Radio Frequency Identification (RFID) technology is widely used for variousapplications from access control to object tracking systems. Automation and fasterservices provided by this technology have striking effects on our daily life. However,there are several security and privacy concerns about RFID systems that remainunsolved. During the past years, several attacks have been designed against MifareClassic and HID iClass, two of the most widely used RFID systems on the market.The aim of this study was to improve the security and privacy mechanisms of RFIDsystems through the development of tools and the methodology of system analysis, inthe hope to find the possible flaws before the adversaries do. As an example, effortswere made to partially analyze OPUS cards (the RFID-enabled public transportationpasses in Montreal) and several security and privacy violating specifications of thesecards were highlighted. It was revealed that the static identification number of thecard is transfered in the anticollision process which can be used to track the cardholder without his consent. In addition, the information about the last three usages ofthe card (the time, the date and the metro/bus station) are transferred unencryptedand before the authentication process. Only a linear conversion is applied to theinformation which can be reversed by a simple application such as the one developedand provided in this study.Furthermore, design modifications to improve the security and privacy level of RFIDsystems were provided. These modifications are categorized based on the cost andthe disruption of service that the application of these modifications imposes to themanufacturing company.Key Words: RFID Systems, Privacy, Security, OPUS Cards / Les technologies de radio identification (RFID) sont fortement utilisées dans diverses applications qui vont du contrôle d'accès aux systèmes de traçabilité d'objets. L'automatisation et la rapidité accrue des services que ces technologies rendent possibles ont des effets marqués sur notre vie quotidienne. Cependant, les systèmes RFID comportent de nombreux problèmes de sécurité et de protection de la vie privée qui ne sont toujours pas résolus. Au cours des dernières années, de nombreuses attaques ont été conues contre la puce Classic de MIFARE ainsi que la puce iClass d'HID, deux des systèmes RFID les plus répandus sur le marché. Le but de cette étude est d'améliorer les mécanismes de sécurité et de protection de la vie privée des systèmes RFID par le développement d'outils et la méthodologie d'analyse des systèmes, dans l'espoir de découvrir les failles de sécurité potentielles avant que des adversaires ne le fassent. Par exemple, nous avons procédé à une analyse partielle des cartes OPUS (les cartes qui contiennent les titres de transport en commun utilisés à Montréal, qui font usage de la technologie RFID), et mis en évidence de nombreux éléments des spécifications de ces cartes qui représentent une faille de sécurité ou de protection de la vie privée. Nous avons découvert que le numéro d'identification statique de la carte est transmis durant le processus anticollision, ce qui peut être utilisé pour suivre la trace du détenteur de la carte sans son consentement. De plus, des informations concernant les trois dernières utilisations d'une carte (l'heure, la date, et la station de métro ou d'autobus) sont transmis sans être chiffrés, et avant le processus d'authentification n'ait lieu. Seule une conversion linéaire est appliquée sur l'information, et cette conversion peut être inversée par une simple application telle que celle que nous avons développé au cours de cette étude. De plus, nous présentons des modifications visant à améliorer le niveau de sécurité et de protection de la vie privée des systèmes RFID. Nous classons ces modifications sur la base de leur coût et de la gravité des interruptions de service que l'application de ces modifications ferait subir au manufacturier.Mots clés: Systèmes RFID, protection de la vie privée, sécurité, cartes OPUS
| Identifer | oai:union.ndltd.org:LACETR/oai:collectionscanada.gc.ca:QMM.114506 |
| Date | January 2013 |
| Creators | Yassaei, Mahshid |
| Contributors | Claude Crepeau (Internal/Supervisor), José Manuel Fernandez (Internal/Cosupervisor2) |
| Publisher | McGill University |
| Source Sets | Library and Archives Canada ETDs Repository / Centre d'archives des thèses électroniques de Bibliothèque et Archives Canada |
| Language | English |
| Detected Language | French |
| Type | Electronic Thesis or Dissertation |
| Format | application/pdf |
| Coverage | Master of Science (School of Computer Science) |
| Rights | All items in eScholarship@McGill are protected by copyright with all rights reserved unless otherwise indicated. |
| Relation | Electronically-submitted theses. |
Page generated in 0.0147 seconds