n使用一種特殊設計的標籤，稱為阻擋標籤(Blocker Tag)，此種標籤會持續對讀取器傳送混淆的訊息，藉此阻止讀取器讀取受保護之標籤；但當受保護之標籤離

12、開阻擋標籤的保護範圍，則安全與隱私的問題仍然存在初稿29其他方法n以密碼學為基礎的解決方案亂數產生器互斥或(Exclusive OR,XOR)循環冗餘檢查(Cyclic Redundancy Check,CRC)對稱式加解密雜湊鎖(Hash-lock)雜湊鏈(Hash Chain)初稿30規範面解決方案初稿31可規範RFID使用的現行法律n電腦處理個人資料保護法 n個人資料保護法草案 n商品標示法n消費者保護法初稿32電腦處理個人資料保護法n在民國84年所制定的電腦處理個人資料保護法；第一條即說明為規範電腦處理個人資料，以避免人格權受侵害，並促進個人資料之合理利用，特制定本法n個人資料是指自然

13、人之姓名、出生年月日、身分證統一編號、特徵、指紋、婚姻、家庭、教育、職業、健康、病歷、財務情況、社會活動及其他足資識別該個人之資料；而個人資料檔案是指基於特定目的儲存於電磁紀錄物或其化類似媒體之個人資料之集合 初稿33電腦處理個人資料保護法（續）n在法令第六條中即明定個人資料之蒐集或利用，應尊重當事人之權益，依誠實及信用方法為之，不得逾越特定目的之必要範圍；第七、八、十八及二十三條亦規定公務或非公務機關對個人資料之利用或處理必須經當事人書面同意，不得侵害當事人權益；因此可考慮使用電腦處理個人資料保護法來規範企業透過RFID 收集個人資訊初稿34電腦處理個人資料保護法（續）n由於時代科技的進步，

14、利用電腦蒐集、處理與利用個人資料的情形與法令制定當年，已變得日益頻繁且複雜；再者各類型商務行為廣泛大量的蒐集個人資料，也已經不再限於個資法中所規範的徵信等八大類，例如醫院使用從病患取得、分析的資訊，就不受此法令的規範初稿35個人資料保護法草案n在行政院94年通過的個人資料保護法草案（為電腦處理個人資料保護法之修正）中，參照各國立法案例，將受保護的客體與規範的主體在修正草案中予以擴大，保護的個體不再侷限於經電腦處理之個人資料，而修正成不論為自動化機器或其他非自動化方式檢索、整理之個人資料，均受個資法之保護n修正草案第二條第二款規定：個人資料檔案係指系統建立而得以自動化機器或其他非自動化方式檢索、

15、整理之個人資料之集合；同條第四款規定：處理是指為建立或利用個人資料檔案所為資料之紀錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。初稿36個人資料保護法（續）n而在法規適用的主體上，亦刪除非公務機關行業別的限制，使任何自然人、法人、其他團體等均受到個資法的規範；修正草案第二條第八款規定：非公務機關是指前款以外之自然人、法人或其他團體；及第五十條第一項規定：自然人為單純個人或家庭活動之目的，而蒐集、處理或利用個人資料者，不適用本法初稿37商品標示法n個資法是以保護個人隱私為出發，雖然在個資法中清楚規範對於蒐集、處理與應用個人資料的原則，但是由於科技的進步，對於個人資料的蒐集往

16、往是在消費者無法察覺的方式下進行，RFID的遠距讀取也使得這項憂慮更加深n個資法的規定固然可以讓消費者了解自己應該具有的權利，只是如果能夠透過其他的強制作為預先的阻止侵害的可能發生，那麼對於個人隱私的保護可能可以更完善；因此，應可考慮透過商品標示的強制，作為要求醫院或營業者在應用RFID技術時，就預先於消費者或病患使用的RFID手環上告知初稿38商品標示法（續）n商品標示法第一條規定：本法目的即是為保障消費者權益，建立良好商業規範；由於RFID技術本就具有安全與隱私上的問題，因此將商品使用RFID技術的情況事先揭露予消費者得知，可以認為是一種有效的保護消費者的方式n根據商品標示法第九條第一項第

17、五款的規定，商品應標示事項包括了其他依中央主管機關規定應行標示事項。；因此當主管機關在允許RFID技術應用於病患識別時，應可要求廠商相關標示措施，以保障消費者隱私權初稿39消費者保護法n個資法的修正草案可有效的規範大部分對於個人資料的蒐集、處理與利用等行為，但是由於商業行為的複雜，對於個人隱私的侵犯往往並非只限於上述方式，而可能是透過衍生的附加行為，又或者由於消費者處於交易地位上的弱勢，廠商可能透過特定服務的提供或者是對於原本即應提供的服務提出附帶要求，以讓消費者同意或者承諾配合RFID技術的使用初稿40消費者保護法（續）n由於商業行為的複雜，同時RFID技術本身為中立，應可考慮採用消費者保護

18、法來補充消費者在地位上原處的弱勢n消費者保護法第十二條規定：定型化契約中之條款違反誠信原則，對消費者顯失公平時無效初稿41其他RFID相關的規範與草案nEPIC的RFID使用指導綱領n電子權利法草案(Electronic Bill of Rights)nRFID權利法草案(RFID Bill of Rights)n標籤資料擁有權之探討初稿42EPIC的RFID使用指導綱領n美國電子隱私資訊中心(Electronic Privacy Information Center,EPIC)於2004年6月提出一份關於消費者與私人企業使用RFID的綱領nEPIC的RFID使用指導綱領主要分成三個部分，第一

19、個部分主要說明企業在利用RFID技術時，需於貨品上從事於類似條碼標示的相關責任；第二個部分則著重於使用RFID的企業廠商不應有之作為；第三部分則是總結前兩部分而所應賦予消費者該擁有的權利初稿43EPIC的RFID使用綱領（續）n使用RFID的企業廠商應有之作為主動告知消費者關於標籤的存在，包括在倉庫、展示架或是結帳處等，並合理公開，使消費者了解RFID系統及資訊處理的本質在產品結帳後，應即時關閉標籤，除非因個人需要，否則需使之永久失效；系統的預設值亦應設置為主動關閉；標籤關閉後，非經消費者同意，不得主動開啟RFID標籤應使用最易於移除的方式系統使用者應指定專人遵守本份綱領初稿44EPIC的RF

20、ID使用綱領（續）n使用RFID的企業廠商不應有之作為不得經由RFID追蹤個人行動或在賣場外利用RFID獲取個人消費習性或其它個人資訊不得記錄或是儲存RFID標籤上不屬於個人的資訊，或是透過已完成消費的標籤來獲取個人資訊不得在購買行為完成後，以貨品保固、損失補償或是使用智慧型的應用程序來保持標籤的開放狀況初稿45EPIC的RFID使用綱領（續）n消費者的權利有權獲取透過RFID蒐集包括個人資訊的所有資訊，並有權更正之有權移除RFID標籤針對未遵守或違反前述RFID使用責任與義務的私人企業，有權提出訴訟初稿46電子權利法草案n美國華盛頓州議員Jeff Morris提出的電子權利法草案(Elect

21、ronic Bill of Rights)，主張禁止在未告知消費者的情況下收集、儲存和公開通過RFID技術獲得的資訊，內容主要規範：使用主動或被動RFID設備的所有公司應關閉這些設備，或者事先徵得消費者的同意禁止廠商在服務和退款時要求RFID標籤初稿47電子權利法草案（續）禁止廠商或個人在沒有事先徵求消費者同意的情況下掃描或讀取RFID設備使用從RFID設備取得之資訊的廠商，必須使用產業標準來確保資訊安全初稿48RFID權利法草案n美國麻省理工學院之學者Simson Garfinkel所提出的RFID權利法草案(RFID Bill of Rights)，主要提出消費者在商家使用RFID的情況下

22、應享有的權利，內容包含：消費者有權知道商品是否含有RFID標籤商品結帳後消費者有權要求商家將商品上之RFID標籤移除或使其失效初稿49RFID權利法草案（續）即使消費者移除RFID標籤，仍應享有購買產品之售後服務權利消費者有權知道RFID標籤上儲存的資訊消費者有權知道標籤在何時、何地以及為何被讀取初稿50標籤資料擁有權之探討nRFID標籤記載之資料是否足夠導致個人資料有揭露的危險？RFID標籤記載之資料如包含姓名、電話、地址、身分證字號及出生年月日等，均應屬於特定人之個人資料，此等資料非經當事人同意，不得記載於RFID標籤上；但較有疑問的是下列資訊是否屬於個人資料：1.就診記錄、病史及使用藥物

23、資訊：此部分依多數國家之立法案例，亦屬於個人資料之範疇，故非經當事人同意，不得記載於RFID標籤上初稿51標籤資料擁有權之探討（續）2.地點追蹤：如產品位置等，通常不屬於個人資料，但產品離開消費場所（結帳後）或進入私人場域時，RFID標籤是否可以持續追蹤並定位，應持否定解3.使用記錄：如產品或場所使用記錄等，如管理委員會設置之門禁管制進出社區記錄，或學校圖書進出或借閱書籍記錄，是否屬於個人資料，實務傾向否定4.關於消費者購買產品時之購物品牌、種類、金額、購買地點及日期是否屬於特定人之個人資料？顯有疑義；按該資訊通常不足以識別該個人之資料，但經蒐集整理分析後，可能歸納出個人購物特性及習慣初稿52

24、標籤資料擁有權之探討（續）nRFID標籤記載之資料屬於何人所擁有？RFID標籤記載資料之所有權在RFID使用人使用區域，應屬於RFID使用人所有，但產品移轉所有權時，RFID標籤記載資料應屬於消費者所有，並有自行刪除RFID標籤記載資料之權利；如Wal-Mart就準備廣發手冊告訴消費者，只要結完帳，就可以撕下標籤初稿53標籤資料擁有權之探討（續）n第三者是否有利用或攔截標籤資料之權利？RFID使用者使用RFID時，應該已經先考慮RFID標籤記載資料具有公開傳輸之特性，並有期待他人使用之可能性；但第三者在使用這類資料是否需取得當事人同意，則應視是否屬於個人資料而定初稿54小結初稿55小結n使用R

25、FID的安全與隱私問題公司機密資訊洩漏消費者隱私侵犯nRFID使用時的資料安全與隱私保護利用科技的方式達到保護效果以法律條文規範RFID的使用初稿56參考資料1.EPIC,“Proposed Guidelines for Use of RFID Technology:Enumerating the Rights and Duties of Consumers and Private Enterprises,”June,2004.2.S.L.Garfinkel,“An RFID Bill of Rights,”Tech.Review,October,2002.3.S.L.Garfinkel,A.

26、Juels,R.Pappu,“RFID Privacy:An Overview of Problems and Proposed Solutions,”IEEE Security&Privacy Magazine,Vol.3,Issue 3,pp.34-43,May-June,2005.4.K.C.Jones,“EE Times:State of Washington considers RFID restrictions,”http:/ Security and Privacy:A Research Survey,”RSA Laboratories,September,2005.6.A.Ju

27、els,R.Pappu,“Squealing euros:Privacy protection in RFID enabled banknotes,”Financial Cryptography FC03,Vol.2742,pp.103-121,January,2003.初稿57參考資料（續）7.A.Juels,R.L.Rivest,and M.Szydlo,“The Blocker Tag:Selective Blocking of RFID tags for Consumer Privacy,”8th ACM Conference Computer and Comm.Security,pp

28、.103-111,May,2003.8.M.Ohkubo,K.Suzuki,S.Kinoshita,“A Cryptographic Approach to Privacy-Friendly tag,”RFID Privacy Workshop,November,2003.9.Matthew J.B.Robshaw,“An overview of RFID tags and new cryptographic developments,”Information Security Technical Report,Vol.11,Issue 2,pp.82-88,2006.10.S.A.Weis,

29、“Radio-frequency identification security and privacy,”Masters thesis,M.I.T.,June,2003.11.RFID應用推動辦公室網站，RFID使用於病患管理之個人隱私保護相關法規研析，http:/www.rfid.org.tw/content.php?sn=137，2007年。初稿58參考資料（續）12.謝穎青，通訊科技與法律的對話，天下遠出版股份有限公司，2005年。13.行政院主計處網站，電腦處理個人資料保護法，http:/www.dgbas.gov.tw/ct.asp?xItem=10116&ctNode=2286，1995年。14.法務部全球資訊網，電腦處理個人資料保護法修正草案條文對照表https:/www.moj.gov.tw/public/Attachment/62228524321.pdf，2007年。15.曾龍、黃亦銘、林政穎，RFID安全性議題，RUNPC雜誌，2007年。