Was sind RFID Blocker-Tags? Sollte ich mir sowas besorgen?
What are RFID blocker tags? Should I go and get such a thing?
Deutsche Version
Blocker-Tags sind elektronische Geräte und sollen die Kommunikation zwischen
RFID-Etikett und dem Lesegerät blockieren, indem sie Störsignale aussenden. Dazu
sollen sie genau dann dazwischenfunken, wenn ein RFID-Etikett auf eine Leseaufforderung
hin antwortet. In der Theorie klingt das erst einmal ganz gut, in der Praxis ergeben
sich aber Schwierigkeiten, sowohl technischer Natur, als auch für den Erhalt der
Privatsphäre.
Technisch unvollständiger Schutz
Die Zeitschrift c't [3]
hat eine technische Abschätzung dazu gemacht. Demnach können passive Blocker-Tags
ihre Aufgabe nur zum Teil erfüllen, nämlich nur dann, wenn ein bestimmtes
Kommunikationsprotokoll verwendet wird. Bei einem anderen, weit verbreiteten Protokoll
hingegen sind sie nutzlos.
Bei dem Protokoll, das durch Blocker-Tags gestört werden kann, handelt es
sich um das sogenannte Tree-Walking-Protokoll. Damit das Lesegerät jedes RFID-Etikett
erkennen und auslesen kann, grenzt es mit diesem Protokoll den Nummernbereich
ein. Ein Blocker-Tag kann nun bei jeder Abfrage ''hier'' rufen, so daß das Lesegerät
den gesamten Nummernraum durchstöbern muß und dadurch zu lange beschäftigt,
sprich: blockiert ist.
Bei dem Protokoll, welches so nicht gestört werden kann, handelt es sich um
das sogenannte Aloha-Protokoll. Dieses wurde ursprünglich Anfang der 1970er
Jahre in einem Funknetz zwischen den Hawaiiinseln eingesetzt, daher auch der
Name. Später fand das Prinzip Einzug in verschiedene Netzwerkprotokolle, wovon
Ethernet vermutlich das bekannteste Protokoll ist. Die Unangreifbarkeit ist
in dem Verfahren zur Kollisionsvermeidung des Aloha-Protokolls begründet. Falls
es zu mehreren gleichzeitigen Sendeversuchen und somit zu einer Kollision kommt,
wird durch das Protokoll sichergestellt, daß die Sender zeitversetzt noch einmal
versuchen, ihre Nachricht zu funken, ohne daß eine weitere Aufforderung durch
den Empfänger (hier das RFID Lesegerät) nötig wäre. Ein passives Blocker-Tag
bezieht seine Energie aus dem Aufforderungsimpuls des Lesegerätes, seine Daten
zu senden. Es kann aber dabei nicht genügend Energie sammeln, um alle aufeinander
folgenden Antworten der normalen RFID-Etiketten durch dazwischenfunken zu stören.
Da dies ein prinzipielles Problem ist, sind Blocker-Tags somit nutzlos.
Der falsche Weg
Selbst wenn der technische ''Schutz'',
den die Blocker-Tags bieten, als ausreichend angesehen würde, ergeben sich weitere
Probleme für die Privatsphäre. Man muß, im Gegensatz zu früher, seine Privatsphäre
aktiv schützen. Besorgte man sich nicht selbst ein Gegenmittel, so wäre
man schutzlos und quasi nackt und durchschaubar vor den Lesegeräten und damit vor
den Betreibern. Man müßte sich zudem auf die korrekte Funktion des Gegenmittels
verlassen.
Es ist zudem noch gar nicht sicher, daß nicht der Gesetzgeber oder auch ein
Ladenbesitzer ein Blocker-Tag als illegal ansehen wird, weil es ja den Betrieb
stören kann. Selbst wenn Blocker-Tags momentan noch erlaubt sind, ist das keine
Garantie, daß sie später, wenn die Technologie entwickelt und in jedes Geschäft
Einzug gehalten hat, verboten werden. Sie werden vielleicht auch einfach nicht
mehr in ein Geschäft eingelassen. Blocker-Tags können somit nicht die ultimative
Lösung zu den wahrgenommenen bösen Seiten von RFID sein.
RSAs Versuche auf der CeBIT
Allen Bedenken zum Trotz hat die amerikanische Firma RSA Security jüngst die Verfügbarkeit
eines von ihr entwickelten Blocker-Tags angekündigt [1].
Auf der CeBIT 2004 in Hannover hat sie dazu ein Apothekenszenario aufgebaut [2].
Es gibt fiktive Pillen für ''Fitness'', ''Weisheit'' und ''Glück'' in kleine
Döschen verpackt. Die Dosenetiketten enthalten ein RFID-Etikett, das die Pillen
ausweist. RSA stellt nun kleine Tütchen (ca. 10x25cm flach gefaltet) mit einem
recht großen RFID-tag (ca. 6x10cm Antennenmaß) zur Verfügung, mit dem man den
fiktiven Einkauf schützen können soll, damit auf der Straße niemand weiß, welche
Pillen man gekauft hat. Dieses tag in der Tüte soll ein Blocker-Tag sein.
Ein Schwindel?
Zumindest das Blocker-Tag in der Tüte ist ein kompletter Schwindel, könnte
man denken, denn erst im Kleingedruckten wird auf ein "demo environment"
hingewiesen, das Ganze sonst aber so präsentiert, als ob es sich um die
bereits fertigen Blocker-Tags handele. Es handelt sich aber um ein
normales RFID-Tag mit eigener Seriennummer (auf 13,56MHz und mit recht viel verfügbarem freiem Speicher).
Hingegen sind die Lesegeräte mit auf dem RSA-Stand mit einer speziellen Software
versehen. Dieser sind die Seriennummern bekannt. Falls die Lesegeräte nun eine
der bekannten Nummern empfangen, zeigen sie ''BLOCKED'' an, wo sonst der Warenhinweis
erscheint. Zudem scheint das fiktive Blockieren nicht besonders gut zu funktionieren,
denn oft zeigten die Geräte trotz der Anwesenheit des angeblichen Blocker-Tags
dennoch die Wareninformation der Pillen an (anscheinend je nachdem welches tag
zuerst gelesen wurde). Damit ist aber in Bezug auf die Privatsphäre rein gar nichts
gewonnen, denn eine andere Lesesoftware, z.B. beim nächsten Geschäft um die Ecke,
kann so die RFID-Etiketten wie gewohnt weiterhin auslesen.
Auf mehrfaches Nachfragen kam ein RSA-Vertreter der Wahrheit wohl ein Stück
näher, es hieß dort:
-
Man wolle keine richtigen Blocker-Tags
an Cebit-Besucher verteilen, damit nicht die anderen RFID-Anwendungen auf
der Cebit gestört würden. (Ein fadenscheiniges Argument, wenn man offiziell
seine neue Technologie vorführen möchte, es aber so nicht tut.)
-
Die richtigen Blocker-Tags seien
momentan nur als Software verfügbar.
Es wurde dabei angemerkt, daß die Blocker-Tags
nicht nur beim Tree-Walking-Protokoll, sondern auch beim Aloha-Protokoll wirksam
seien. Diese Aussage bezog sich aber nur auf die tags in den Tüten. Da diese ohnehin
nur ihre eigene Seriennummer ausgeben, also normale RFID-Etiketten sind, ist dies
wohl kein Problem. Über die späteren ''richtigen'' Blocker-Tags war nichts Weiteres
zu erfahren.
Die wahren Interessen
Die Tüte ist wörtlich mit ''RSA Security
Making the world safe for RFID'' beschriftet (zu erkennen in der Vergrößerung).
Das sagt ein wenig über die Intentionen aus: RSA möchte anscheinend gar nicht
die Welt vor den von RFID ausgehenden Gefahren schützen, sondern umgekehrt, die
Welt selbst verändern, damit sie ihre RFID-Technik verkaufen können - eine sehr
bedenkliche Sichtweise.
RSA zielt übrigens nicht auf den Endkunden ab. Die Geschäftsstrategie sieht
vor, Lizenzen für die Blockerchips an größere Konzerne, wie z.B. Metro mit seinen
Ladenketten zu verkaufen. Dort könnten sie in die Kundenkarten eingebaut werden,
frei nach dem Motto ''wenn sie unsere Kundenkarte dabei haben, sind sie geschützt''.
Dies wäre ein sehr hinterhältiges Vorgehen, denn die Kundenkarte dient ja gerade
dem Ausweisen gegenüber dem Unternehmen. Lesegeräte in nicht an die die Karte
ausgebende Ladenkette angeschlossenen Geschäften könnten vielleicht tatsächlich
blockiert werden im Rahmen der eingeschränkten technischen Möglichkeiten, in
denen das überhaupt möglich ist. Das Unternehmen selbst aber wird kaum selbst
seine Geräte blockieren, sodern einen Weg freilassen. Dies aber wäre eine ins
System eingebaute Lücke, die natürlich auch von anderer Steite ausgenutzt werden
kann. Die ganze Blockiertechnik wäre somit aber, bis auf eine kurze Anfangsphase
vielleicht, nutzlos und damit ohne Sinn.
Soll ich mir sowas besorgen?
Um nun die Eingangsfrage ''Soll ich
mir sowas besorgen?'' zu beantworten: Sie können es gern versuchen. Allerdings
haben Sie davon gar nichts, weder eine höhere Sicherheit noch einen Schutz für
Ihre Privatsphäre. Es gibt bessere Möglichkeiten:
Helfen und unterstützen Sie uns,
damit sie sich nicht später vor den großen Konzernen und mit dem Verlust Ihrer Privatsphäre alleine dastehen.
Weitergehende Kritik
Weitere Kritikpunkte sind in unserem
Positionspapier
aufgeführt.
-
Blocker-Tags sind bisher nur Theorie
Soviel wir wissen, existieren Blocker-Tags noch nicht.
Bis ein Blocker-Tag entwickelt und getestet worden ist, gibt es keine Möglichkeit zu wissen,
wie effektiv er sein wird und ob er technisch außer Kraft gesetzt werden kann.
-
Blocker-Tags fördern den Einsatz von RFID-Etiketten
Ein Blocker-Tag könnte die Verbreitung der RFID-Technik fördern, indem er den Konsumenten
ein falsches Gefühl der Sicherheit vermittelt. Obwohl diese Erfindung eine ziemlich
beeindruckende Idee ist, ist sie doch auch eine, deren Nutzung verboten oder mit zunehmender
Trägheit vernachlässigt werden könnte. Es ist außerdem möglich, dass
solch ein elektronisches Gerät seinen Wirkung einbüßen könnte, sei es durch
absichtliche Einwirkung von außen oder weil es einfach defekt wird.
-
Blocker-Tags könnten verboten werden, durch Gesetze oder Geschäftspolitik des Handels
Die Konsumenten könnten das Recht auf Gebrauch von Blocker-Tags verlieren, wenn die Regierung befindet,
dass es für die nationale Sicherheit notwendig ist zu wissen, welche Kleidung die Leute tragen
oder was sie sonst bei sich haben.
Sie könnte solche Geräte grundsätzlich verbieten oder einzelne Orte auswählen,
an denen sie nicht benutzt werden dürfen.
Man kann sich zum Beispiel leicht ein Verbot solcher Geräte auf Flughäfen oder in öffentlichen
Gebäuden vorstellen.
Einzelhandelsunternehmen könnten Blocker-Tags verbieten, wenn sie glauben, dass die Geräte dazu
benutzt werden könnten, Sicherheitsmaßnahmen zu umgehen, oder wenn sie davon ausgehen, dass
Detailwissen über ihre Kunden für ihre Marketingbemühungen wertvoll ist.
Wenn RFID-Etiketten erst einmal allgegenwärtig sind, würde ein generelles oder teilweises Verbot
eines "Datenschutzgeräts" wie dem Blocker-Tag die Konsumenten schutzlos einem Eindringen in ihre
Privatsphäre ausliefern.
-
Blocker-Tags bürden den Verbrauchern die Initiative auf
Ein Blocker-Tag verlagert die Last des Schutzes der Privatsphäre weg von den Herstellern und dem Handel,
und legt sie auf die Schultern der Konsumenten. Außerdem könnten vielbeschäftigte Verbraucher
einfach vergessen, das Blocker-Gerät mit sich zu führen oder es einzusetzen, besonders wenn es noch
weiterer Handlungsschritte bedarf, um sie wirksam zu machen.
-
Blocker-Tags schützen Verbraucher nicht mehr, sobald die Produkte vom Blocker-Tag entfernt werden
Blocker-Tags funktionieren theoretisch nur dann, wenn sie sich in der Nähe der Gegenstände befinden,
die sie vor den RFID-Lesegeräten "verstecken" sollen. Sobald Gegenstände sich außerhalb der
Reichweite des Blockier-Geräts befinden, wären die Konsumenten dem Eindringen in ihre Privatsphäre
schutzlos ausgesetzt. Eine Konsumentin könnte beispielsweise einen Pullover kaufen und annehmen, dass die
Information auf dem eingearbeiteten RFID-Etikett geschützt wäre, weil sie ihn in einer Einkauftasche
nach Hause trägt, die mit einem Blocker-Tag ausgestattet ist. Sobald sie allerdings den Pullover aus der
Tasche nimmt und ihn anzieht können Informationen aus dem Etikett gelesen werden sobald sie den Pullover
in der Nähe eines Lesegeräts trägt.
-
Die Schaffung von zwei Klassen von Konsumenten
Genauso wie im Falle der Zerstörung von Etiketten beim Erwerb der Produkte wird ein Blocker-Tag
wahrscheinlich zwei Klassen von Konsumenten schaffen: Die einen, die Etiketten blockieren, und die, die das nicht tun.
-
-
1
-
RSA Security: ''RSA Security
Demonstrates New RFID Privacy Technology: The RSA® Blocker Tag'', 24.02.2004,
http://www.rsasecurity.com/company/news/releases/pr.asp?doc_id=3376
-
2
-
Dr. Hans-Peter Schüler, Heise
Newsticker, ''RFID-Störsender für Hacker und Verbraucher'', 25.02.2004,
http://www.heise.de/newsticker/meldung/45009
-
3
-
Peter Schüler, c't magazin für
computer technik, Ausgabe 6/2004, Seite 40: ''Schnüffeltechnik ausgetrickst
- Ein Störsender verwirrt RFID-Lesegeräte'', ISSN 0724-8679
http://www.heise.de/ct/04/06/040/
Text: Jan E. Hennig, englische Übersetzung: Harald Manninga, Bilder: FoeBuD e.V.
English version
Blocker tags are supposed to block the communication between RFID tags and a reading device
by sending out jamming signals. In order to do this the blocker tags send out a signal
at the very moment when a normal RFID tag answers to a reading request. In theory
this sounds all very well at first, but in practice there are problems, both of a technical
nature and for privacy protection.
Technically fragmentary protection
c't, a renowned German computer magazine,
found that blocker tags are and will be only partially usable [3]:
Blocker tags ''jam'' readers by sending out unrequested responses to reader signals,
''drowning'' out data from the RFID chips actually addressed. This works best
if one of two main protocols, the Tree Walking Protocol, is being used. This protocol
tries to locate a reduced number space in which the numbers from the RFID tags
in the reading range are situated. A blocker tag will shout ''here'' to each request
so that the reading device has to scan the whole number space and therefore will
be occupied (blocked) for too long trying to find the real RFID tags. The other
protocol, the Aloha Protocol (a classic protocol which stimulated the development
of Ethernet), is and will be immune to passive blocker tags: because
this protocol features delayed responses, blocker tags will not be able to gather
enough energy to block all consecutive answers following a reading impulse.
Since this is a problem of principle, blocker tags are useless.
The wrong way
Having to rely on blocker tags is also
a disadvantage for customers, because they would actively have to protect
their privacy. Furthermore one has to rely on the correct functioning of such
a device without being able to verify this.
But even if people were to accept the ''protection'' offered by blocker tags,
after technology has been developed and stores have been equipped with RFID
installations, blocker tags could just be banned by law or by store owners not
allowing entrance to people found to carry blocker tags. Blocker tags cannot
be the ultimate solution to the perceived evils of RFIDs.
RSA's trials at the CeBIT
Addressing such concerns, RSA Security recently announced the availability of
a RFID blocker tag [1]. RSA handed out trial specimens that were pasted into
shopping-bags at the CeBIT 2004 trade show in Hannover [2].
They built a pharmacy setting for their demonstration. There were fictitious pills
for ''fitness'', ''wisdom'' and ''happiness'' filled into small plastic cans.
The can labels were each equipped with a normal RFID tag which showed which kind of pills the
respective cans carried. The shopping-bags were intended for the customer to protect
his/her fictitious shopping goods from others reading about the kind
of pills he/she bought. This tag in the bag was supposed to be a blocker tag.
A fake?
At least the blocker tag from the bag is a fake, as it seems. Only in the
small print it is being referred to as a "demo environment", but otherwise
the whole thing is being presented in a way as if there already were the real
and final blocker tags used. But in reality they are normal RFID tag with their own serial numbers
(sending at 13.56 MHz and equipped with a lot of memory). The reading
devices on the other hand are equipped with a special software that is aware of the serial numbers
of the ''blocker tags''. If the devices read a well-known blocker tag number,
they display ''BLOCKED'' where they would otherwise display some product information.
So, even this fictitious blocking seems not to work well at all, because quite often
the devices show the product information even if a blocker tag is nearby. And so
there is nothing gained at all for privacy, because with a different reading device
software, e.g. at the next shop around the corner, the RFID tags can still be
read as usual.
Furthermore, after a great number of requests a RSA representative explained
-
that their blocker tags will not
''drown out'' all possible RFID numbers in order not to interfere with planned
applications and
-
that the real blocker tags still
are only available as software.
It was also said that the blocker tags
were effective not only with the Tree Walking Protocol, but also with the Aloha
Protocol. But this statement referred to the tags in the bags. Though these are
normal RFID tags and only need to send out their own serial number, this sounds
plausible. But to point this out clearly: This says nothing about the ''real''
blocker tags of the future.
The true interests
There are the words ''RSA Security Making
the world safe for RFID'' printed on the bag (to be visible from the magnification).
This shows RSA's true intentions: Apparently RSA doesn't want to protect the
world from the dangers and evils of RFID technology but on the contrary to
change the world in such a way that they can sell their technology -- a very questionable
approach.
RSA does not aim towards the customer market directly. Their business strategy
says to sell licenses for the blocker chips to bigger companies such as Metro
with its chain stores. There they could build the blocker tags into loyalty
cards and tell their customers ''with our loyalty card you will be safe and
protected''. This would be a rather perfidious approach, because the loyalty card
is made and meant to disclose one's identity to the company. Perhaps reading devices from
stores of other companies might actually be blocked within the scope and limits
where this can technically be done at all. But the company that hands out
the cards itself will not be willing to block its own devices but to leave a
hole for their own free access to the data. This would be a hole directly built into the system
that certainly could be exploited by others. The whole blocking technique would
thus, perhaps with the exception of a short time at the beginning, be made useless and,
so, not making any sense at all.
Should I go and get such a thing?
To provide an answer to the entry question
''Should I go and get such a thing?'': You may gladly try to. But there is no
benefit in it for you, neither improved security and safety nor any protection of your
privacy. There are better possibilities: Help
and support us so you won't have to stand up to and face the big companies and
the expiry of your privacy all on your own.
Further criticism
More critical points are expressed
in our position
paper.
-
Blocker tags are still theoretical.
According to our understanding, the blocker tag does not yet exist. Until
a blocker tag is built and tested, there is no way to know how effective it
will be and whether it can be technically defeated.
-
Encourages the widespread deployment of RFID tags.
The blocker tag might encourage the proliferation of RFID devices by giving
consumers a false sense of security. While the proposed invention is an ingenious
idea, it's one that could be banned or be underutilized if consumers become
complacent. It's also possible that such an electronic device could be technically
defeated either purposefully or because it stops functioning naturally.
-
The blocker tag could be banned by government directive or store policy.
Consumers could lose the right to use blocker tag devices if the government
deems that knowing what people are wearing or carrying is necessary for national
security. They might disallow the devices altogether or name selective spaces
in which blocker tags would be disallowed. It is not inconceivable to imagine
a ban on such devices in airports or public buildings, for example.
Retail stores might ban blocker tags if they believe the tags might be used
to circumvent security measures or if they believe knowing details about consumers
is valuable in their marketing efforts.
Once RFID tags and readers are ubiquitous in the environment, a full or partial
ban on a privacy device like the blocker tag would leave consumers exposed
and vulnerable to privacy invasion.
-
Adds a burden to consumers.
A blocker tag shifts the burden of protecting privacy away from the manufacturers
and retailers and places it on the shoulders of consumers. In addition, busy
consumers might forget to carry blocker devices or forget to implement them,
especially if additional steps are required to make them effective.
-
Fails to protect consumers once products are separated from the blocker tag.
Blocker tags theoretically work only when they are close to the items they
are designed to "conceal" RFID reader devices. Once items are out of the range
of the blocking device, consumers would be exposed and vulnerable to privacy
invasion. For example, a consumer might buy a sweater and feel that the information
on the embedded RFID tag is unexposed because she is carrying it home in a
bag impregnated with a blocker device. However, once she removes that sweater
from the bag and wears it in range of a reader device, information from that
tag could be gleaned.
-
The creation of two classes of consumers.
Like the kill tag feature, blocker tags will also likely create two classes
of consumers, those who block tags and those who do not.
-
-
1
-
RSA Security: ''RSA Security
Demonstrates New RFID Privacy Technology: The RSA® Blocker Tag'', 2004-02-24,
http://www.rsasecurity.com/company/news/releases/pr.asp?doc_id=3376
-
2
-
Dr. Hans-Peter Schüler, Heise Newsticker, ''RFID-Störsender für Hacker und Verbraucher'', 2004-02-25,
http://www.heise.de/newsticker/meldung/45009
-
3
-
Peter Schüler, c't magazin für computer technik issue 6/2004, page 40: ''Schnüffeltechnik ausgetrickst -
Ein Störsender verwirrt RFID-Lesegeräte'', ISSN 0724-8679
http://www.heise.de/ct/04/06/040/
text: Jan E. Hennig, english translation: Harald Manninga, pictures: FoeBuD e.V.
Allen Bedenken zum Trotz hat die amerikanische Firma RSA Security jüngst die Verfügbarkeit
eines von ihr entwickelten Blocker-Tags angekündigt [1].
Auf der CeBIT 2004 in Hannover hat sie dazu ein Apothekenszenario aufgebaut [2].
Es gibt fiktive Pillen für ''Fitness'', ''Weisheit'' und ''Glück'' in kleine
Döschen verpackt. Die Dosenetiketten enthalten ein RFID-Etikett, das die Pillen
ausweist. RSA stellt nun kleine Tütchen (ca. 10x25cm flach gefaltet) mit einem
recht großen RFID-tag (ca. 6x10cm Antennenmaß) zur Verfügung, mit dem man den
fiktiven Einkauf schützen können soll, damit auf der Straße niemand weiß, welche
Pillen man gekauft hat. Dieses tag in der Tüte soll ein Blocker-Tag sein.
