« 2006年RFID業界10大トレンド | トップページ | RFID Strategic Implementation And ROI / Charles Poirier他(著) »

2006/12/30

RFID Tag Data Security Infrastructure

TI社が医薬品流通での個品タグ付けに利用するセキュリティインフラに関するホワイトペーパーを公表している(RFID Tag Data Security Infrastructure: A Common Ground Approach for Pharmaceutical Supply Chain Safety)。サプライチェーン中ではオンライン・オフラインでのデータの読み取りがそれぞれ必要になるとの考え方を元に、

  • オンラインでは平文で公開されるタグIDを元にデータを検索(セキュリティはアプリ側で実装)
  • オフラインでは公開鍵暗号を用いてタグ内に保存されたデータにアクセス可能

という2つの機能をオプションとして実装するとしている。

このアイデア自体は結構なのだが、読後に疑問が残った。どうやって公開鍵暗号方式を用いてタグ上のデータの暗号化を行なうのだろう?公開鍵暗号方式の細かい解説はここでは省くが、要は一つの暗号に対して公開鍵と秘密鍵の二つの暗号鍵を用意し、暗号化通信では受信者の公開鍵で暗号化したデータを送って受信者の秘密鍵で平文に戻すことになる。だが、サプライチェーン中の利用でどうやって相手の公開鍵を知るのだろうか?

ホワイトペーパーの記述によると、まずタグとしてはマイクロプロセッサーを内蔵しないダムチップを想定している。この場合、タグは書き込まれたデータをそのまま返すだけなので、暗号化と復号化はリーダーで行なうことになる。ホワイトペーパーではリーダーに特有の秘密鍵と業界全体の公開鍵データベースとが登録される、となっている。これだと、対応リーダー(または公開鍵データベース)を持っていれば誰でもタグのデータを読めてしまうのだが、それで良いのだろうか。

本文中にはRFIDでの公開鍵暗号の利用についての別のホワイトペーパーが紹介されている(Securing the Pharmaceutical Supply Chain with RFID and Public key infrastructure (PKI) Technologies)。こちらを読んでみるとデータの暗号化ではなく電子署名についての記述だった。電子署名を行なえばタグ上のデータが特定の秘密鍵を持つリーダによって作成されたことは保障される。そのデータが特定のタグに対して書き込まれたかどうか(つまり本来は別のタグに書き込まれたデータをコピーしたものではないかどうか)については、タグのハードウェアIDを電子署名に含めることで検証できるようになっている。タグのハードウェアIDは偽造されないものと考えて良いのだろうか。

今回のエントリは筆者が何か誤解している可能性が高いので(まぁいつでもそうだが)、興味をお持ちの方はぜひ原文を読んで確認して欲しい。RFID、特にGen2レベルの低機能タグでのセキュリティの話には色々なHypeがあって報道だけではなかなか内容をきちんと掴めないことを痛感する。

|

« 2006年RFID業界10大トレンド | トップページ | RFID Strategic Implementation And ROI / Charles Poirier他(著) »

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/163335/13260275

この記事へのトラックバック一覧です: RFID Tag Data Security Infrastructure:

« 2006年RFID業界10大トレンド | トップページ | RFID Strategic Implementation And ROI / Charles Poirier他(著) »