Komfortabelt och säkert
NFC Forum, en organisation som övervakar utvecklingen av närfältskommunikation (NFC), har bildat en säkerhetsteknisk arbetsgrupp. Gruppens uppgift är att lokalisera hotbilder och rekommendera lösningar.
NFC möjliggör en mängd olika nya och spännande användningsområden, som oftast är förknippade med ökad tillgång till information och tjänster. Snart kan man genom att hålla en enhet, troligtvis en mobiltelefon eller handdator, mot en ”smart poster” för exempelvis en film, och på så sätt få information om filmen nedladdad på displayen. Sedan kan man köpa biljetter till kvällens föreställning. Biljetten laddas ner på enheten, och när man kommer till biografen håller man den mot en läsare, som talar om var man ska sitta.
Ryggen fri
Det låter fantastiskt, men det skulle kunna innebära stora risker. Är du säker på att ”postern” innehåller en äkta sändare, och inte en sändare som placerats där för att spionera på din telefon? Och även om du inte köper en biljett, så kanske läsaren kan få reda på information om dig genom att läsa av din enhet. Och om du köper en biljett för du över konfidentiell betalningsinformation helt öppet. Och i trängseln på biografen kanske någon stöter emot dig med en mottagare som söker efter information.
Denna typ av frågor diskuteras inom NFC Forums säkerhetstekniska arbetsgrupp, som hanterar säkerhets- och dataskyddsfrågor och ger säkerhetsrelaterad vägledning. Gruppens ordförande, Albert Dorofeev på Sony Europa, beskriver gruppens arbete som ”komplicerat”.
– Vi kan leverera perfekt säkerhet, men det skulle kräva en enorm superdator, förklarar han.
– Vi måste se till att den säkerhetsarkitektur och de lösningar som vi föreslår lämpar sig för de resursbegränsade svagströmsapparater som används inom NFC-tekniken.
Jonathan Collins, chefsanalytiker för RFID och beröringsfri teknik på ABI Research, säger att det stora problemet ligger hos applikationerna:
– NFC bygger till stor del på existerande teknik, och det finns redan säkerhetsstandarder, som exempelvis ISO 14443*. Men problemet ligger i hur enheterna kommunicerar och hur de lagrar information.
Riskanalys
Det finns en hel del beröringsfria kort i omlopp som bär på specifik information – problemet med NFC är att alla dina personuppgifter kan finnas samlade i en och samma enhet.
– Men det är förmodligen säkrare än att få sin plånbok stulen, säger Jonathan Collins.
– Folk brukar upptäcka att mobiltelefonen saknas inom några timmar, medan det ofta tar flera dagar innan de anmäler stulna kreditkort.
Elektroniska apparater kan också ha inbyggd säkerhet, och eftersom de är kopplade till ett nätverk kan de inaktiveras via fjärrstyrning.
Men, som Albert Dorofeev påpekar, när man använder NFC-apparater vill man inte behöva bekymra sig om säkerheten.
– Hela komfortprincipen skulle urholkas om användarna tvingades trycka in lösenord hela tiden. Så vi måste lista ut hur vi ska göra tekniken säker med minsta möjliga avändarinteraktion – helst ingen alls.
Det finns några självklara säkerhetsmässiga fördelar med tekniken. Närfältskommunikation sker, som namnet antyder, inom mycket korta avstånd, så oavsiktlig kontakt med sändare är osannolikt. Men NFC-bedragare skulle kunna placera ut dolda enheter i närheten av auktoriserade sändare, som skulle kunna ”tjuvlyssna” på kommunikationen i smyg.
Komforten är viktigast
Jonathan Collins säger att folk kommer att oroa sig för säkerheten om man inte tar itu med dessa frågor innan den nya tekniken lanseras.
– Folk kommer till exempel att vilja veta om det kan ske utbetalningar av misstag när man passerar en terminal, säger han.
Sådana risker kan reduceras om personuppgifter inte överförs vid en transaktion och om det finns en gräns för hur mycket pengar som kan spenderas vid ett och samma tillfälle. Varje transaktion skapar en unik verifikationskod, så att informationen inte kan användas till någon annan transaktion. Dessutom bör NFC-enheter vara säkrare än beröringsfria kort, eftersom de har ett användargränssnitt, med en display och ett tangentbord, vilket gör att användarna kan välja om transaktionen ska godkännas eller ej.
Men Albert Dorofeev tycker inte att vi ska kräva för mycket av användaren.
– Komforten är viktigast – tekniken har ingen framtid om den inte är användarvänlig, säger han.
– Vi måste få fram säkra metoder för att utföra vissa funktioner utan användarinteraktion.
*ISO 14443 är en internationell standard för beröringsfria smarta kort som är arbetar på 13,56 MHz i nära anslutning till en läsarantenn.
* Anger obligatoriskt fält