我对 NFC 作为一项技术非常陌生,并且有一个非常基本的问题。我正在研究 NFC 标签在身份验证领域的使用。在更广泛的层面上想象一个 PKI 架构。私钥位于 NFC 标签上,应用程序可以访问它以进行身份验证/签名/验证等。
我知道智能卡是此类事物的事实上的标准,但 NFC 标签的成本要低得多。我的问题是 NFC 标签在这种情况下提供什么级别的保护,或者 NFC 标签对于这种设计来说是一个不错的选择?
我能否以某种方式确保标签只能被特定设备读取?例如,其他用户能否仅使用他的手机/NFC 阅读器读取标签上的密钥?有哪些方法可以保护/限制对驻留在 NFC 标签上的数据的访问?
【问题讨论】:
标签: nfc
NFC 标签基本上是一种数据存储。它们可能会限制访问数据,但它们仍然是数据存储。如果使用 NFC 标签实现 PKI,则仅将密钥存储在标签上,不会在标签上进行计算。
另一方面,PKI 智能卡存储密钥,但它们也为使用密钥完成的计算提供计算资源。此外,它们的设计方式是密钥永远不会离开卡(按需或通过旁道攻击)。这样,您可能希望密钥不会泄漏。
由于它们提供不同的服务,NFC 和 PKI 卡接口的复杂性根本不一样。
请注意,某些 PKI 智能卡确实提供非接触式接口。这不是 NFC 标签接口,而是 ISO14443-4 之上的 PKCS#15。
【讨论】:
NFC 标签本身并没有限制读取数据到一台设备的访问权限。在大多数情况下,每个人都可以阅读,如果标签没有被设置为只读,每个人都可以写作。一些较新的 NTAG 系列芯片具有密码功能,只允许具有密码的软件写入标签。
所有 NFC 标签都带有制造商提供的唯一 ID,该 ID 通常用于安全实施。克隆该 ID 非常困难,但并非不可能。关闭 NFC 标签上的数据非常容易。正在开发一组新的“安全”标签,但这些标签通常具有服务器端组件。需要注意的一点是,虽然任何人都可以读取标签上的数据,但这并不能说明它们实际获得的价值。
许多人对数据进行加密,并将加密后的值存储在 NFC 标签上。然后软件知道解密密钥,然后可以读取和解释标签的数据。这需要定制软件,因为它不是当前 NDEF 规范的一部分。这实际上与 SSL 相同,有人可以嗅探网络流量,但不知道实际数据是什么。一般来说,我们建议客户尽可能将 NFC 标签设置为“哑”,并利用 NDEF 实现最广泛的兼容性,而无需定制软件。
免责声明:我是 NFC 软件和标签解决方案提供商 GoToTags 的首席执行官。
【讨论】: