Shaddack's Nightmares

RFID

RFID. Čtyři písmena, mnohem více spekulací. Pro jedny příslib spotřebitelského ráje a jednoduššího nakupování, pro druhé předzvěst Apokalypsy. Kde se nalézá pravda?

RFID je zkratka pro RadioFrekvenční IDentifikaci, bezdrátový přenos malého množství identifikačních dat, obvykle jednosměrně mezi čtečkou dat a objektem nesoucím data. RFID identifikátor se v takovýchto objektech obvykle označuje jako "tag", "značka". Po ozáření dotazovacím signálem tag vyšle krátký blok dat jako svoji odpověď. Velikost bloku dat se může lišit, od jediného bitu značícího pouhou přítomnost tagu v poli čtečky až po tisíce bitů s identifikací objektu, stavovými informacemi, a kontrolními součty. Tag bývá obvykle mechanicky svázán s nějakým jiným objektem, o němž poskytuje informace.

Tagy samotné mohou mít vlastní baterie (aktivní tagy) nebo být napájeny elektromagnetickým polem čtečky (pasivní tagy). Jejich provedení je úzce spjato s jejich požadovanou funkcí.

Letecké transpondéry

Jednou z prvních aplikací RFID byly friend-or-foe (IFF) MK1 odpovídače na britských letadlech, vyvinuté kolem roku 1939, jejichž úkolem bylo zvýraznit přátelská letadla na radarech protivzdušné obrany a zabránit tím incidentům s takzvanou přátelskou palbou. Dotazovacím signálem zde byl signál pobřežního radarového systému CH ("Chain Home"). První verze pouze přijímaly radarový signál a vysílaly jej zpět, zesílený periodicky pulsujícím signálem, takže se letadlo na radaru střídavě rozsvěcelo a pohasínalo. (Německé letectvo používalo za podobným účelem synchronizované manévry několika letadel, jejichž výsledkem byly příslušné trajektorie na radarech, označující jejich původce jako vlastní.) Z těchto primitivních IFF odpovídačů byly později odvozeny sofistikovanější transpondéry pro letový provoz; od těch nejjednodušších pracujících v režimu A a identifikující letadlo, přes transpondéry režimu C poskytující zároveň okamžitou výšku letadla jak je naměřena palubními přístroji, až po nejmodernější režim S, kde transpondér zároveň oznamuje pozici letadla podle palubních navigačních přístrojů a záměry posádky. Letecké transpondéry mají vlastní napájení, a dají se tedy považovat za příklad aktivního RFID.

Aktivní tagy

Aktivní tagy můžeme běžně potkat i na zemi. Bývají využívány v některých systémech zpoplatňování silnic. Mezi nejznámější patří americké systémy FasTrak, E-ZPass, I-Pass, Speedpass, a Smart Tag. Podobný systém je navrhován i u nás jako "mikrovlnná varianta" zpoplatňování dálnic. Technicky jde o systém podobný leteckým transpondérům; tag je spolu s baterií uložen v krabičce, namontované za čelním sklem auta, přičemž dotazovací vysílače - čtečky - jsou umístěny na rámech nad silnicí v místech výběru mýtného. Obvykle spolu s kamerami, zaznamenívajícími projíždějící vozidla a fotografující ty, pokoušející se projet bez zaplacení. Platba probíhá mimo vlastní RFID systém; čtečka na rámu oznámí účetnímu systému průjezd automobilu, a příslušná částka je odečtena z účtu jeho majitele. To ale vytváří seznam lokací, "checkpointů", kterými dané vozidlo projelo - chtělo by se namítnout. Ano, vytváří. A k tomuto seznamu se pak mohou dostat, a dostávají, i další subjekty. Od policie vyšetřující pohyb sledovaného vozidla, přes tajnou službu vyšetřující co je napadne, po rozvodového právníka vaší nakyslé brzyexmanželky.

Aktivní tagy mají dosah omezený prakticky jen nastaveným vysílacím výkonem a citlivostí přijímače. Jelikož mají vlastní napájení, mohou použít masivnější elektroniku schopnou složitějších kryptografických operací. Často se jedná o různá autentizační schémata, která mají zabezpečit komunikaci před odposlechem a tag před naklonováním - vytvořením tagu se stejnou identifikací, identického dvojčete umožňujícího vašemu autu jezdit na účet někoho jiného. Jejich nevýhodami jsou vyšší cena, životnost omezená kapacitou a životností baterie, a větší rozměry dané velikostí baterie.

Pasivní tagy

Naproti tomu pasivní tagy vlastní baterii nemají a jejich elektronika je velmi jednoduchá. Stejně jako stařičká krystalová AM rádia - pamětníci se slzou v oku zavzpomínají - brala energii k napájení sluchátek z energie signálu zachyceného anténou, pasivní RFID tagy jsou napájeny z elektromagnetického pole vysílaného čtečkou. Díky své jednoduchosti jsou pasivní tagy mnohem levnější a menší, a díky absenci baterie nemají součástky s významně omezenou životností. Jejich životnost často mnohonásobně přesahuje životnost objektu, který identifikují. Historie jejich technologie se dá vysledovat do počátku 20. let minulého století, i když systémy využívající pasivní RFID se objevily v praxi až koncem let šedesátých.

V rozporu s běžným chápáním, pasivní RFID tagy typicky nevysílají vlastní signál. Jejich komunikace s okolím spočívá ve změnách odrážení signálu čtečky. Pasivní RFID tagy by se tedy daly přirovnat ke kombinaci elektromagnetem řízeného zrcátka a mikroprocesoru napájeného ze solárního panelu. Posvítíme-li baterkou (čtečkou) na zařízení, světlo bude převedeno na elektrickou energii, tato nakrmí mikroprocesor, který pak v příslušném rytmu začne pohybovat zrcátkem, odrážejíc zpět světlo baterky v rytmu Morseova kódu. ("-.-- --- ..- ... ..- -.-. -.-")

Vzhledem k nutnosti napájet čip z energie čtecího signálu musí čtečka vytvářet poměrně silné elektromagnetické pole, a její dosah je značně omezený. Pro běžné čtečky s malými cívkami a tagy běžné velikosti se jedná o jednotky, maximálně desítky centimetrů. Tagy pracující na vyšších frekvencích a čtečky s většími anténami mohou mít užitečný dosah dostat až jednotek metrů. Vzhledem k nutné intenzitě pole je ale prakticky nemožné přečíst tag, aniž by čtečka nebyla zároveň velmi snadno detekovatelná.

Nejjednodušší RFID tagy, jednobitové, jsou pouze LC rezonátory oznamující jen svoji přítomnost - např. známé čtvercové tlusté samolepky na CD a DVD nosičích a jiném drahém snadno zcizitelném zboží. Jejich jednoduchost zajišťuje jejich nízkou cenu, ale i nízkou spolehlivost a falešné poplachy vyvolávané objekty s podobnými parametry, třeba i jen vhodně smotaným kabelem. Obvykle jsou při nákupu zboží vyřazeny u pokladny, buďto mechanicky magnetickým polem, nebo elektricky impulzem střídavého pole co v obvodu samolepky přepálí pojistku.

Jistým mezistupněm byly identifikátory s povrchovou akustickou vlnou (surface acoustic wave, SAW), bez vlastní elektroniky, piezoelektrické destičky s vyleptaným reliéfem a přidělanými polepy s anténou. Pole naindukované do antény způsobí vibrace destičky, které zpětně ovlivňují to, jak intenzivně tag odráží-pohlcuje energii čtečky. Reliéf ovlivňuje šíření vibrací destičkou, a výsledkem je odražený signál modulovaný neustále opakovanou sekvencí impulsů.

Nejdiskutovanější skupinou se v současnosti stávají pasivní RFID tagy s vlastním elektronickým čipem. Mechanicky jsou to pouze křemíkové čipy s připojenou anténou; dle typu tagu se může jednat o dipólovou anténu, realizovanou jako dva protilehlé vodivé proužky s čipem uprostřed (nebo, u tagů které mají být méně citlivé na orientaci vůči čtečce, kříž ze čtyř vodivých oblastí), nebo, pro tagy pracující na nižších frevencích, cívku. Tagy s cívkou, používané pro frekvence 125 kHz, 134 kHz, a 13.56 MHz, jsou v současnosti nejběžnější, budeme se tedy zabývat zejména jimi. Cívka je obvykle namotána z tenkého smaltovaného drátu a má poměrně velkou plochu, se vzduchovým jádrem. Cívka je připojena na kondenzátor, s kterým tvoří rezonanční LC obvod naladěný na frekvenci čtečky. Tagy které mají být velmi malé, např. určené pro implantaci, používají cívky namotané na malinké feritové tyčince. V současnosti probíhají částečně úspěšné experimenty s použitím nekovových materiálů, nejčastěji elektricky vodivých polymerů, jejichž účelem je vyvinout tag který se dá vyrábět extrémně levně, technologií podobnou inkoustové tiskárně. Tagy pro evidenci zboží se často vyrábějí ve formě samolepek s natištěným čárovým kódem, což umožňuje kompatibilitu se starými optickými čtečkami i novými RFID systémy.

Tagy na frekvenci 125 a 134 kHz jsou v současnosti již poněkud zastaralé. Používají se v oblastech kde jsou malé nároky na množství přenesených dat, a tam, kde jsou objekty určené k identifikaci umístěné v blízkosti vody - nižší frekvence jsou vodou absorbované a tedy i tlumené méně. Vzhledem k obsahu vody v živých organismech jsou tyto nízkofrekvenční tagy často používané k implantacím, např. do psů, do návštěvníků vybraných luxusních klubů, nebo do J.X. Doležala. Vzhledem k jejich nízké ceně a nízké technologické náročnosti se také často používají jako bezkontaktní přístupové karty na vrátnicích podniků, nebo klíče k elektrickým zámkům.

Tagy operující na vyšší frekvenci, nejčastěji 13.56 MHz, jsou schopné pojmout a přenést více dat rychleji, používají se tedy spíše tam, kde je nutné v krátké době bezkontaktně přenést větší datovou strukturu. V současnosti nalézají uplatnění v identifikačních dokladech pro osoby, kde nesou strojově čitelné údaje z dokladu, často v kombinaci s biometrickými charakteristikami jeho nositele a digitálním podpisem vydavatele dokladu.

Tagy pracující na vyšších frekvencích se obvykle používají k evidenci a trasování palet a kontejnerů se zbožím. Mimo nákladní dopravu se s nimi běžný smrtelník zatím obvykle nepotkává.

Vlastní funkce tagu je určena schopnostmi jeho čipu. Nejjednodušší tagy jsou pouhé odpovídače, které po vystavení poli čtečky do nekonečna opakují své identifikační číslo. Jsou zároveň i nejlevnější. Jejich použitelnost je ale poněkud omezená nedostatkem dalších schopností; jsou v principu jenom bezdrátově čitelnou obdobou delšího čárového kódu.

Nejjednodušší read-only tagy obvykle nejsou schopné koexistovat s tagy dalšími; jakmile jsou vystaveny poli čtečky, začnou všechny mluvit najednou a přes sebe, a z vzniklé kakofonie kolizí signálů není čtečka schopna porozumět jednotlivým hlasům. Vzhledem k časté nutnosti číst více tagů najednou, např. při odbavení nákupního vozíku plného zboží nebo palety plné krabic, byly vyvinuty tagy antikolizní. Existuje několik používaných schémat pro antikolizní tagy, od těch nejjednodušších, kdy jednotlivé tagy odpovídají v náhodných intervalech s dlouhými mezerami, po sofistikovaná adresační schémata typu adaptivní binární strom, STAC, nebo protokol Gen2.

Sofistikovanější tagy mají vlastní paměť, do které může čtečka uložit digitální data, která pak jiná čtečka načte. Přístup k zápisu a někdy i ke čtení paměti může být chráněn číselným kódem, který musí být součástí čtecího požadavku. Nejde ale o ochranu nijak zásadní. Vzhledem k omezeným schopnostem čipů a jejich slabého napájení je délka kódu směšně krátká (např. jen 32 bitů), což umožňuje vyzkoušení všech možných kombinací v reálně dosažitelném čase. Také se dá na dálku odposlechnout signál z autorizované čtečky, který již kód obsahuje.

Tagy s vlastní pamětí se dají používat k uložení malého množství dat (několik byte až kilobyte). Jsou sice o něco dražší než read-only typy, zato však poskytují mnoho dalších možností. Objekt označený takovým tagem např. může nést strojově čitelnou informaci o svém aktuálním stavu, nejen o své identitě. Čtecí zařízení pak nemusí být propojena s centrální databází, kde by jinak stav příslušný k danému identifikátoru, například data o očkováních které zvíře s implantovaným tagem prodělalo, nebo GPS součadnice na které má být paleta se zásilkou doručena, musel být uložen.

Standardizace

Jelikož výrobců je mnoho a technologie je nová, první typy RFID tagů byly roznamité co se frekvencí a protokolů týče. Jejich vzájemná nekompatibilita znamená natolik velkou překážku ve využití technologie, že přinutila výrobce se dohodnout a zformovat organizaci EPCGlobal, joint venture organizace GS1 (dříve EAN International, organizace mimo jiné standardizující UPC/EAN čárové kódy na zboží), GS1 US (dříve Uniform Code Council, Inc.), a GS1 Canada (dříve Electronic Commerce Council of Canada) spolu s dalšími výrobci a dodavateli, s úkolem standardizovat použité technologie. Jelikož Microsoft ještě nezačal fušovat do RFID, je výsledkem jednání pouze jedna sada norem označovaní jako Gen2, popisující způsoby komunikace mezi čtečkami a tagy, včetně řešení vzájemné kolize odpovědí tagů a umožňující čtení více tagů najednou.

Součástí normy Gen2 je i systém EPC (Electronic Product Code), standard popisující rozdělení 64 a 96 bitových identifikačních čísel mezi jednotlivé výrobce. EPC doplňuje existující standardy UPC a EAN používané pro identifikaci zboží čárovými kódy. Popisuje rozdělení jednotlivých částí čísla mezi hlavičku popisující verzi kódu a jeho strukturu, identifikátor výrobce, třídu objektu, a jeho sériové číslo. Vzhledem k dostupné délce čísla je tedy možné každému objektu vyrobenému na planetě přiřadit vlastní číslo. Starší UPC/EAN čárové kódy identifikovaly pouze zemi výrobce, výrobce, a typ objektu. Všechny identické plechovky s fazolemi od jednoho výrobce tedy sdílely stejný kód. Ve schématu EPC bude mít každá plechovka navíc i unikátní sériové číslo, umožňující ji zpětně dohledat k datu výroby a použitým surovinám dle záznamů výrobce, a vysledovat její cestu přes sklady a dopravce až do obchodu.

Přítomnost

Až donedávna byly RFID systémy vzácné a většinou skryté ve specielních aplikacích, např. sledování palet a kontejnerů v přístavech a velkých skladištích. Rozvoj mikroprocesorové techniky teprve nedávno umožnil pokles ceny technologie natolik, že začala být ekonomická i v místech, kde se jinak vystačilo s čárovým kódem. WalMart, největší světový obchodní řetězec lidově též zvaný Chinamart dle země původu většiny nabízeného zboží, nakázal stovce svých hlavních dodavatelů používat od ledna 2005 RFID značení zásilek v zásobovacím řetězci. Stejnou politiku ke svým dodavatelům zavedlo i americké ministerstvo obrany, do roku 1947 známé jako ministerstvo války. Vzhledem k výhodám, přinášeným detailnějším sledováním pohybu zásilek, spolu s klesající cenou tagů, začínají RFID adoptovat i dopravci a výrobci střední a malé velikosti.

V evidenci zboží a logistice zásobovacích řetězců se RFID technologie používala obvykle jen na úrovni palet a kontejnerů. Klesající cena čteček a zejména tagů ale vede i maloobchodníky k testům technologie na úrovni sledování počtu jednotlivých balení zboží v regálech v prodejnách. Pionýrem v oboru je zde zejména firma Gilette a řetězce WalMart a KMart.

Pasivní RFID tagy ve formě přístupových karet se již několik let používají na vrátnicích rozličných podniků, kde nahrazují klasické karty s magnetickým proužkem; díky absenci poškoditelných povrchů a mechanických součástek ve čtečkách mají mnohonásobně vyšší spolehlivost. Karta, kterou k použití stačí přiblížit k terminálu na vzdálenost několika milimetrů až centimetrů, třeba i bez jejího vyjmutí z kapsy či kabelky, bývá založena na této technologii. Tytéž karty v jejich mechanicky upravené variantě se začínají používat na některých konferencích jako identifikační jmenovky.

Přívěsky na klíče, používané k bezkontaktnímu otevírání dveří, se dnes již docela rutinně používají i v našich technicky mírně zaostalých končinách. Elektronicky jsou totožné s kartami, liší se jen velikostí a provedením cívky antény.

Čipy ve formě náramků se používají v některých amerických věznicích, např. v Kalifornii, Michiganu, a Illinois, pro sledování pohybu vězňů.

RFID čipy se začínají celosvětově nasazovat v osobních identifikačních průkazech. Na nátlak Spojených Států jsou narychlo zaváděny do nově vydávaných pasů. Dle globálního standardu ICAO jsou použity čipy typu ISO14443 operující na 13.56 MHz, s přístupem k datům chráněným algoritmem Basic Access Control. USA počítají s nasazením technologie v nových pasech od srpna 2006. Použitá technologie BAC je natolik bezpečná, že se holandským technikům z bezpečnostní firmy Riscure podařilo odposlechnutou transakci mezi počítačem a čtečkou dekódovat během dvou hodin strojového času obyčejného PC, a získat přístup k přeneseným datům - mimo jiné digitalizovanému otisku prstu a fotografii. ISO14443 specifikuje čtení tagu do vzdálenosti dvou milimetrů od čtečky, ale občas se objevují zprávy o specielních čtečkách schopných číst nestíněné tagy na vzdálenost několika metrů. České pasy budou používat podobný standard; kontrakt na jejich čipy typu Axseal byl uzavřen s firmou Axalto. Čip spolu s anténou bude zataven v polykarbonátové fólii. Do čipu budou vloženy biometrické údaje majitele pasu. Od roku 2006 to bude digitální fotografie, od poloviny roku 2008 se počítá s přidáním otisku prstu.

I čipové karty mohou být vybaveny RFID rozhraním. Obvykle se nalézají v platebních a identifikačních aplikacích, kde primitivní RFID nižších generací nestačí. Mají vzhled běžné čipové karty, bez viditelného kontaktního pole čipu; existují ale i hybridní systémy, kde tentýž čip může komunikovat bezdrátově i přes konektor. Často jsou nasazeny v platebních systémech hromadné dopravy. Příkladem budiž Octopus card v Hong Kongu, využívající čip Sony FeliCa operující na frekvenci 13.56 MHz a komunikační rychlostí 212 kilobitů za sekundu. Vysoká rychlost komunikace umožňuje zkrátit dobu transakce až na 0.3 sekundy, v porovnání s 5 sekundami pomalejších karet operujících na 9.6 kbps. Kartu lze použít i pro drobnější nákupy, platby za parkování a ve výdejních automatech, a jako přístupovou kartu do různých objektů. Variantou je Octo-phone, mobilní telefon s FeliCa čipem vestavěným v krytu. Karta používá kryptograficky zajištěnou komunikaci. Operátor systému má v současnosti zajištěné kontrakty na platební systémy dopravy v několika městech v Holandsku. Na některých trasách v Paříži je použit systém Navigo. Oyster card je RFID karta používaná v londýnské dopravě, založená na standardu MIFARE, 13.56 MHz systému podle ISO14443. Mnoho podobných systémů je používáno v jiných městech po celém světě.

Implantované RFID tagy se rutinně používají pro evidenci hospodářských zvířat. Po navázání na další stupně zpracovatelského a zásobovacího řetězce pak bude možné z EPC čísla z plechovky s gulášem dohledat rodokmen krávy, z níž byl guláš vytvořen. Zda bude koncovým spotřebitelům povoleno takto zjistit eventuelní genové modifikace či jiné potenciálně kontroverzní technologie použité při výrobě dané potraviny zůstává závislé na intenzitě lobbistických tlaků příslušných megakorporací.

Malé skleněné tagy operující na frekvencích 125 kHz a 134 kHz se také používají k čipování zvířat domácích. Zatavené skleněné trubičky průměru 2 mm a délce 12 mm jsou u psů a koček sterilní jehlou zavedeny pod kůži zhruba mezi lopatku a úroveň obojku. Tagy nesou sériové číslo, v České republice v souladu s normou ISO3166 začínající předponou CZE nebo číslem 203, a pokračjící vlastním sériovým číslem zvířete, které je zaneseno v jeho eurobumážce známé jako Euro Pet Passport. Většina veterinářů používá systém DATAMARS nebo INDEXEL, které jsou vzájemně kompatibilní a v souladu s normami ISO11784 popisující použité čipy a ISO11785, popisující použité datové struktury. Identifikační číslo zvířete je spolu s osobními údaji majitele zaneseno do databáze.

Exotická zvířata se čipují taktéž. Zde se ale v souladu s nepsanými pravidly o maximalizaci množství používaných standardů přirozeně ujal konkurenční systém EURO ID TROVAN. Ten je používán i pro psy a kočky, ovšem pouze malou částí veterinářů. Se systémy DATAMARS a INDEXEL je samozřejmě nekompatibilní. Většina v současnosti používaných čteček ale umí oba typy formátů.

Implantované čipy se začínají používat i u lidí. Průkopníkem v oblasti se roku 1998 stal Kevin Warwick, profesor kybernetiky z britského Readingu. Roku 2004 získala firma VeriChip Corporation povolení od amerického Úřadu pro potraviny a léčiva (FDA) pro VeriChip, RFID čip určený pro lidi. V principu se jedná o podobný pasivní 125 kHz RFID čip jako je používaný pro zvířata. Po ozáření čtečkou vysílá šestnáctimístné identifikační číslo. Nemá další funkce ani zapisovatelnou paměť. Výrobcem je propagován primárně jako identifikace osob pro lékařské účely. VeriChip se začíná používat i pro kontrolu vstupu a pro platby, podobně jako klasické RFID karty stejných schopností; čip samotný je principielně stejný, ať už je zabudován do plastikové karty nebo do skleněného zrna. Nejedná se ale o zrovna bezpečnou technologii. Vzhledem k absenci jakéhokoliv zabezpečení se implantovaný čip dá elegantně zkopírovat a naklonovat. Prototypové zařízení pro klonování RFID tagů bylo sestrojeno kanaďanem Jonathanem Westhuesem a publikováno v prosinci 2005. Svázanost čipu s osobou se zde stává značnou bezpečnostní nevýhodou, neboť odložit implantovaný identifikační průkaz na bezpečné místo v době, kdy není potřeba, je poněkud nepraktické. Na rozdíl od karty, kterou je např. před návštěvou baru možno ponechat doma. V komerčním sektoru jsou implantované čipy používány některými exkluzivními soukromými kluby, např. Baja Beach Club ve Španělsku a Holandsku, pro jejich VIP klienty za účelem identifikace a k platbám za nápoje. V amatérské sféře získal značnou publicitu Amal Graafstra, který si začátkem roku 2005 nechal implantovat čip typu EM4102 do levé ruky a později modernější kryptograficky (i když poněkud slabě) zabezpečený Philips HITAG 2048 S do ruky pravé; nedávno dokončil knihu "RFID Toys", v níž popisuje mnohé projekty proveditelné s RFID čipy implantovanými i samostatnými. Jeho příkladu poté následovali i další vývojáři, mimo jiné Dan Lane a Philip Beynon. Zde je dobré poznamenat, že ne všechny ve skle zapouzdřené tagy se hodí pro implantaci; některé jsou namísto toho určeny k použití v kapalinách nebo k zatavení do plastových součástí.

Rizika

Každá technologie, která usnadňuje sledování objektů a lidí s objekty spojenými, obzvláště např. s auty, mobilními telefony, a platebními kartami, představuje v nesprávných rukou riziko. Propojení čtecích zařízení do sítí vyvolává značné pokušení, a v některých případech i zákonnou povinnost, ukládat záznamy o provedených transakcích; kde a kdy bylo to které vozidlo viděno, kdy byla která platební karta přiložena ke kterému terminálu, kdy byl který průkaz předložen na které vrátnici. K těmto datům pak mohou zpětně získat přístup subjekty s nepřátelskými úmysly - od tajných služeb přes policii po rozvodové právníky. Například londýnská policie rutinně vyžaduje údaje o použití Oyster karet. K březnu 2006 vznesla již celkem 243 požadavků, z toho 229 bylo vyhověno jako oprávněným. Jen v lednu 2006 bylo žádostí 61.

RFID zde samo o sobě nepředstavuje přidané riziko. Ten samý scénář je možné sehrát s jakoukoliv jinou identifikační technologií; od biometriky (rozpoznávání obličejů, otisků prstů, oka) přes klasické tištěné čárové kódy (použité např. jako 2D-barcodes ve strojově čitelných zónách pasů, technologické předchůdce čipů s nižším množstvím uložených dat) až po v současnosti již široce používané optické rozpoznávání poznávacích značek na vozidlech. Například vjezd do zpoplatněného centra Londýna eviduje celkem 230 kamer s optickým rozpoznáváním poznávacích značek; evidence je prakticky stoprocentní, bez použití jediného RFID zařízení.

Nejvýznamnější rozdíl oproti technologiím vyžadujícím optický kontakt, např. čárovým kódům nebo některým typům biometriky, je zde možnost komunikace s čipem přes vrstvu jiných materiálů. Při použití antikolizních čipů je tak možno najednou přečíst celý obsah nákupní tašky i peněženky a automaticky sečíst zboží odnášené z prodejny, odepsat jej ze skladové evidence (a automaticky objednat novou paletu zubních past z centrálního skladu protože mezisklad na prodejně jich už hlásí poslední krabici), a jeho cenu odepsat z příslušné kreditkarty. Spolu s automatickou slevou 2%, neboť ve šrajtofli byla nalezena i věrnostní karta příslušného hypermarketu. Oblastí pokladny procházíte bez fronty. Vaše nákupní data jsou přežvýkána počítači, v reálném čase prodána dále, a než stačíte dorazit domů, bude do vašeho emailu doručeno půl tuctu nabídek na další zboží, o které byste podle statistických rozborů podobných nákupů jiných spotřebitelů mohli mít zájem. Začátkem následujícího měsíce pak dostanete zdvořilý dopis od vaší pojišťovny, jejíž počítač usoudil, že někdo, kdo konzumuje takové množství bramborových lupínků, pro ně představuje příliš velké riziko, a vypovídá vám tedy smlouvu v souladu s dodatkem A bodu 117 vaší pojistné smlouvy. Tato agregace a prodej dat se ale dá provést i s klasickými čárovými kódy. Riziko zde nepředstavuje ani tak vlastní RFID technologie, jako spíše databáze, v nichž jsou uloženy provedené transakce, a data-mining algoritmy na jejich zpracování. Přesto pokusy nasazení RFID do maloobchodního prostředí pro svůj potenciál usnadnění sledování zákazníků vyvolávají oprávněný masivní odpor organizací na ochranu spotřebitelů, v čele se sdružením CASPIAN (Consumers Against Supermarket Privacy Invasion And Marketing). Některé standardy proto implementují do čipů funkci "kill", která jej ireverzibilně vyřadí z provozu po odbavení u pokladny.

Kill funkce ale otevírá potenciální zranitelnost obchodů samotných. Zařízení chovající se jako čtečka opakovaně vysílající zabíjecí signál všemu, co se jí ozve, by mohlo nadělat v obchodě na RFID technologii spoléhajícím docela slušnou paseku. Stačí se s ním v kapse projít podél regálů. Protivníkem s motivací zde může být i křehká stará dáma, jejíž padesát let okopávaná zahrádka se nyní nachází pod oddělením mléčných výrobků nového mehagypermarketu.

Díky délce EPC kódu může mít každý objekt svou vlastní unikátní identifikaci. Obyčejná plechovka fazolí pak může zanechat v databázích stopy své cesty od výrobce přes dopravce a velkoobchody až k pokladně hypermarketu. A možná i dále; v principu se dá z takto označené odhozené plechovky přečíst sériové číslo, dohledat do kterého obchodu byla dovezena, a tam se pak optat databáze z pokladny, kterou kreditkartou byla zaplacena a který den. Databáze banky k číslu karty dodá i identitu majitele. Jehož cestovní plány v okolí dané doby se pak dají ověřit ze záznamů průjezdů jeho auta výběrčími místy mýtného, a z lokačních dat jeho mobilního telefonu, ze zákona schraňovaných telekomunikačními operátory. Jak potom dotyčný vysvětlí vyšetřovatelům, jak se jím zaplacená plechovka dostala do odpadků místních policií sledovaných nepohodlných aktivistů, tou dobou již zatčených za provozování neschváleného a tedy podvratného protiválečného pouličního divadla, je pak už jen jeho problém.

Na druhou stranu, značení individuálních plechovek usnadní jejich stažení z trhu v případě chyby ve výrobě či kontaminaci šarže produktu. Takto půjde například selektivně stáhnout z prodeje maso z jedné jediné vadné krávy. Čtečky v ledničce a spíži také mohou umožnit přesnou kontrolu okamžitého stavu zásob potravin, díky evidenci záručních dob vyloučí překvapení typu losos ročník 1988 skrývající se na dně mrazáku, a automaticky přidají vámi oblíbený jogurt na nákupní seznam když z lednice vyjmete poslední kelímek. Nebo naopak vaše lednice MS-Tundra 2010 Home vyplivne hlášku, že na kompatibilitu s maďarským gulášem potřebuje minimálně servicepack 5 a bez něj konzervu nepřijme a jestli si přejete stáhnout upgrade hned nebo až za chvíli. Který, jak později zjistíte, způsobí nekompatibilitu s jogurty.

RFID se dnes používá v mnoha bezpečnostních aplikacích. Avšak proti RFID v jeho současné podobě je dokonce i notoricky děravé WiFi bezpečné jako Alcatraz. Naprostá většina tagů jde elegantně zkopírovat; těch zabezpečených je málo, neboť jsou složitější a drahé, a většinou stejně nestojí za moc, neboť použití klíčů o rozumé délce by vyžadovalo víc tranzistorů a víc elektřiny, než je v dané aplikaci k dispozici. Navíc vzhledem k použití čtečky jako napájecího zdroje máme čip přímo induktivně vázaný na čtečku, z níž můžeme mírnou úpravou diferenční proudový analyzátor učiniti. A hle, máme side-channel útok který i 128bitový kryptopancíř na přední straně systému obejde zadem přes otevřené sklepní okno. Někteří výrobci navíc používají své vlastní algoritmy, které neuveřejňují, v bláhové naději, že jim to pomůže. Ovšem v takových algoritmech bývají netěsnosti, neboť vzhledem k jejich utajení neprošly dostatečnou úrovní kontroly, a jsou tedy náchylné na oslabení matematikou; DST tag od firmy Texas Instruments byl prolomen právě díky použití neveřejného algoritmu. Ale pořád je to lepší než nic, a třeba taková plechovka s gulášem za útok a duplikaci kromě převelice specielních případů nikomu stát nebude. Identifikační karta do datacentra už ale může být o něčem jiném. Zvlášť pokud je řešená jako implantovaný čip. Toto je v současnosti asi nejzávažnější krátkodobé až střednědobé riziko.

Dalším bezpečnostním rizikem je odcizení implantátu. Vzhledem k jeho obvykle pevnému spojení s držitelem se s těmito situacemi alespoň zpočátku nebude počítat, pro motivovaného protivníka je ale relativně jednoduché čip získat s použitím hrubé síly a ostrého předmětu. Podobný případ se již stal v Malajsii, kde v březnu 2005 čtyři ozbrojení lupiči přepadli majitele Mercedesu třídy S, auta vybaveného imobilizérem se snímačem otisku prstu. Po nepovedeném pokusu auto nastartovat za pomocí mačety odebrali majiteli konec ukazováčku, s kterým jim pak palubní počítač vozu dovolil odjet. Není důvod předpokládat, že RFID technologie bude proti tomuto způsobu útoku imunní.

Potenciální problém představují projekty na zavedení RFID tagů do bankovek. Dle zvěstí z roku 2003 mají být eurobankovky vyšších nominálních hodnot vybaveny miniaturním čipem s jejich sériovým číslem, prý jako ochranu proti padělání; o zakázce se jednalo s firmou Hitachi, která chce použít svůj mu-chip o datové kapacitě 128 bitů a velikosti menšího zrnka písku, a zatím má potíže s mechanickou konstrukcí antén, které se v provozu od čipů odlamují. Snad se jim problém vyřešit nepovede; identifikace každé bankovky spolu s příliš vysokou hustotou čteček by vedla k nepříjemnému oslabení anonymity hotovostních transakcí. Dalším efektem pak bude možnost dálkově číst množství hotovosti v peněženkách, alespoň těch nestíněných.

Identifikační čipy v dokladech jsou také jisté riziko. Norma ISO14443 sice udává vzdálenost na čtení čipu řádově v jednotkách milimetrů, s dostatečně velkou anténou a dostatečně velkým budícím proudem ale půjde dosáhnout mnohem větších vzdáleností. Občas se ozve někdo, že se mu příslušný čip podařilo přečíst na jeden až několik metrů. Např. rámová anténa zamontovaná ve dveřích by měla být schopna přečíst všechny čipy, co dveřmi projdou, pokud nejsou specielně odstíněné. Přepsání dokladu na jinou identitu bude problematické, jelikož data budou kryptograficky podepsaná, to však jen přesouvá problém na zabezpečení podpisových certifikátů na všech lokalitách, kde k vydání podpisu dochází, a zabezpečení příslušné procedury vystavení podpisu. A lidí obsluhující příslušné počítače. Nic není neprůstřelné.

Dálkové čtení dokladů může sloužit k pohodlné evidenci demografie osob pohybujících se v pokryté oblasti. Marketingové využití může vést k vyhledávání turistů z bohatších zemí k jejich lákání cílenou reklamou, vytypovávání vhodných kandidátů na nedobrovolné odebrání peněženek, nebo naopak pro upozornění místních partyzánů, že v oblasti se pohybuje někdo z území danou oblast bombardujícího či embargujícího. Mechanickým partyzánem může být i automat, detektorem a počítačem vybavená roadside bomba, známý tichý strážce baghdádských ulic.

Dokonce i místní čtení dokladů má svá rizika. Umožní snadné a levné - příliš snadné a příliš levné - vytváření databází chování vs ověřených identit. Například každý prodaný mobilní telefon pak může mít svou identitu - IMEI - svázanou s identitou kupujícího, stejně jako každá prodaná SIM karta. Nebo MAC adresy síťových a WiFi karet. Nebo identifikační čísla CD a DVD vypalovaček, spolu s firmwarovým patchem který je vloží do záznamu, např. do lead-in nebo lead-out částí datových stop, na jimi vypálených médiích. Stačí odhlasovat jediný zákon. (Je to i bez RFID, vést evidenci manuálně, ale pokud to bude obtížnější než přiložit občanku ke čtečce, spíše se najde někdo ochotný se na takovou otravnost po zásluze vykašlat.) Totéž platí o rozličných platebních kartách (např. typu Oyster nebo Octopus) a následných transakcích jimi provedených. Nebo o hotovostních nákupech nad x,000 Kč, následně hlášených Finančnímu Úřadu. Nebo o nákupech pilulek na nachlazení, kvůli jejich obsahu pseudoefedrinu; primární úmysl je zde potlačení výroby pervitinu a jeho derivátů, výsledkem ale bude i databáze nákupů, z nichž půjde odvodit, kdo rutinně přechází nachlazení (a vyhýbá se tím opakované kratší pracovní neschopnosti, která může mít v rozvinutém kapitalismu fatální následky pro kariéru), a tím si zvyšuje riziko budoucích zdravotních problémů. Což bude velmi zajímat rozličné pojišťovny, které pak dotyčnému příslušně nastaví poplatky - pokud ho vůbec pojistí.

Osobní doklady mohou být řešeny i jako implantovaný čip. Vzhledem k eschatologické signifikanci čipových implantů mezi některými sociologickými skupinami, beroucími vážně některé současné interpretace Zjevení sv. Jana, nebo interpretacím jiných méně publikovaných proroctví a schizofrenií či houbičkami způsobených halucinací, bude tato metoda svázání majitele s čipem poněkud kontroverzní. (Elegantní by mohla být interpretace populárního "znamení na čele a pravé ruce" jako biometriky používající tvar obličeje a otisk prstu či dlaně.) Stejného účelu lze ale dosáhnout kombinací biometriky a legislativy; namísto nařízené implantace bude občanům nařízeno nosit s sebou čip spolu s doklady. Tatáž skupina aktivistů ovšem před pár lety podobným způsobem vykládala i obyčejné čárové kódy. Je faktem, že s dostatečně velkou plochou se podobného efektu dá dosáhnout i s obyčejným 2D čárovým kódem typu PDF417, Semacode, QR-Code, či jiného vhodného pro danou aplikaci, a pokutami či zabásnutím vynucovaná povinnost daný identifikační objekt nosit s sebou.

RFID tagy v objektech vyšší hodnoty mohou sloužit jako radiomajáky přitahující lupiče. Kufřík, kabelka, či dokonce auto tak mohou příslušně vybavenému pobertovi vyklopit detaily o svém obsahu drahé značkové elektroniky či oděvních doplňků, lákavých a snadno zpeněžitelných cílů. Precedens využívající jinou bezdrátovou technologii již existuje; v anglickém hrabství Cambridgeshire byly oznámeny případy, kdy zlodějíčci použili mobilní telefon s Bluetooth rozhraním pro zjišťování blízké přítomnosti dalších Bluetoothem vybavených mobilů a laptopů, jejich následné nalezení a "privatizaci".

Tagy mohou být použity jako ověření pravosti značkového zboží. Nepřítomnost tagu s kryptograficky podepsanou identitou výrobce a výrobku pak může sloužit jako indicie, že se jedná o padělek. S příslušnými důsledky pro držitele věci. Ve věku masivních reklamních kampaní, snažících se odsunout nositele neznačkových oděvů do role podlidí, ve věku, kdy může být člověk zastřelen, aby se mu daly odcizit značkové boty (Jordan "Solidify", Chicago, březen 2005), ve věku, kdy si mezinárodní megakorporace, často prázdné slupky postavené jen na jménu a logu a s veškerou výrobou kontrahovanou třetím stranám na Dálném Východě, kupují zákony na svou ochranu a lobují za tvrdší tresty pro padělatele i jejich zákazníky, se může jednat o významné přidané riziko - ať si vyberete jakoukoliv variantu (originál, kopie, no-name alternativa), riskujete (krádež, postih, posměch označkovaných vrstevníků).

Tagy s vlastní pamětí mohou potencielně sloužit jako vektory pro červy. Mobilní kód červa je realizován jako buffer overflow nebo SQL injection, a zapsán do datové části tagu. Jde sice pouze o blok dat, ale zmíněné overflow/injection zranitelnosti databáze z něj po přečtení udělají spustitelný - a spuštěný - kód. Napadená čtecí zařízení pak jsou přeprogramována, aby kromě své základní funkce zapisovala červa do všech zapisovatelných tagů s kterými bude komunikovat. Což je sice technicky možné, a bylo na k tomu účelu úmyslně navrženém systému demonstrováno a publikováno jako "RFID Viruses and Worms" na konferenci IEEE PerCom 2006, v praxi však vyžaduje nepravděpodobně vysokou úroveň neschopnosti při návrhu příslušné databáze, dokonce i při dnešní katastrofální úrovni kvality softwaru. Jako nášlapná mina, úmyslně skrytá ve vhodném closed-source systému, by to ale mohlo být použitelné.

Dálkově čitelné indikátory v rozličných objektech ale mohou být i užitečné. Čtečka ve dveřích od bytu může připomenout zapomenuté brýle, čtečky strategicky rozmístěné po bytě napoví, kde byly naposledy zaznamenány klíče od auta. Automatické udržování zásob potravin již bylo probráno výše. Rozličné senzory a detektory mohou s výhodou využít RFID rozhraní taktéž.

Obrana

Jak bylo řečeno výše, RFID technologie má svou odvrácenou stranu. Spoléhat, že nás před ní ochrání zákony, bude asi stejně efektivní, jako spoléhat, že králičí pletivo bude účinnou zábranou proti vosám. Nějakou dobu to sice může vypadat napůl funkční, ovšem dříve či později s použitím postupného odkrajování "malých a nevýznamných" kousků dosáhnou Ti Kteří Mají Peníze, spolu s Těmi Kteří Straší Terorismem, svého. Zaměřme se tedy spíše na technologii samotnou a její slabiny.

Pasivní RFID tagy ke své činnosti potřebují poměrně velkou intenzitu pole a operují na známých frekvencích. To výrazně omezuje možnou utajenost jejich použití. Lidskými smysly sice pracující čtečku odhalit nejde, i velmi jednoduché zařízení podobné krystalce však může ucítit její pole na významně vyšší vzdálenost, než je nutné na probuzení čipu v tagu. Frekvence čtečky, a se sofistikovanějším vybavením i příkazy které vydává tagům, může hodně napovědět o jejím skutečném úmyslu. Samotná její přítomnost, umístění, síla a tvar jejího pole a její dosah též poskytuje nepřímou informaci o jejím účelu. Detektor může být postaven kolem LC rezonátoru získaného z vykuchaného tagu, detekční diody, a klopného obvodu ovládajícího LED, pípátko, nebo vibrační motorek, za velmi velmi nízkou cenu i při použití nových součástek. Přečíst tag způsobem, který by přítomnost čtečky neprozradil i velmi jednoduše vybavenému člověku, je vzhledem k použitým energiím prakticky nemožné.

Snadno lze detekovat i samotné tagy. Můžeme použít vlastní čtečku, a postupně zaměřit, v jakých orientacích a z jaké vzdálenosti tag přečteme. Tag je v principu LC oscilátor, který i bez použití čtečky nebo při použití exotických protokolů půjde elegantně zaměřit sacím měřičem, známým též jako grid dip oscillator nebo grid dip meter většině radioamatérů. V některých případech se dá najít i jasným světlem, prosvícením objektu a manuálním nalezením antény. Ta věcička může sice být velmi malá, ale před příslušně vybaveným technikem se vzhledem k principu své činnosti nemá kam schovat.

Víme-li, kde se tagy nalézají, můžeme jim zabránit v komunikaci s čtečkou. Obvykle toho lze dosáhnout vrstvou vodivého materiálu okolo tagu, neboli jeho uzavřením do Faradayovy klece. Úplné uzavření funguje nejlépe, ale i pouhá jedna vrstva kovu v těsné blízkosti tagu významně snižuje vzdálenost, na kterou je možno jej přečíst. V případě indukčně vázaných tagů, používajících jako anténu cívku, je možné je přečíst i přes vrstvu hliníkové fólie (odzkoušeno s 125 kHz tagem), i když pouze z bezprostřední blízkosti. Jsme-li dostatečně paranoidní, a má-li protivník čtečky s dostatečně šíleně vysokou intenzitou pole, můžeme namísto hliníkové fólie chtít použít feromagnetický materiál. Máme-li těsný rozpočet, poslouží plech z kozervy; luxusní verze stínění mohou použít exotičtější a odporně drahé slitiny typu permalloy. Existují i vodivé tkaniny, použitelné jako stínění; např. LessEMF.com dodává rozličné typy s povrchem vláken pokrytým niklem, mědí, či stříbrem. Ušít se z nich dá třeba nenápadná podšívka kapsy, nebo obal na občanku.

Tagy lze i rušit. U starších levnějších typů bez antikolizních algoritmů stačí, jsou-li v poli čtečky současně tagy dva. Ty pak mluví přes sebe a čtečka nerozumí. U antikolizních tagů se tagy a čtečka domlouvají, kdo bude mluvit kdy. Sestrojme tedy zařízení, chovající se jako tag s vyšší citlivostí než tagy obyčejné (a tedy odpovídající na větší vzdálenost), a udělejme jej naslouchající na úplně všech identifikačních číslech z adresového rozsahu tagů. (Nebo jen na těch několika, které chceme zneviditelnit.) Po oslovení pak vysílejme zpět data, která způsobí kolize se signály z ostatních v daném okamžiku oslovených tagů, a změní je na změť pro čtečku nečitelnou. Pasivní rušičku na tomto principu, bez vlastního napájení, již roku 2003 popsala firma RSA Security, pod názven RSA Blocker Tag.

Tagy jdou falšovat, nebo bychom raději měli použít výraz emulovat. Jak bylo popsáno výše, nezašifrované tagy lze přečíst a pak za tímto účelem postaveným zařízením simulovat jejich činnost. Emulátor tagu je krabička s vlastním napájením, naslouchající signálu z čtečky, a v jeho přítomnosti odpovídající stejným protokolem jako tag, ovšem s uživatelem definovanými daty. S příslušným softwarem lze takto simulovat libovolné množství tagů.

Některé tagy implementují příkaz KILL, kterým je možno je vyřadit z provozu. Zda se bude jednat o vyřazení úplné nebo reverzibilní již záleží na vlastní implementaci.

Chceme-li se problému s jednotlivým tagem zbavit napořád, máme též několik možností. Slabinou je zde samotný čip, nebo přesněji elektrická pevnost jeho polovodičových přechodů. Překročíme-li ji, čip umře. Dosáhnout se toho dá jeho nakrmením příliš velkým množstvím energie, větším než dokáže ustát. Cívka je obvykle přemostěna Zenerovými diodami, které omezují maximální napětí na jejím výstupu na bezpečnou mez. My zde máme dvě možnosti: buďto použijeme dostatečně krátký impuls, na který diody nestihnou reagovat (omezeno indukčností cívky), nebo naopak použijeme delší impuls a dodáme tolik energie, že ta přebytečná, která se na diodách mění v teplo, je přehřeje a zničí. K tomuto účelu můžeme použít laděný obvod, simulující část čtečky která dodává pole pro napájení tagu, jen s anténou lokálnějšího dosahu a polem mnohem vyšší intenzity. Mechanické uspořádání a použitá frekvence musí vést k co nejlepšímu přenosu energie mezi anténou a tagem. Byly již publikovány modely likvidátoru tagů vytvořené z obvodu fotoblesku získaného z fotoaparátu na jedno použití. Vystavení tagu mikrovlnám v troubě by teoreticky mělo být velmi spolehlivé, je zde ale riziko přehřátí ostatních kovových částí, nebo dokonce roztavení či vzplanutí obalu vlastního tagu. Lze zničit i implantovaný tag, bez jeho mechanického poškození; živá tkáň používanou frekvenci 125 kHz příliš neabsorbuje, nebude tedy poškozena tepelně. (Nepoužívat mikrovlny pokud nevíte přesně co děláte!) Snese též vysoké intenzity elektrického pole; lidé často bez větších škod přežijí i přímý zásah bleskem. Implantovaný tag je tedy z elektrického hlediska o dost choulostivější než sval, v němž je uložen.

Závěrem

Je tedy RFID hrozbou, nebo požehnáním? Svým způsobem oboje. Dá se použít, a marketingem a nebezpečnostními složkami také bude použito, pro šmírování lidí. Jako mnoho dalších technologií. Dá se ale použít i pro o něco pohodlnější život. Tím, že se seznámíme s principy jeho funkce, a jeho praktickými a fyzikálními omezeními, budeme schopni se lépe bránit, a o něco zpomalit postupné užírání našeho soukromí. Na rozdíl od technik typu biometriky můžeme pokusy o naší identifikaci bez našeho vědomí pomocí RFID poměrně účinně znemožnit, nebo alespoň detekovat.