Ho appena acquistato un dispositivo lettore RFID (lettore USB) e con esso le schede Tag. Queste carte tag sono pensate per essere una carta segreta che nessuno dovrebbe conoscere il numero di esso nemmeno il suo proprietario. Il problema è che il lettore RFID sta leggendo il codice delle carte tag ovunque e mostra anche i numeri del codice del tag. C'è un modo per far apparire i numeri del codice del tag come un numero segreto come se avessi digitato la tua password? Grazie.
I tag RFID più economici sono i dumbtags che memorizzano un valore di identificazione statica che può essere letto da qualsiasi lettore compatibile NFC. Per questi stupidi, puoi semplicemente scrivere un'app che cattura il codice mentre viene trasmesso (o usa uno dei centinaia di lettori Android NFC). Nei casi in cui il lettore funge da tastiera HID, puoi semplicemente aprire un editor di testo semplice e scansionare. Tali dumbtags RFID hanno molti usi ma non dovrebbero mai essere usati per scenari critici di sicurezza.
Per impedire che il codice segreto interno venga riconosciuto all'utente o trasmesso al lettore / computer, è necessario uno smarttag RFID che utilizzi la crittografia asimmetrica in modo che il vero segreto non venga mai effettivamente trasmesso al lettore. Invece, ciò che accade è che tale smarttag RFID calcola un codice monouso, un codice limitato nel tempo basato su un segreto interno e questo è il codice che viene trasmesso. Il segreto interno stesso non viene mai trasmesso dal tag e l'algoritmo crittografico è tale che è matematicamente impossibile invertire calcolare il segreto interno dai codici temporali.
I tag più sicuri implicano un protocollo challenge-response, in cui lo smarttag calcola un codice che può essere utilizzato solo per quella particolare transazione e può anche avere un piccolo display per esaminare i dettagli della transazione prima di approvarli.
Queste misure sono progettate per prevenire e / o limitare il danno nello scenario in cui l'unità di lettura potrebbe essere stata compromessa, poiché il codice a una volta trasmesso sarebbe valido solo per quella transazione e non può essere utilizzato per transazioni future.
Tag di sicurezza ancora più elevati possono includere anche un tastierino in cui è possibile digitare il PIN e sono progettati per essere a prova di manomissione per la protezione sia dal lettore compromesso sia dal tag rubato, poiché il tag non è utilizzabile senza il PIN.
Per quanto ho capito, è possibile. Ma non con nessuna carta RFID e non nel tuo scenario descritto. Come puoi leggere qui , sebastian-nielsen spiega che una carta specifica può" decidere "di non condividere i suoi contenuti con nessun lettore ma solo con specifici lettori. Quindi, quello di cui hai bisogno è una carta speciale che blocchi i lettori non autorizzati dall'accesso ai suoi dati, piuttosto che un lettore che non mostra il segreto. Quindi, hai bisogno di lettori speciali che siano in grado di leggere la scheda in modo sicuro.
Puoi leggere ulteriori informazioni al riguardo qui .
Ci sono due metodi che puoi usare per raggiungere questo obiettivo. Ma prima un po 'di background.
La maggior parte di questi lettori si interfaccia come una tastiera HID. I dati letti sul tag vengono interpretati come sequenze di tasti e inseriti. Ciò consente di utilizzare un lettore per integrare la digitazione manuale. Permettere a una persona di digitare il proprio ID o scansionarlo. Tuttavia, ciò significa anche che l'ID è digitato in qualunque campo sia focalizzato. Se l'utente è focalizzato su un campo password, l'input verrà mascherato come si desidera. Se l'utente si concentra su qualsiasi altro input, vedranno l'ID.
Quello che stai comunicando nella tua configurazione è che vuoi che il codice ID venga letto ma mascherato dall'utente. Invece di vedere "12345" dovrebbero vedere "•••••". Questo può essere ottenuto semplicemente mascherando il tuo input. Tuttavia questo è ancora suscettibile di avere l'ID digitato in un campo diverso e mostrare l'ID all'utente.
Se si desidera l'esclusività, è necessario determinare se il lettore RFID supporta un'interfaccia seriale. Ciò consentirà alla tua applicazione di estrarre l'ID direttamente dal lettore senza averlo digitato sullo schermo. Tuttavia questo funzionerà solo se hai un'applicazione desktop, non hai accesso alle porte seriali in una pagina web.
Nota a margine: non importa quanto tu possa rendere segreto il tuo lettore, posso sempre toccare il tag RFID sul mio telefono e leggere l'ID.
Leggi altre domande sui tag encryption rfid