En el contexto de un proyecto financiado por el FSF (Austrian Science Fund), un grupo de investigadores de Graz analizó un IoT basada en chips RFID sin sacrificar la seguridad.

Los chips RFID son componentes electrónicos simples que frecuentemente encontramos en nuestra vida cotidiana, por ejemplo en forma de etiquetas de seguridad antirrobo en tiendas, pases de esquí electrónicos o elementos integrados en la ropa que se retiran después de la compra. Los chips RFID también se han integrado en los pasaportes desde hace unos años. En esencia, las "etiquetas de identificación de radiofrecuencia pasivas", como se llaman los chips en la jerga técnica, son pequeños y finos ordenadores rudimentarios que no tienen su propia fuente de alimentación sino que funcionan sólo con la energía que reciben mediante una antena. Su coste de producción típico: unos pocos centimos. En teoría, se pueden utilizar para conectar objetos con Internet, creando así un "Internet de las cosas" (IoT). Se espera que los dispositivos que intercambien datos con Internet aumenten la eficiencia y reduzcan el precio de la fabricación industrial futura, la conducción autónoma y muchos otros campos. Al igual que con otros objetos conectados de uso cotidiano, la seguridad es un problema, los coches inteligentes cuyos frenos pueden ser hackeados a través de WLAN o juguetes habilitados para Internet que no están protegidos contra la piratería, son sólo una pequeña muestra de los desafíos por delante. Un grupo de investigación del Instituto de Procesamiento de Información Aplicada y Comunicación de la Universidad Tecnológica de Graz (TU Graz) ha investigado ahora las cuestiones de seguridad relacionadas con un IoT basado en RFID en un proyecto apoyado por el FWF.

RFID para sistemas abiertos
"La visión de Internet de las cosas tal como la entendemos es que los ordenadores sean conscientes de su entorno", afirma Hannes Groß de TU Graz. "Equipa el entorno con sensores, conecta con ordenadores y utiliza los datos para la optimización de procesos". Los chips RFID, también llamados tags, son particularmente adecuados para esto, explica Groß. Las aplicaciones existentes de etiquetas RFID se utilizan para sistemas cerrados como centros de logística o tiendas minoristas y no constituyen realmente un IoT, dice Groß. "Queremos diseñar un IoT abierto con etiquetas RFID, y estudiamos las soluciones de seguridad requeridas en este contexto".

Groß ofrece varios ejemplos de aplicaciones en las que la seguridad es un problema crítico. Un área es la autenticación, por ejemplo, para pasaportes o llaves de coche sin contacto. Una etiqueta RFID que cumpla con estas tareas debe estar a prueba de falsificaciones. La privacidad es otra área de este tipo: en este caso, es importante que la etiqueta transmita información sólo a un destinatario en quien confía.

Requisitos similares para un teléfono móvil
Todas estas cuestiones se conocen desde otras áreas de la seguridad informática, y hay soluciones criptográficas para ellos. "Desde el punto de vista criptográfico, los requisitos son similares a los de un teléfono móvil", afirma Groß. La diferencia reside en la potencia de procesamiento limitado de las etiquetas RFID. "Debido a que las etiquetas necesitan trabajar con tan poca potencia, por lo general se trata de externalizar tantas funciones como sea posible para el lector". Las etiquetas RFID funcionan sólo en combinación con lectores especiales de RFID. En tiendas, por ejemplo, están instaladas en la salida, bien visibles para todos, y suena una alarma si una etiqueta se acerca demasiado. Para evitar que las etiquetas compartan información confidencial con cualquier lector, incluyendo una usada por un atacante, necesitan tener capacidades de autoprotección. Esto significa que el procesamiento relacionado no puede ser subcontratado. "Todos los cálculos criptográficos deben hacerse en la etiqueta, aunque no hay prácticamente ningún recurso de procesamiento disponible en ellos."

Esto tiene varias consecuencias: "Cada medida de mejora de la seguridad hace que la etiqueta sea más grande y más cara", señala Groß. El poder de procesamiento es otro factor. "Podemos calcular procesos criptográficos usando relativamente poca potencia, dividiéndolos en simples pasos individuales para asegurarnos de que la etiqueta sólo calcula algunas cosas al mismo tiempo, pero esto significa que necesita más tiempo para hacerlo", dice Groß. Todo esto tiene que ver con la viabilidad cotidiana de la tecnología.

Un prototipo llamado PIONEER
Groß y su grupo analizaron varios protocolos de seguridad comunes y estudiaron su uso en etiquetas RFID. "Simulamos diferentes escenarios de ataque y observamos medidas defensivas", explica Groß. Para fines de demostración desarrollaron un prototipo de etiqueta RFID llamado PIONEER que se comunica con un servidor en Internet a través de un protocolo estándar para "redes privadas virtuales" (VPNs). El protocolo fue adaptado para garantizar que se integra perfectamente en la infraestructura de Internet existente y, además, protege el anonimato de las etiquetas. El prototipo está equipado con sensores y puede enviar los datos que graba en forma encriptada.

Groß considera que llevará tiempo hasta que el dispositivo esté listo para su uso práctico. El hecho de que se trate de una cuestión importante es ilustrado por las críticas a veces dirigidas contra la tecnología RFID, que depende de la falta de protección de las etiquetas con los problemas de seguridad de datos resultantes. Las nuevas soluciones deberían remediar esta situación.

Detalles personales
Hannes Groß (https://www.iaik.tugraz.at/content/about_iaik/people/gross_hannes/) es un estudiante de doctorado en el Instituto de Procesamiento de Información Aplicada y Comunicación (https://www.iaik.tugraz.at/ ) En la Universidad de Tecnología de Graz (TU Graz). En su investigación se centra en la seguridad RFID, la implementación segura de hardware y medidas contra ataques de canal lateral.

Publicaciones

Hannes Groß, Marko Hölbl, Daniel Slamanig, Raphael Spreitzer: Autenticación confidencial en la Internet de las cosas (https://online.tugraz.at/tug_online/voe_main2.getvolltext?pCurrPk=86804) - 14ª Conferencia Internacional sobre Criptología y Red Seguridad (CANS 2015) 10-12 de diciembre de 2015, Marrakesh, Marruecos.

Hanion Groß, Erich Wenger, Honorio Martín, Michael Hutter: PIONEER - un prototipo para la Internet de las cosas basado en una etiqueta extensible EPC Gen2 RFID (https://www.iaik.tugraz.at/content/research/rfid/rit/ Publicaciones / papers / pioneer.pdf) - Taller sobre Seguridad RFID - RFIDsec 2014, 10th Workshop, Oxford, Reino Unido, 21-23 de julio de 2014, Proceedings.

Hannes Groß: Compartir es la protección de las unidades de lógica aritmética contra los ataques físicos pasivos (https://online.tugraz.at/tug_online/voe_main2.getvolltext?pCurrPk=84553) - Taller sobre RFID Security - RFIDsec 2015, 11th Workshop , Nueva York, Estados Unidos, del 22 al 23 de junio de 2014, Proceedings.

Peter Peßl, Michael Hutter: Curved Tags - Una implementación ECDSA de bajo recursos adaptada a RFID (https://www.iaik.tugraz.at/content/research/rfid/rit/publications/papers/curved_tags_ecdsa.pdf) - Taller sobre RFID Security - RFIDsec 2014, 10th Workshop, Oxford, Reino Unido, 21 de julio -23, 2014, Proceedings.

Más información