發布日期:2022-07-14 點擊率:46
手機和RFID讀取器或標簽之間數據交換的細節在NFC論壇上都有詳細介紹。該論壇是一個由全部主要手機制造商、網絡運營商、軟件公司、潛在用戶,以及一些研究實驗室組成的工業組織。當然成員公司具有衡量和實施適當安全措施的專業知識,然而還沒有進行——或許是為了更快地推廣這種期待已久的技術。
安全問題需要資金投入還需要耐心——對可以被每個人廣泛使用的RFID來說,這些因素被認為是潛在的阻礙。然而,NFC論壇討論了適當的協議——很多都是從互聯網安全協議借鑒而來——可以安全地將信息從網絡載入到手機上,并且將這些數據安全地儲存在手機上。
然而,手機和RFID標簽之間非常容易進入的連接卻無法進行缺省保護。如果可以匹配的話,目前試用的RFID技術需要在NFC之上實施自身的安全保護措施。由于很多應用都具有類似的安全要求,因此這種做法顯然會導致冗余。由于對安全性的理解非常困難,同時不是全部公司都會同樣地看待攻擊威脅和實施保護措施,因此RFID和手機組成的系統并不一定安全。
在對標準化安全性和隱私性的需求,和缺乏有力保護的現狀之間存在著明顯的割裂,這促使NXP和Sony開始在NFC手機中實施他們的專利RFID安全措施。在那些公開的標準上實施專利技術,至少在這些安全措施的細節沒有公開之前,將會出現壟斷市場,并且在最壞的情況下不夠安全。
例如,NXP Semiconductor的Mifare Classic標簽,其保護主要依賴于對內部細節的保密。然而,最近其秘密算法已經被反向工程攻破,對算法最初的安全分析顯示該算法相當脆弱。
結果就是對大部分提出的NFC應用來說,能提供的保護是不夠的。像Mifare“不透明的安全策略”并不奏效,并且不應該被NFC手機采用。相這類技術會成為日常生活的組成部分,其安全性和隱私性都必須經過公開檢查并規范成開放的標準,這樣才能使潛在的使用者放心。
目前的NFC應用表現出多種安全性可能,從幾乎沒有安全性的信用卡到試營公共運輸系統基于公開關鍵密碼技術而被夸大的認證技術都有實例。對于一項想方便用戶,而并不想用戶冒險的技術來說,只有某些應用達到所需的安全性要求是不合適的。攻擊者通常會尋找最弱的一環,那么在目前的條件下,即便只有一些很特殊的脆弱應用被曝光,但攻擊者仍不可避免地不選擇NFC。
實施NFC技術真正的阻礙正是其缺乏安全性的現狀。在該項技術廣泛傳播到無法彌補安全性損失之前,必須以開放的標準強制實施適當的安全保護措施。
