Dieser Artikel entstand unter Mitarbeit von Thomas Mayer.
Der RFID-Spezialist Jonathan Westhues hat mit einem relativ einfachen Verfahren die umstrittenen, implantierbaren VeriChips der gleichnamigen US-Firma kopiert. Anlaß des Experimentes ist ein für Mai geplanter Artikel von Annalee Newitz für das Wired Magazin. Dazu hat sich Newitz einen dieser Chips einpflanzen und ihn dann von Westhues klonen lassen.
- Die Chiptechnik: Radio Frequenz Identifikation
- Ein mögliches Szenario: VeriChip ersetzt Schlüsselbund
- Wie man einen VeriChip klont: Westhues in Aktion
1. Die Chiptechnik: Radio Frequenz Identifikation
Der VeriChip ist ein RFID-Transponder in einem etwa zwölf Millimeter langen Glaszylinder mit zwei Millimeter Durchmesser. Der Transponder kann Daten durch elektromagnetische Induktion via Antenne übertragen und funktioniert daher ohne Batterie. Die Reichweite der Antenne hängt unter anderem von der Stärke des Lesegerätes ab und kann bis zu einige Meter betragen.
Gewöhnlich wird zum Auslesen der Daten vom Lesegerät ein elektromagnetisches Feld erzeugt. Damit wird in der Antennenspule ein Strom induziert. Bei diesem passiven Chip wird zur Stromversorgung zusätzlich der Kondensator aufgeladen. Wurde der Chip so aktiviert, sendet er durch Modulation des vom Lesegerät gesendeten Signals Daten, etwa eine Identifikationsnummer.
Aufgrund seiner geringen Abmaße kann der VeriChip ambulant implantiert werden. So einfach wie das Einsetzen des VeriChips ist, so unsicher ist er aber auch, wie das folgende Szenario verdeutlichen soll.
2. Ein mögliches Szenario: VeriChip ersetzt Schlüsselbund
Angenommen Sie vergessen bzw. verlieren häufig ihren Haussschlüssel und lassen sich einen dieser VeriChips einpflanzen, um in Zukunft vermeintlich einfach und sicher ihre Haustüre öffnen zu können. Nie wieder an den Schlüssel denken müssen, denn den haben Sie ja jetzt immer dabei unter Ihrer Haut.
Sie gehen nun wie jeden Morgen zur Arbeit, benutzen wie immer die U-Bahn … nur setzt sich heute dummerweise Jonathan Westhues neben Sie. In weniger als einer Sekunde hat er Ihren Chip mit seinem Lesegerät unbemerkt gescannt und ist so glücklicher Besitzer Ihres Hausschlüssels. Denn mit dem im Folgenden beschriebenen Verfahren generiert Westhues aus den eingelesenen Daten quasi einen neuen Chip.
3. Wie man einen VeriChip klont: Westhues in Aktion
Westhues benutzt ein RFID-Lesegerät und ein paar Werkzeuge. Zuerst muß Westhues die Frequenz des Chips feststellen. Er versucht es mit einem einige hundert Millisekunden langen Impuls bei 134kHz. Wie Westhues vermutet hat, erhält er kein Signal, da der VeriChip nicht nach dem Prinzip von Texas Instruments (TI) – einem der führenden RFID-Anbieter – arbeitet. Bei TI-Chips reicht ein Induktionsimpuls, damit der Chip die gewünschten Daten zurücksendet.
Dieser passive Chip aber muß permanent angeregt werden, wodurch der Kondensator immer wieder aufgeladen werden kann. Dieser liefert dem Mikrochip die für die Signalmodulation notwendige Energie. Mit seinem selbst entwickelten SmartCard-Spoofer Proxmarkii hätte Westhues dies überprüfen können.
Aber Westhues probiert es stattdessen mit einer niedrigeren Frequenz von 125kHz. Diesmal bekommt er eine Antwort des Chips, wenngleich es ein rechtes Durcheinander ist. Das heißt, die Frequenz des Chips ist wohl 134kHz. Da es aber im zeitlichen Verlauf keinen idealen Schwingkreis gibt, reagiert der VeriChip auch bei anderen Frequenzen, allerdings dementsprechend etwas schwächer.
Für die bloße Duplikation des Chips muß man eigentlich nicht jedes Bit auslesen, aber Westhues will gern etwas mehr über den Chip wissen. Der VeriChip übermittelt die Daten bei entsprechender Induktion durch das Lesegerät ständig, d.h. er fängt nach Übertragung der Seriennummer wieder von vorn an. In diesem verrauschten Signal verwendet man zur Bestimmung der Periode die Autokorrelation. Mit Proxmarkii (das könnte man auch mit Matlab machen) bestimmt Westhues also die Periode: 2048 Samples .
Im empfangenen Signal ist außerdem mehr Ordnung zu erkennen, als man das gewöhnlich von RFID-Chips erwartet. Während diese meist Nullen senden, scheint hier ein etwas komplexereS Signal übertragen worden zu sein. Westhues vermutet Manchester-kodiertes ASK (Amplitude-shift keying). Westhues spart sich die Zeit, mehr über das Signal herauszufinden, da er den Chip ja nur klonen will.
Die Periode kennen wir und für das bloße Kopieren ist es irrelevant, welche Stelle im Signal man als Nullpunkt auszeichnet. Westhues wählt also eine Stelle mit augenscheinlich synchronem Muster aus und remudoliert zur Rauschreduktion das empfangene Signal. Anschließend spielt er dieses auf seinen Proxmarkii auf und schaltet ihn in den Simulationsmodus um.
Der Proxmarkii sollte nun ein Signal senden, das vom ursprünglichen nicht zu unterscheiden ist. Und siehe da, das Lesegerät gibt uns die richtige Identifikationsnummer wieder: 1022000000047063 für den VeriChip von Annalee. Interessanterweise sollten die medizinischen VeriChips, wie Annalee einen hat, gar keine ID vorweisen. Warum sie dennoch eine besitzen, darüber kann nur spekuliert werden.