Ochrana soukromí (nejen) v systémech s RFID čipy

Jedním z velkých a médii často komentovaných příkladů nasazení RFID čipů ve skutečném životě je pražský projekt univerzální karty Opencard, který má Pražanům zpohodlnit a zpříjemnit přístup k veřejným službám. Protože podobné projekty existují i v jiných městech, neuškodí se podívat, jak je zde řešena ochrana soukromí.

O tom, jak fungují RFID čipy bylo napsáno již mnohé, například zde nebo zde. Pro pochopení následujícího textu ovšem zcela stačí, pokud si představíme kartu s RFID čipem jako nějaké paměťové médium – například USB klíčenku – s malou kapacitou, ze které lze číst případně na ni zapisovat vzduchem, aniž by ji bylo nutné vyndat z kapsy. Není ani třeba nějakého explicitního souhlasu (tlačítko OK/CANCEL zde nenajdeme).

Ochrana soukromí a osobních údajů se řídí pravidly, která jsou definována v zákoně č. 101/2000 Sb. Systém, který bude “privacy friendly”, by tedy měl minimálně splňovat zákonné náležitosti, a to především pak par. 5 odst. 1 d)

Správce je povinen shromažďovat osobní údaje odpovídající pouze stanovenému účelu a v rozsahu nezbytném pro naplnění stanového účelu,

Práce návrháře systému s RFID čipy vypadá (nebo by měla) asi tak, že nejprve začne výčtem požadovaných funkcí, a následně zajistí, aby byla ve všech daných klíčových situacích potřebná data k dispozici. To se dá dělat dvěma způsoby – buď skladováním stále přístupné rozsáhlé databáze pro strýčka Příhodu, nebo aplikací pravidla “skladuji jen to, co potřebuji”. K soukromí přátelský a zároveň legální je samozřejmě pouze ten druhý. Škoda jen, že paměť a paměťová média jsou dnes tak levná a procesory tak rychlé.

Zakopnutí první – Autentizace nevyžaduje odhalení identity

K tomu, abych prošel domovními dveřmi, nepotřebuje zámek vědět, kdo jsem, pokud mám správný klíč. Pomiňme případ, kdy je obhajitelné tvrdě zasáhnout do práva na soukromí a evidovat, kdo a kdy se v daném prostoru pohyboval. Když si kupuji láhev alkoholu, prodavač nepotřebuje znát mé jméno a vědět, kde bydlím – stačí mu vědět, že je jsem zletilý. K tomu, abych se svezl tramvají, stačí prokázat, že jsem tím či oním způsobem dopravil na účet provozovatele tramvajové linky částku, za kterou je ochoten mě svézt.

Dokud se návrhář nenaučí myslet tímto způsobem, je problém. Jak přiznává Kim Cameron z Microsoftu na svém blogu ve vynikajícím článku The LAWS OF IDENTITY, nedostatečný důraz na tyto principy vedl k částečnému neúspěchu projektu Microsoft Passport (psali jsme v Microsoft Passport v koncích. Nebo na začátku?). Jen pro zajímavost, dnes Microsoft místo toho pracuje na akvizici technologie U-Prove vyvinuté Microsoftem nedávno zakoupené společnosti Credentica. Té se podařilo postavit prakticky použitelný a soukromí přívětivý systém správy digitálních identit na bázi kryptografické lahůdky Zero Knowledge Proof. Tento koncept je svým významem pro digitální svět srovnatelný s asymetrickým šifrováním. Microsoft to samozřejmě nedělá nezištně. Kdo vymyslí způsob, jak někdo online prokáže, že je mu více než 18 let, aniž by musel prozradit cokoliv jiného, zbohatne podobně jako Mark Shuttleworth na (mimochodem téměř bezcenných) SSL certifikátech.

Projekt Opencard se bohužel ubírá cestou naprosto opačnou – ještě než vůbec začnete využívat jakékoliv služby, musíte předložit občanský průkaz – bez něj totiž běžnou kartu nedostanete. Tím je nejen sama karta, ale každé její použití navždy spojeno s odhalením identity.

Zakopnutí druhé – Centralizovaná správa nesouvisejících služeb

Opencard dostanete výměnou za nahlášení a prokázání své identity v Pražském centra kartových služeb. Odtamtud údaje putují k akciové společnosti, která provozuje a spravuje příslušnou databázi. Samotná opencard by ovšem byla k ničemu, pokud by nezpřístupňovala nějaké služby. V současné době jsou to časové jízdenky v pražské MHD, výpůjčky v knihovně, placení parkovného a přístup na web Magistrátu. Ani jednu z těchto služeb ale není možné využívat anonymně – a to právě proto, že základní stavební kámen platformy, samotná karta, stojí a padá s předložením občanského průkazu. Vzhledem k proklamovanému záměru nabídnout využití opencard v budoucnu i dalším účelům se takové řešení zdá z hlediska ochrany soukromí velmi nešťastné. Kdyby někdo chtěl do systému opencard přidat hypotetickou aplikaci „Předplatné do divadla“, nelze při nejlepší vůli jinak, než že se někdo dozví, kdy, na co a kam dotyčný Pražan do divadla chodí.

Autoři projektu po kritice přišli s anonymní Opencard – za tu si je ale třeba připlatit, je nekompatibilní s některými službami (například běžná časová jízdenka MHD) a celkově vykazuje znaky záplaty. Pro úplnost je třeba dodat, že ve většině případů správa databáze související s danou službou v praxi spadne opět pod společnost, která tento koncept navrhla. Ta sice databáze provozuje odděleně, nicméně v odůvodněných případech (například na žádost policie nebo tajných služeb) dokáže data jednoduše propojit přes identifikační číslo karty. Určité úkony, jako například parkování, které dříve byly zcela anonymní, tedy tuto vlastnost ztrácejí, a navíc je lze propojit i s úkony dalšími, jejichž vzájemná souvislost je dána jen tím, že jsou přístupné pomocí opencard. S postupným rozšiřováním nabídky služeb na této multifunkční kartě se tedy bude zaostřovat obraz o našem životě, zvycích a pohybu po městě, kdykoliv dostupný „oprávněným osobám“.

Zakopnutí třetí – technologie existují, jen je využít

Ačkoliv primárním tématem tohoto článku je ochrana soukromí, nikoliv bezpečnost, nelze se nezmínit o jistých rizicích RFID čipů. Původní verze opencard tak, jak začala být vydávána, nebyla zabezpečená vůbec. Jméno, datum narození a pohlaví držitele bylo možné číst z čipu s použitím továrního nastavení klíčů. 
Později na základě kritiky došlo k odstranění údajů z karty, čipy byly nahrazeny čipy MIFARE DESFire a údaje zašifrovány. Na bezkontaktním čipu dnešní karty je podle veřejně dostupných informaci pouze číslo karty, ID čipu a dále certifikované informace provozovatelů jednotlivých aplikací – např. typ zakoupeného kuponu a datum jeho expirace.


Bezpečnostním problémem přetrvávajícím dodnes je číslo čipu, které je součástí nešifrované úvodní komunikace mezi kartou a čtečkou. To opakuje čtečka (například turniket v metru) do prostoru a lze jej zachytit na desítky metrů. Vytvořit bombu, která vybuchne v okamžiku vstupu konkrétní osoby do prostoru metra, je tedy velmi snadné. Jistě, je to za vlasy přitažený argument, ale takových jsme, když jde o vzdání se soukromí pro zdánlivé zvýšení bezpečnosti, slyšeli již bezpočet. Řešením a zároveň důkazem, že se jedná o problém, je již několik let nová generace MIFARE DESFire EV1 čipů, která číslo čipu vytváří náhodně, a číslo slouží jen pro prevenci kolize mezi několika čipy vyskytujícími se společně v dosahu stejné čtečky. Další možností by bylo využít pokročilé RFID produkty, které kladou důraz na ochranu soukromí a bezpečnost již v návrhu, například ZEROLEAK.

Stálo to za to?

Představme si, že nad projektem znovu zasedne vývojář, kterému na krk nefuní politické a ekonomické zájmy. Bude-li mít navíc ekonomické myšlení, spočítá si, že cena jedné nepotištěné karty se pohybuje někde mezi jedním a dvěma dolary a je tedy zanedbatelná (zapomeňme, že město nakoupilo 50 000 karet za 24 mil bez DPH od jediného účastníka výběrového řízení – dokument z úřední desky zmizel). Karty holograficky potiskne náhodnými čísly a rozdistribuuje do trafik a jiných prodejních míst, kde budou k dostání podobně jako telefonní karty či karty pro dobíjení kreditu do mobilu. Jedná se v podstatě jen o paměťové médium. Na něj si budou jednotlivé komerční subjekty na vlastní náklady ukládat data svých aplikací, do svého vyhrazeného adresáře.

Například dopravní podnik si na kartu uloží digitálně podepsané potvrzení o zaplacení částky za časový kupón a jeho expiraci, to vše svázané s číslem karty na plastiku, aby zabránil klonování. Pokud vůbec bude potřebovat správu osobních dat držitele (a já tvrdím, že nikoliv), vyřeší si ji v rámci své aplikace sám, vyhodnotí-li to jako ekonomicky výhodné a prokáže-li účel při registraci na Úřadu pro ochranu osobních údajů. Mimochodem, na výsledek probíhající kontroly ÚOOÚ projektu Opencard se čeká. Aplikaci napíše podle veřejného standardu ISO / IEC 14443 středně zdatný programátor.

Revizorům lze na plastik dotisknout podobiznu držitele, a tím zabránit přenositelnosti karty. Ta údajně dopravcům vadí, kdo si ale někdy zkusil lyžovat ve více lidech na jednu permanentku, chápe, že tudy asi příjmy unikat nebudou.

Za dosud přiznaných 700 milionů z veřejných peněz, jejichž účelné vynaložení právě zkoumá audit, bylo možné si alespoň pohrát s novými technologiemi a vytvořit bezproblémový model aplikovatelný pro jiné projekty. Snad někdy příště.

PS: Petici požadující plnou anonymizaci opencard můžete podepsat zde.