De risico s van een RFID-systeem



Vergelijkbare documenten
Het merkteken van het beest. Maatregelen bij het gebruik van RFID

Little RFI D. Wim de Rooij. Nedap N.V.

B A S I S K E N NI S R F I D

RFID. Radio Frequency IDentification

Het EPCglobal-netwerk: Wereldwijd paspoort voor RFID

DE MOGELIJKHEDEN VAN RFID ALS TECHNOLOGIE VOOR TRACKING EN IDENTIFICATIE IR. BJORN VAN KEYMEULEN

Sleutel en bedrijfsmiddelen beheer

RFID tamper evidence tijdperk

Wandlezer online. Ethernet / RS485. Virtueel netwerk met offline cilinders. Ethernet / RS485. Programmeer station. Ethernet / VPN VPN

Toegangscontrolesystemen en identificatiemiddelen

Gebruik van RFiD levert geld op Barcode kost geld! Gebruik van RFiD levert geld op! Geertjan Hendriks Field application engineer

Pindakaas met een unieke digitale code

RFID in de PCB van de toekomst. Marc Geerdink Twan van Eijndhoven

Greencore Presentatie. Symposium RFID voor Logistiek en de Agro sector door: Herman Jeurissen, Jos van Loon

welke voorwaarden biometrische identificatiesystemen moeten voldoen. Hierna wordt heel beknopt ingegaan op drie aspecten van deze regelgeving.

Creatief met Claim Check VNSG Tips & Tricks juni 2017

Beschrijving pseudonimisatieplatform ZorgTTP

DATALOGGERS. Technolog - Cello 8-kanaals CELLO 8 KANAALS SMS/GPRS DATALOGGER

Setup van uw Norman Online Protection account

Een Personalisatie. Een Database

Technische beschrijving pseudonimisatie gegevensverzameling NIVEL Zorgregistraties eerste lijn

Privacy en andere juridische aspecten van RFID: unieke identificatie op afstand van producten en personen

Technische beschrijving pseudonimisatie gegevensverzameling NIVEL Zorgregistraties eerste lijn

[kop] RFID-technologie is voor De Ree Holland een automatisch controlemiddel op het laden

Functioneel ontwerp. Regisseur

Hoogfrequent technieken.

Beschrijving maatregelen Informatie beveiliging centrale omgeving

beheer en managementsysteem voor minicontainers

Lt. Bruno de Ras Academiejaar Hardware Study

Privacyverklaring, cookieverklaring en disclaimer ihandhaving

Printed Electronics. 17 februari Nieuwegein. Albert Noppen

DigiD SSL. Versie Datum 16 augustus 2010 Status Definitief

NFC, Smartphones en secundaire processen / facility management

Voorbeelden generieke inrichting Digikoppeling

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van

Elektronische meubelsluitsystemen: Hettlock RFID

AlarmLocator

Welke bijdrage leveren digitale sensoren voor de Smart Industry?

RAM geheugens. Jan Genoe KHLim. Situering RAM-geheugens. Geheugens. Halfgeleider Geheugens. Willekeurig toegankelijk geheugen

PRIVACYBELEID. Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam

MULTIMEDIABOX.nl Custom made solutions hardware & software. Advanced Menu

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s

Cookies, web--bakens en soortgelijke technologieën.

MAAK JE PASSEN UNIEK MET PERSONALISATIE

YOUPROVIDE. Security aspecten

Inleiding RFID. 1. Fontys Hogeschool 2. RFID Kenniscentrum 3. Theorie RFID 4. Voorbeelden

RFID transponder en of barcode scanner

Beknopte gids ME401-2

Cookies! Meer uitleg vindt u hieronder in onze privacy verklaring.

Mobiele interactie met barcodes en andere tags

Beveiliging en bescherming privacy

Beveiligingsbeleid Stichting Kennisnet

Ontmanteling contactloze chipkaart

De Nationale Bibliotheekkaart Brancheformule

Kenmerken Nomadesk Software

Les A-02 Informatie: de barcode

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy beleid Aurora Princess

Met het MKP-300 bediendeel kunt u het MICRA Alarmsysteem bedienen. Deze werkt alleen als de MICRA module in de alarm module mode is ingesteld.

de Voorzitter van de Tweede Kamer der Staten-Generaal Plein CR Den Haag D Schriftelijke vragen Mifare chip

Smart cards en EMV. Joeri de Ruiter. Digital Security, Radboud University Nijmegen

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

jìëé]iáñé=j=cê~ãéïçêâ=îççê=ocfajöéä~ëééêçé= bçìd~ãéë=áå=jìëé~

P7 4D voortgangsregistratie

Japan bouwt met RFID aan een Ubiquitous Network Society

Cloud dienstverlening en Informatiebeveiliging. ISACA Round Table Assen - Maart 2017

Privacy Policy v Stone Internet Services bvba

Monitoring. SolidBE B.V. Maarten Schoutenstraat SV Waddinxveen

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

VSS Security kan verder informatie verzamelen over uw gebruik van de website. Dit met behulp van verschillende techniek, waaronder cookies.

Deep Orange RFID Reader. Manual v

Programma Borging veilige gegevensuitwisseling via Suwinet Implementatie gemeenten. Startbijeenkomsten 12 provincies september 2016

Elektronische vrachtbrief

Joy in Creation Privacyverklaring

Gebruikershandleiding Scan-It NEN 3140 Version: 1.1

Gebruikershandleiding Version 1.2

Horeca NFC. Eenvoudig contactloos betalen

Algemene voorwaarden Versie 1.2 Therapieland B.V. Nieuwendammerdijk BX Amsterdam

7/2017. GSM relais en 3 ingangen GSM OPENER PROGRAMMATIE HANDLEIDING

0.1 Opzet Marijn van Schoote 4 januari 2016

MiBlock gebruikershandleiding

Centrale label management systemen

SIM plaatsen rode en groene LED

Meervoudige Smart-Card Duplicator. Gebruiksaanwijzing

Wat is RFID? Een RFID systeem

Privacyverklaring. Als je naar aanleiding van deze privacyverklaring contact met ons wilt opnemen, dan kan dat via onderstaande contactgegevens.

Technisch Ontwerp W e b s i t e W O S I

Rijkspas: veiligheid en flexibiliteit. ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011

detection b VeiLigHeid is niet optioneel!

Software Test Plan. Yannick Verschueren

oé~äjíáãé=îçäöéå=éå=áçéåíáñáåéêéå=î~å=éêççìåíéå=áå=çé= ëìééäó=åü~áå=ãkäkîk=ocfa

Track & Trace. Digitaliseren van productdata

Internet of Things in perspectief geplaatst. Herman Tuininga. Oktober 10, 2017

ez Mailing Manager - Create your First Campaign

DIGITAAL SLUITSYSTEEM. ZONDER BATTERIJEN. ZONDER ZORGEN.

versie: 1.0 status: vrijgegeven door: J.Eberson datum: 15 augustus 2005 aangepast: 19 februari 2006 concept beschrijving

Transcriptie:

De risico s van een RFID-systeem Auteur: ir. Erica Zaaiman > Erica Zaaiman is als adviseur werkzaam bij de Security & Technology groep van PricewaterhouseCoopers Advisory N.V. (e-mail: erica.zaaiman@nl.pwc.com) Toepassingen Vanuit de samenleving bestaat steeds meer interesse voor RFID vanwege het steeds kleinere formaat van de RFIDchips en de steeds lagere prijs. RFID wordt onder andere gebruikt voor de volgende toepassingen: In het lichaam geïmplanteerde toegangspas bij de Baja Beach Club, waarbij de chip gebruikt wordt om bezoekers te herkennen. De bezoeker krijgt hiermee toegang tot de VIP lounge en tevens kan betaald worden vanaf de rekening bij de Baja Beach Club. Supply chain management in bijvoorbeeld een boekenwinkel, waarbij boeken eenvoudiger (per doos in plaats van stuk voor stuk) gescand kunnen worden. De logistiek en het voorraadbeheer worden hiermee eenvoudiger. Uiteindelijk is het de bedoeling om ook de dienstverlening te verbeteren doordat de locatie van boeken bekend is en door de mogelijkheid om klanten automatisch op de hoogte te stellen van het feit dat een besteld boek binnen is. Medische toepassingen zoals het identificeren van (de medische geschiedenis van) patiënten door middel van het gebruik van RFIDtags in polsbandjes en verificatie van geneesmiddelen door middel van het opnemen van een RFID-tag in de verpakking, zodat door de verkoper gecontroleerd kan worden of de inhoud geen nepmedicijnen bevat. Bewaking van gevangenen door middel van het gebruik van polsbandjes met RFID-tags, waardoor hun bewegingen te volgen zijn. RFID (radio frequency identification) wordt steeds meer toegepast, variërend van logistieke toepassingen (supply chain management) tot en met toegangscontrole. Een recent voorbeeld is het nieuwe Nederlandse paspoort. Door de steeds bredere toepassingen van RFID is het relevant om op de hoogte te zijn van de specifieke beveiligingsrisico s en -maatregelen van RFID-systemen. In dit artikel zal allereerst een beknopte technische toelichting van een RFID-systeem gegeven worden. Door middel van een risicoanalyse zal ingegaan worden op de specifieke beveiligingsrisico s, waarbij tevens de mogelijk te treffen maatregelen aangegeven zullen worden. Daarna zal ingegaan worden op de risico s met betrekking tot standaardisatie en wetgeving. Technische toelichting Een RFID-systeem bestaat uit een RFID-tag, een reader en de back-end systemen (zie figuur 1). De back-end systemen zijn normale computersystemen en de communicatie tussen deze systemen en de reader vindt plaats via normale fysieke of draadloze communicatie. De RFID-tag De RFID-tag bevindt zich op of in het te identificeren product (zie figuur 2). Classificatie van tags is mogelijk op twee manieren, namelijk door de mogelijkheden van de tag (passief, Figuur 1 actief en semi-actief) en de mogelijkheid om gegevens te herschrijven (RO, WORM en ). Deze twee eigenschappen zijn onafhankelijk van elkaar te combineren. Een tag bestaat uit een microchip en een antenne. Daarnaast heeft een (semi-)actieve tag een eigen energiebron (bijvoorbeeld een batterij of gebaseerd op zonne-energie) en elektronica voor het uitvoeren van een specifieke taak. Doordat de passieve tag geen eigen energiebron heeft, is deze voor zijn energie afhankelijk van de radiogolf van de reader (hierdoor kan deze tag alleen informatie versturen op verzoek van de reader). Een actieve tag gebruikt zijn eigen energiebron om gegevens te transporteren naar de reader en voor de elektronica. Indien de batterij van een tag leeg is, kan een reader niet vaststellen of het onmogelijk is om een tag uit te lezen, doordat deze zich niet meer in de leeszone bevindt of doordat deze een lege batterij heeft. De reader kan eventueel Figuur 2 INFORMATIEBEVEILIGING NOVEMBER 2006 11

vaststellen dat de batterij de oorzaak is, indien de tag de status van de batterij aan de reader meldt. Met betrekking tot de communicatie met de reader zijn actieve tags te verdelen in twee categorieën, namelijk een transmitter of een transponder. Een transmitter verzendt zijn gegevens continu naar de omgeving en zal zodoende altijd de communicatie met de reader beginnen. De transponder wacht op een specifiek commando van de reader voordat hij zijn gegevens verstuurt. Hij spaart hiermee energie van de energiebron, omdat hij zich tijdens het wachten in een slaaptoestand bevindt. Een semi-actieve (semi-passieve) tag gebruikt de energiebron alleen voor het leveren van energie aan de elektronica en niet voor het verzenden van de gegevens. Hiervoor wordt gebruikgemaakt van de energie van de radiogolf van de reader. opgenomen in de lijst van gelezen tags. Een item op deze lijst heeft een zogenaamde permanente tijd. Indien een tag binnen dit tijdsbestek niet opnieuw gelezen wordt, wordt hij verwijderd van de lijst. Op de lijst wordt bijvoorbeeld de volgende informatie bijgehouden: het unieke ID van de tag, het tijdstip van lezen, hoe vaak een tag gelezen is sinds deze voor de eerste maal gelezen is, het ID van de antenne welke de tag gelezen heeft (in verband met het uitfilteren van duplicaten) en de naam van de reader. Deze lijst wordt opgeslagen in het memory van de reader. mando s van een applicatie op de host (automatisch) of van een gebruiker door middel van een cliënt (handmatig) en voert deze vervolgens uit. De communicatie van de reader met de tags (zie figuur 5) verloopt via de reader antenne. De antenne verzendt het RFsignaal van de reader en ontvangt namens de reader de antwoorden van de tags. De leeszone van de antenne wordt bepaald door de footprint. Generiek is een footprint een driedimensionale regio welke de vorm heeft van een ellipsoïde of een ballon. In de Figuur 4 Voor wat betreft het herschrijven van de gegevens op de tag kan onderscheid worden gemaakt tussen RO (read-only), WORM (write once, read many) en (read-write). Een RO-tag wordt bij de productie in de fabriek geprogrammeerd, terwijl een WORMtag door de gebruiker van de tag geprogrammeerd wordt. Een -tag kan meerdere malen geprogrammeerd worden door een reader of een actieve tag door de aanwezigheid van Flash memory of FRAM (Ferroelectric Random Access Memory). De reader kan hem periodiek versturen aan een applicatie op de back-end systemen (zie figuur 4). Als er tijdelijk geen verbinding is tussen de reader en de back-end systemen, zullen hierdoor in eerste instantie geen gegevens verloren gaan. Het memory heeft echter een limiet, waardoor het overschreven wordt conform het FIFO-principe (First In First Out). Een interactieve reader ontvangt com- Figuur 3 praktijk is een footprint nooit uniform gevormd, maar heeft deze altijd vergroeiingen en uitsteeksels. Hierdoor zal een tag niet altijd gelezen worden aan de randen van een antenne footprint. De antenne footprint is afhankelijk van de omgeving, dus zal deze bepaald moeten worden door middel van signaalanalyse. De communicatie tussen de reader en de tag kan van de volgende types zijn: modulated backscatter; transmitter type; transponder type. Bij modulated backscatter communicatie wordt gebruikgemaakt van passieve en semi-actieve tags. De reader zendt hierbij een continue RF-signaal, welke bestaat uit energie en een kloksignaal. De microchip gebruikt de verkregen energie om een signaal terug te sturen De reader De reader (zie figuur 3) kan gegevens lezen van en schrijven naar compatibele RFID-tags, waarbij de werkwijze afhankelijk is van de gebruikte modus (autonoom of interactief). In de autonome modus leest een reader alle compatibele tags die zich in de leeszone bevinden. Elke keer dat een tag gelezen wordt, wordt deze Figuur 5 12 INFORMATIEBEVEILIGING NOVEMBER 2006

naar de reader. Transmitter type communicatie wordt alleen gebruikt door actieve tags. De tag verzendt hierbij zijn eigen bericht met regelmatige intervallen naar de omgeving, onafhankelijk van het feit of zich hierin een reader bevindt of niet. Transponder type communicatie wordt gebruikt door de transponder. Tijdens de slaaptoestand van de tag, zendt deze tag periodiek een bericht om te controleren of een reader luistert. Indien een reader het bericht ontvangt, kan deze de tag instrueren om de slaaptoestand te beëindigen. Als zo n bericht van een reader ontvangen wordt door een tag, zal deze zich gaan gedragen als een transmitter. De communicatie tussen de tag en de reader vindt plaats op de RFID frequenties: LF (low frequency); HF (high frequency); VHF (very high frequency); UHF (ultra high frequency); Microwave frequency. In tabel 1 zijn deze opgenomen inclusief de gebruikte frequentie en tag (in Europa). Naam Frequentie Tag LF 125-134 KHz Passief HF 13,56 MHz Passief VHF 30-300 MHz Niet van toepassing, wordt niet gebruikt UHF 865-865,5 MHz, Actief en passief 0,1 watts ERP 865,6-867,6 MHz, 2 watts ERP 867,6-868 MHz, 0,5 watts ERP Microwave 2,45 GHz Semi-actief en passief Tabel 1: RFID frequenties in Europa Back-end systemen De back-end systemen (zie figuur 6) zijn bedoeld voor de integratie van de tags en de reader(s) met de bedrijfsprocessen. Taken die hierbij onder andere uitgevoerd worden zijn: -het uitfilteren van duplicaten van verschillende readers; -het samenvoegen en selectief verzenden van gegevens aan de back-end systemen; -het managen van readers; -het efficiënt beheren van gegevens welke geproduceerd worden door het RFID-systeem; -het verzorgen van generieke componenten welke gebruikt kunnen worden bij de implementatie van filtering en aggregatie. Risicoanalyse Vanuit deze toelichting op de werkwijze van RFID is het duidelijk dat RFIDsystemen een aantal risico s kennen. Om tot een gestructureerd overzicht van de risico s van een RFID-systeem te komen, is een risicoanalyse uitgevoerd, welke hieronder toegelicht zal worden. Vanzelfsprekend zal bij de implementatie van een RFID-systeem een eigen risicoanalyse worden uitgevoerd naar de specifieke risico s van het betreffende systeem, waarbij onderstaande risicoanalyse als uitgangspunt genomen kan worden. De risicoanalyse is gebaseerd op de kwaliteitsaspecten continuïteit, exclusiviteit en integriteit zoals geformuleerd door de NOREA. De resultaten van de risicoanalyse zijn opgenomen in figuur 7. De risico s voor de communicatie tussen de reader en de back-end systemen zijn ook risico s voor de com- municatie tussen de diverse back-end systemen. Tevens gelden de risico s voor de back-end systemen ook voor de reader. De belangrijkste risico s inclusief toelichting en bedreigde kwaliteitsaspecten zijn opgenomen in tabel 2. Beveiligingsmaatregelen De risico s zijn te voorkomen door het nemen van verschillende maatregelen, welke achtereenvolgend kort toegelicht zullen worden voor de tag, de communicatie tussen tag en reader, de reader en de back-end systemen inclusief communicatie. Het ongeautoriseerd uitlezen van de tag (risico s 1, 2, 3 en 4) kan op een aantal manieren voorkomen worden: het (tijdelijk) deactiveren indien deze (tijdelijk) niet noodzakelijk is door middel van het gebruik van een killcommando of het plaatsen in een kooi van Faraday. De kooi van Faraday kan ook toegepast worden door de gebruiker van de tag, waardoor deze een grotere keuzevrijheid heeft met betrekking tot het wel of niet lasten uitlezen van de tag. het gebruik van een transponder, omdat deze alleen reageert op een verzoek om informatie van de reader. Tussendoor bevindt deze zich in een slaaptoestand en verstuurt deze geen informatie. Hierbij moet wel opgemerkt worden dat deze een batterij heeft en daardoor een Figuur 7 Figuur 6 beperkte levensduur. het gebruik van authenticatiemethoden, waardoor niet-geauthenticeerde readers alleen de aanwezigheid van een tag kunnen vaststellen, maar niet kunnen bepalen welke tag het is. Het verwijderen van een tag van een object (risico 5) kan niet geheel voorkomen worden. Te nemen maatregelen INFORMATIEBEVEILIGING NOVEMBER 2006 13

Nr, Risico Toelichting C E I 1 Gegevens Gegevens op de tag kunnen gewijzigd worden, zodat op tag wijzigen verkeerde informatie naar de reader toegezonden wordt. 2 Tag uitlezen Elke reader kan een compatibel tag uitlezen (ook als voor de gebruiker onbekend is dat een reader en/of tag aanwezig is). Hierdoor is het mogelijk om tags te volgen en op elke willekeurige locatie uit te lezen. Het is bijvoorbeeld ook mogelijk om bij de eerste generatie RFID-chips de sleutel te achterhalen, omdat deze niet goed beveiligd zijn. 3 Identiteit tag Door de unieke identificatie en de beveiligingsinformatie van vervalsen een tag te gebruiken, kan de betreffende tag gekloond of nagebootst worden. 4 Tag deactiveren Het is mogelijk een tag te deactiveren door deze mechanisch (bijvoorbeeld een kill-commando of een batterij van een actieve tag ontladen door deze veel te bevragen) of chemisch (bijvoorbeeld straling van een magnetron) stuk te maken. 5 Tag verwijderen Het is mogelijk om een tag te verwijderen van het object waarop deze zich bevindt. 6 Communicatie Door het afluisteren van de communicatie tussen de tag en de tag en reader reader is bekend welke tags zich waar bevinden, welke afluisteren informatie een reader opvraagt en welke informatie een tag geeft. 7 Communicatie Door bijvoorbeeld veel tags te simuleren, een stoorzender te tag en reader plaatsen, de gebruikte frequentie te verstoren of tags te verstoren, verpakken in metaal (kooi van Faraday) is het mogelijk om de wijzigen of communicatie tussen tag en reader te verstoren of te blokkeren. blokkeren Daarnaast is het mogelijk om de communicatie tussen de tag en reader op te vangen en zelf nieuwe te versturen (man-in-the-middle attack). 8 Identiteit reader In bepaalde systemen dient de reader zich te autoriseren aan vervalsen de tags. Door de identiteit van de reader te vervalsen kan informatie van de tags en de back-end systemen verkregen worden, maar kan ook informatie verstuurd worden naar de back-end systemen. 9 Beperkte De reader heeft een beperkte capaciteit om gegevens op te geheugen- slaan indien geen communicatie met de back-end systemen capaciteit reader mogelijk is. Indien deze capaciteit vol is, zal het geheugen overschreven worden conform het FIFO-principe (verlies van informatie). 10 Normale risico s Tussen de back-end systemen onderling en de reader wordt communicatie gebruiktgemaakt van de normale communicatiemiddelen. Hiervoor gelden de risico s welke ook voor normale communicatie van toepassing zijn. 11 Normale risico s De back-end systemen zijn normale computersystemen, computer- waarvoor de risico s gelden welke ook voor normale systemen systemen van toepassing zijn. Tabel 2: Risicoanalyse incl. bedreigde kwaliteitsaspecten (C(ontinuïteit), E(xclusiviteit) en I(ntegriteit)) zijn afhankelijk van het object, de locatie van de tag en de houding van het individu ten opzichte van RFID. Een kosten-/batenanalyse zal uitgevoerd moeten worden om de te nemen maatregelen te bepalen. De communicatie tussen de tag en de reader (risico s 6, 7 en 8) kan beschermd worden door middel van het versleutelen van deze informatie, het authenticeren van reader en tag en het gebruik van een checksum. Het verstoren of blokkeren van deze communicatie kan niet geheel voorkomen worden, omdat het onmogelijk is om de omgeving geheel te conditioneren. Om ervoor te zorgen dat de reader alle verkregen informatie van de tags kan opslaan in zijn geheugen (risico 9) is het noodzakelijk om te zorgen voor voldoende geheugen (afhankelijk van het gebruik van het systeem) ofwel een hoge beschikbaarheid van de achterliggende systemen en de communicatie infrastructuur (bijvoorbeeld redundant uitvoeren), waardoor de lijst met informatie altijd verstuurd kan worden. De risico s voor de back-end systemen en de communicatie (risico s 10 en 11) zullen bepaald moeten worden door middel van een risicoanalyse. Aan de hand van de risicoanalyse kunnen de te nemen maatregelen bepaald worden. Standaardisatie Een risico met betrekking tot RFID is de afwezigheid van één standaard. De volgende organisaties hebben onder andere standaarden opgesteld voor RFID: ANSI (American National Standards Institute) AIAG (Automotive Industry Action Group) EAN.UCC (European Article Numbering Association International, Uniform Code Council) EPCglobal ISO (International Organization for Standardization) CEN (Comité Européen Normalisation) ETSI (European Telecommunications Standards Institute) ERO (European Radiocommunications Office) UPU (Universal Postal Union) ASTM (American Society for Testing and Materials) De standaard van EPCglobal heeft de grootste kans om wereldwijd geadopteerd te worden mede doordat deze niet specifiek is voor een bepaalde toepassing. EPCglobal gebruikt de Electronic Product Code (EPC) om een product uniek te identificeren. Deze EPC bevat geen informatie over het product. Een EPC bestaat uit vier onderdelen: een header welke de gebruikte EPC versie aangeeft; een manager number, welke de bedrijfsnaam of het domein aangeeft; een object class, welke het classtype van het object aangeeft; een serial number, welke een nummer aan het object meegeeft. EPCglobal heeft object classes gespecificeerd, waarvan de specificaties in tabel 3 zijn opgenomen. Een kill commando houdt in dat de tag de gegevens in zijn geheugen verwijdert of zichzelf zodanig opnieuw configureert dat communicatie met een reader niet meer mogelijk is. De tags van class 0 en 1 zijn niet uitwisselbaar. Deze tags zullen vervangen gaan worden door class 1 UHF Generation 2 tag (ook wel EPC Gen 2 14 INFORMATIEBEVEILIGING NOVEMBER 2006

Class Soort tag Bits Frequency 0 Passief 64 bits EPC UHF Class 0: RO Class 0+: WORM 1 Passief Class 1: 96 Class 1: UHF Class 1: WORM bits EPC HF Gen 2: Gen 2: 96 Gen 2: UHF bits EPC,32 bits foutcorrectie en kill commando 2 Passief In ieder geval 224 bits gebruikersdata 3 Actief Nog niet gespecificeerde hoeveelheid gebruikersdata 4 Actief Nog niet gespecificeerde hoeveelheid gebruikersdata Tabel 3: Specificaties object classes EPCglobal of Gen 2 tag genoemd). De classes 2, 3 en 4 bevinden zich momenteel nog in de prototype fase. Het toewijzen van één of meerdere blokken EPC vindt plaats door de EPC manager (onderdeel van het RFID-systeem bij de organisatie welke RFID gebruikt). Deze rechten heeft de EPC Manager ontvangen van de Issuing Agency (instantie van EPCglobal). De EPC Manager heeft twee unieke verantwoordelijkheden: het uitgeven van een EPC aan een fysiek object of een andere identiteit, waarbij de uniekheid van EPC s behouden moet blijven; het bijhouden van de Object Name Service (ONS) informatie over het blok of de blokken EPC s, welke door de EPC Manager onderhouden worden (indien EPC s alleen bij een EPC Manager gebruikt worden is dit niet noodzakelijk). De ONS kan vergeleken worden met een DNS. De ONS ontvangt als input een EPC en hij produceert als output een adres, waar deze EPC gevonden kan worden. Voor EPC-tags, interface protocollen en back-end systemen zijn specificaties beschikbaar, zodat readers, tags en software van verschillende leveranciers interoperabel zijn. Wetgeving Nederland heeft nog geen wetgeving met betrekking tot RFID. De enige uitzondering hierop is de Wet Bescherming Persoonsgegevens, welke alleen van toepassing is indien de gegevens in een RFID-systeem herleidbaar zijn tot een individu. De fractie van de ChristenUnie in de Tweede Kamer heeft in mei 2005 een notitie geschreven over RFID naar aanleiding van de berichten in de media over de steeds bredere toepassingsmogelijkheden van RFID. In de notitie worden door de ChristenUnie maatregelen voorgesteld met betrekking tot RFID, welke zich richten op het aanpassen/opstellen van wetgeving, het onderzoeken van de gevolgen van RFID, de beveiliging van RFID en het informeren/voorlichten van burgers/consumenten. De technologiecommissie van de Tweede Kamer organiseerde op 5 april 2006 een themabijeenkomst over RFIDtechnologie in samenwerking met het RFID Platform Nederland en ECP.NL. Tijdens de bijeenkomst werden twee debatten gevoerd over respectievelijk de kansen en mogelijke risico s bij het gebruik van RFID-technologie in Nederland. Het debat over de kansen en mogelijkheden van RFID voor Nederland ging voornamelijk over de rolverdeling tussen overheid en bedrijfsleven bij het stimuleren van de ontwikkeling van RFID. De rol die de de overheid werd toebedeeld, lag vooral in het stimuleren van de toepassing van RFID, voorlichting en bewustwording rond RFID en het stimuleren van het standaardisatiewerk. Het debat over de mogelijke risico s van RFID voor Nederland maakte duidelijk dat de consument de grootst mogelijke keuzevrijheid moet hebben bij de acceptatie van RFID en dat de huidige wetgeving niet gewijzigd hoeft te worden in het kader van RFID, maar wel verduidelijkt. Concluderend werd gesteld dat de invoering van RFID op een verantwoorde wijze plaats dient te vinden, waarbij het een gezamenlijke taak van de overheid, aanbieders, gebruikers en maatschappelijke organisaties is om dit voorspoedig te laten verlopen. Ook de Europese Commissie is begonnen met een debat over de kansen en bedreigingen van RFID voor overheid, bedrijven en maatschappij. Dit debat is begonnen met een paneldiscussie tijdens CeBIT 2006. Gevolgd door vijf workshops (maart tot en met juni 2006). Op basis van de workshops zal een rapport opgesteld worden, waarover online gediscussieerd kan worden. Dit zal resulteren in een definitieve versie van dit rapport. Conclusie Het gebruik van een RFID-systeem brengt diverse risico s met zich mee. Afhankelijk van de toepassing van het betreffende systeem, zullen deze risico s consequenties hebben voor de toepassing van het systeem. Bij de implementatie van een RFID-systeem zal zodoende een risicoanalyse uitgevoerd moeten worden om te bepalen welke specifieke risico s gelopen worden en welke maatregelen zodoende noodzakelijk zijn. Startpunt voor het uitvoeren van deze risicoanalyse kan de in dit artikel opgenomen risicoanalyse zijn. Literatuurlijst: Lahiri, S., RFID Sourcebook. International Business Machines Corporation, 2006.

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback