RFID Teknolojisi ve Güvenlik

RFID Teknolojisi ve Güvenlik

Radyo Frekanslı Tanıma (RFID) sistemleri, radyo dalgalarının yardımı ile objeleri tanımlayan ve takibi sağlayan kablosuz teknoloji sistemidir. RFID sistemlerinde veri güvenliğinin temini, potansiyel kullanıcı ve tüketicilerin en çok merak ettiği ve endişelendiği konulardan biridir. Bu yazıda RFID sistemleri ile ilgili veri güvenliği ve hangi yöntemlerle potansiyel risklerin önüne geçildiği konularına değineceğiz.

RFID sistemi geniş bir kullanım alanına sahip olarak; ürün etiketleri, pasaport ve kimlikler, temassız kart ve biletler gibi birçok uygulama yöntemiyle insanların karşısına çıkmaktadır. Uygulama alanının genişliği ve yeni bir teknoloji olmasından dolayı, ilgi çekmenin yanı sıra korku ve çekimserliği de beraberinde getirmektedir. Benzer bir korku ve çekince, 1970’lerin sonlarında Barkod teknolojileri; EAN kodu ve UPC kodu piyasaya sürüldüğünde de yaşanmıştır ve şuan, EAN/UPC kodları günümüzün en köklü ve en yaygın kullanılan barkod teknolojileri konumundadır. Bu sebeple, RFID kullanımına yönelik risk ve buna dair çözümler konusunda kamuoyunun bilgilendirilmesi büyük önem taşımaktadır.

Güvenlik Önlemleri

RFID sistemleri; erişim sistemleri, ödeme ve bilet sistemleri gibi yüksek güvenlikli uygulamalarda giderek daha fazla kullanılmaktadır. Fakat bu tip uygulamalarda saldırılara karşı veya sistemi yanıltarak izinsiz giriş, ödeme yapmadan hizmet alma gibi aykırı girişimlere karşı güvenlik önlemleri almak büyük önem taşımaktadır.

Yazının ilk bölümünde bahsedilen türdeki potansiyel saldırıların önlenmesi için birçok güvenlik protokolleri geliştirilmiştir. Bunlardan bazıları:

  • Kimlik doğrulama
  • Kod saklama
  • Transfer edilen verinin şifrelenmesi
  • Etikete kayıtlı verinin şifrelenmesi
  • Elektromanyetik koruma
  • Anahtar kullanımı
  • “Kill” ve “Lock” komutları kullanımı
  • Kırılabilir etiket kullanımı
  • Blok etiket kullanımı
  • Aktif sinyal bozma
  • Veri saklama
  • Takma ad kullanımı
  • Detektör kullanımı
  • Frekans hoplaması
  • Sistem için özel cihaz kullanımı
  • Nizami önlemler

Modern kimlik doğrulama protokolleri, sır bilgilerini kontrol ederek çalışmaktadır (örnek: şifreleme anahtarı). Bununla birlikte, gizli anahtarın kırılmasını önlemek için uygun algoritmalar kullanılmaktadır. Yüksek güvenlikli RFID sistemleri aşağıdaki bireysel saldırılara karşı bir savunma sistemine sahip olmalıdır:

  • Veri klonlamak ve değiştirmek amacıyla veri taşıyıcısının gözlenmesi,
  • Bir binaya yetkisiz erişim sağlamak veya ödeme yapmadan hizmet alma niyetiyle, bir okuyucunun sorgulama bölgesi içine yabancı bir veri taşıyıcısının yerleştirilmesi,
  • Bir veri taşıyıcısını taklit etmek için radyo iletişiminin dinlenmesi ve verilerin üzerinde oynanması.

Uygun bir RFID seçerken, kriptolojik fonksiyonlara dikkat edilmelidir. Bir güvenlik fonksiyonu gerektirmeyen uygulamalarda (örneğin endüstriyel otomasyon, cihaz tanıma), kriptolojik prosedürlerin dahil edilmesiyle gereksiz yere pahalı hale gelecektir. Öte yandan, yüksek güvenlik gerektiren uygulamalarda (örneğin biletleme, ödeme sistemleri) kriptolojik prosedürlerin ihmal edilmesi çok daha büyük sorunlara yol açacaktır.

Bu noktada, bazı mevcut temel kriptolojik prosedürlerin detaylarından bahsedeceğiz:

Karşılıklı Simetrik Doğrulama

Okuyucu ve etiket arasındaki karşılıklı kimlik doğrulama, her iki katılımcının diğer tarafın gizli bir kriptolojik anahtar bilgisini kontrol ettiği, ISO/IEC 9798 standardınca üç geçişli kimlik doğrulama ilkesine dayanmaktadır.

Bu prosedürde, bir uygulamanın parçasını oluşturan tüm etiketler ve okuyucular aynı gizli kriptolojik K anahtarına sahiptir. Bir etiket ilk olarak okuyucusu sorgulama bölgesine girdiğinde, iletişimdeki iki katılımcının aynı uygulamaya ait olduğu kabul edilemez. Okuyucunun bakış açısından bakarsak, bilgilerin yanlış verilerle değiştirilmesini önlemek için geliştirilmiş bir savunma mekanizmasıdır bu. Aynı şekilde, etiket tarafından da bakıldığında, yazılı verilerin korunması önceliklidir.

Karşılıklı kimlik doğrulama prosedürü, okuyucunun etikete bir GET_CHALLENGE komutu göndermesiyle başlar. Komutu alan etiket rastgele bir sayı(Random A) yollar. Buna karşılık okuyucu rastgele bir sayı üretir ve K anahtarını kullanarak token 1’i oluşturur ve etikete yollar. Alınan kod, etikette çözümlenir. Düz metin, önceden iletilen Random A ile karşılaştırılır. Eğer iki rakam denk gelirse etiket iki ortak anahtarın karşılık geldiğini doğrular. Etiket yeni bir rasgele sayı üretir ve token 2 oluşturulup okuyucuya iletir. Okuyucu, token 2’i deşifre eder ve önceden okuyucunun göndermiş olduğu rastgele rakamla karşılaştırır. Eğer iki rakam karşılık gelirse, okuyucu iletişimi onaylar ve anahtarlar kanıtlanmış olur. Böylelikle okuyucu ve etiket aynı sisteme ait olduğu meşrulaşır.

Özetlemek gerekirse, karşılıklı kimlik doğrulama prosedürü aşağıdaki avantajlara sahiptir:

  • Gizli anahtarlar hiçbir zaman hava dalgası üzerinden iletilmez, sadece şifrelenmiş rastgele sayılar iletilir.
  • İki rastgele sayı her zaman aynı anda şifrelenir. Bu, gizli anahtarın hesaplanması amacıyla token 1’i elde etmek için ters bir dönüşüm gerçekleştirme olasılığını ortadan kaldırır.
  • Token’lar herhangi bir algoritma kullanılarak şifrelenebilir
  • İki bağımsız kaynaktan (okuyucu ve etiket) rastgele sayıların denetimli kullanımı, daha sonraki sürelerde gerçekleşebilecek olan röle saldırılarını saf dışı bırakacaktır.
  • Sonraki veri iletimini kriptolojik olarak korumak için, rastgele yaratılan sayılardan oturum anahtarı hesaplanabilir.

Türetilmiş Anahtarlar Kullanılarak Kimlik Doğrulama

Karşılıklı kimlik doğrulama prosedürü üzerinde yapılabilecek bir geliştirme, her bir etiketin farklı bir kriptolojik anahtar ile güvenceye alınmasını sağlayacaktır.  Bunun için, her bir etiketin seri numarası üretim sırasında okunur. Kriptolojik bir algoritma ve bir ana anahtar kullanılarak, farklı anahtarlar oluşturulur. Her bir etikete; kendi ID numarasına ve ana anahtara bağlı olarak anahtar atanır.  Karşılıklı kimlik doğrulaması, okuyucunun kimlik numarasını talep eden okuyucu tarafından başlar. Okuyucudaki özel bir güvenlik modülünde (Güvenlik Doğrulama Modülü), etiketin kişisel anahtarı, ana anahtar kullanılarak hesaplanır, böylece kimlik doğrulama prosedürünü başlatmak için kullanılabilir. Güvenlik doğrulama modülü, kripto işlemci içeren bir akıllı kart şeklini alır. Bu sayede hem çok sayıda anahtar elde edilmiş olur, hem de ana anahtar ulaşılamaz olur.

Şifreli Veri Aktarımı

Bu modeli potansiyel bir saldırganın üzerinden yola çıkarak açalım. İki temel saldırı türü arasında ayrım yapabiliriz. Saldırgan 1, pasif bir şekilde davranır ve gizli bilgileri gizli amaçlar sebebiyle keşfetmek için iletişimi dinlemeye alır. Diğer taraftan saldırgan 2, iletilen verileri manipüle etmek ve kendi yararına değiştirmek için aktif olarak davranır.
Türetilmiş anahtarlara dayanan bir doğrulama prosedüründe, etikete özgü bir anahtar, ilk önce okuyucuda etiket ID’sinden hesaplanır. Bu anahtar daha sonra kimlik doğrulama için kullanılmalıdır.
Şifreli veri; gizli anahtar ve gizli algoritma kullanılarak alıcıdaki orijinal formuna geri döndürülür. Kriptolojik prosedürler hem pasif hem de aktif saldırılara karşı korunmak için kullanılır. Bunu başarmak için, iletilen veriler (düz metin) iletimden önce değiştirilebilir (şifrelenebilir), böylece potansiyel bir saldırgan artık mesajın gerçek içeriği hakkında bir sonuç çıkaramaz.
Şifreli veri iletimi her zaman aynı prosedüre göre gerçekleşir. Aktarılacak veriler, bir gizli anahtar ve bir kriptografik algoritma kullanılarak şifreleme verisine dönüştürülür. Sisteme saldırmayı hedefleyen şahıs, şifreleme algoritmasını ve gizli anahtarı bilmeden kaydedilen verileri yorumlayamayacaktır. Şifreli veriden aktarılan verileri tekrar yaratmak mümkün değildir.
Eğer şifreleme anahtarları ve çözümleme anahtarları aynıysa veya birbirleriyle doğrudan bir ilişki içinde iseler, bu prosedür simetrik bir anahtar prosedürü olarak adlandırılır. Eğer farklı ve ilgisiz ise, asimetrik bir anahtar prosedürü olarak adlandırılır.
Aktarılacak olan verilerin şifrelenmesiyle, bu veriler gizlice takip edilmekten ve herhangi bir saldırıdan etkili bir şekilde korunabilir.
Eğer her karakter, iletimden önce tek tek şifrelenirse, bu prosedür sıralı şifreleme (akış şifreleme) olarak adlandırılır. Öte yandan, bir bloğa bağlı birkaç karakter eklendiyse, bir blok şifreden bahsetmiş oluruz.

Etiketlerin Korunumu

Etiketlerin monte edildiği ürünlerden sökülmesini önlemenin yolları da mevcuttur. Etiketler, saldırganın kolaylıkla bulamayacağı yerlere yerleştirilebilir. Etiketin sökülmesiyle, ürüne zarar verebilecek şekilde monte edilmesi de bir başka çözümdür. Aktif etiket kullanılıyorsa, bir sensör yardımı ile etikete müdahale edildiği bilgisi, etiketin verilerine kaydedilebilir ve bu bilgi, okuyucunun okuma alanına girdiğinde alarm mesajı gönderebilir. Değerli objelerde RFID ve barkod bir adada kullanılabilir. Etiket ve barkod arasındaki ilişki bir veri bankasında kayıtlı tutulur. Manuel kontrol yardımı ile etiketin doğru objede bulunup bulunmadığı kontrol edilebilir. Gerekli durumlarda “Kill” komutu ile etiketin etkinliği daimi olarak sonlandırılabilir ya da “Lock” komutu kullanımı ile istendiği zaman tekrar aktif olacak şekilde çözüm getirilebilir. Bu sayede etiketin yetkisiz kişilerce etiketin okunması ve izlenmesinin önüne geçilebilir.

Sonuç

Yukarıdaki açıklamalardan da anlaşılacağı üzere, bir saldırıyı önlemek için birden fazla metot ve prosedür mevcuttur. Getirilen bu tür teknolojik çözümler sayesinde; RFID teknolojisi, korku ve çekince duyan tüketici ve şirketlere bu teknolojinin güvenilirliği kanıtlanmış ve sektörün vazgeçilmez bir parçası olmuştur; “Amazon” gibi dünya çapındaki e-ticaret şirketleri ve Şoteks Etiket A.Ş.’nin de müşterileri arasında olan “Inditex” gibi tekstil devleri bünyelerine bu teknolojiyi katmışlardır.

Teknoloji gelişmelerini ve çözümlerini yakından takip ettiğimiz için, bu alanda güvenliğe oldukça önem veriyoruz. Şoteks Etiket olarak; müşterilerimize yüksek güvenlikli şifrelemeler ve çözümlerle verilerin korunduğu, güvenilir ve dayanıklı RFID etiketler sağlıyoruz. Şoteks Etiket, bu alanda verdiği hizmetler sayesinde edindiği tecrübeyle, bu konudaki tüm talep ve sorularınızı karşılamaya, yenilikçi çözümler üretmeye devam edecektir.

Free Events Calendar Plugin