Verayo se basa en defectos de manufactura únicos para crear etiquetas RFID que son imposibles de copiar.
Una compañía que se basa en defectos a escala atómica en chips de ordenador para distinguir un chip de otro afirma que sus circuitos podrían ayudar a combatir las falsificaciones desde en pasaportes hasta en bolsos de mano. Verayo, una compañía surgida de MIT y con sede en San Jose, California, señala que las etiquetas de identidad deberían ser más seguras y relativamente baratas de fabricar.
Un cada vez mayor número de organizaciones, desde el Departamento de Estado de los EE.UU. hasta Walmart, se basan en las etiquetas de identificación de radio frecuencia (RFID) para hacer el seguimiento de varios objetos. Los chips RFID en las cajas de embalaje de los DVD le dicen a Walmart dónde está su envío y cuándo va a ser entregado. Y las etiquetas en los pasaportes más nuevos contienen la misma información impresa en la página, en formato cifrado, para que los oficiales de inmigración puedan detectar si se trata de una falsificación.
No obstante, y puesto que estas etiquetas envían su información al lector a través de ondas de radio, siempre existe el temor de que alguien pueda espiar la conversación y copie los datos en su propio chip, lo que llevaría el acto de la falsificación a un nivel completamente distinto. La criptografía ayuda a prevenir la copia, pero añadir los circuitos criptográficos a los circuitos hace aumentar el coste, por lo que muchas etiquetas RFID no los incluyen. Para que el RFID sea ampliamente utilizado—en productos individuales, digamos, en vez de únicamente en cajas de embalaje—no pueden costar más que unos pocos centavos.
La seguridad de los chips de Verayo se basa en el hecho de que no hay dos chips exactamente iguales. Los componentes de un circuito de ordenador se miden en el orden de los miles de millones de partes de un metro. Por tanto un átomo perdido aquí o allí durante la manufactura puede causar que un cable acabe siendo ligeramente más grueso o delgado de lo que dictan las especificaciones técnicas. Eso lleva a una serie de variaciones minúsculas en la velocidad de trabajo del circuito, y no hay nada que pueda hacerse para evitarlo.
Así que, en vez de intentar evitarlo, Srini Devadas, profesor de ingeniería eléctrica en MIT así como fundador y director tecnológico de Verayo, decidió sacarle partido. Una señal que viaje a través de un circuito simple irá más rápido o despacio dependiendo de esas variaciones físicas. Al enviar una serie de señales, y medir la rapidez con que viajan, se puede generar una cadena de cifras únicas de cada circuito. Esto ha sido calificado como “función física inclonable”—y responde a las siglas PUF en inglés.
Esa cadena se vuelve la base de una serie de ecuaciones matemáticas. Se introduce un dato, se pasa a través de la ecuación secreta, y se obtiene un resultado particular basado en dicha ecuación—aunque el mismo dato de entrada dará distintos resultados en chips diferentes. Al hacer esto varias docenas de veces, se genera una serie de emparejamientos de reto y respuesta únicos de cada chip. Los falsificadores no pueden duplicarlo, peusto que no pueden fabricar un chip que contenga el mismo PUF que otro.
“Podríamos publicar el diseño del chip en el New York Times y la gente iría y crearía su propio chip. Al final, la firma que empareja el chip que se tiene con la que alguien haya creado será muy distinta,” señala Vivek Khandelwal, vicepresidente de marketing de Verayo.
Eso no significa que los circuitos PUF sean infalibles. Alguien podría vencer al sistema si metiese las manos en la lista de emparejamientos de retos y respuestas, por ejemplo, si no se mantienen a buen recaudo. Los circuitos están pensados para ser sólo una aspecto dentro de un sistema de cifrado, un componente “primitivo” que actúe como base de un sistema de cifrado posterior. Massimo Rimondini, que realiza un post doctorado en la Universidad Roma Tre de Roma, estudió junto a sus colegas la seguridad de los chips de Verayo.
“La tecnología en sí misma es muy prometedora para propósitos de autenticación,” señala Rimondini. “Por otro lado, su aprovechamiento efectivo depende de la seguridad y eficiencia con la que se trate la información relacionada con la autenticación—y es a ese punto al que hemos estado dirigiendo nuestra investigación.”
Wayne Burleson, profesor de ingeniería en la Universidad de Massachusetts, en Amherst, afirma que los PUFs tienen sentido para la criptografía de bajo peso y bajo coste en etiquetas RFID. “Pero no constituyen una solución de seguridad completa,” señala. “Sólo son un bloque de construcción. Los criptosistemas de alto nivel pueden seguir siendo penetrados a pesar de la seguridad e integridad del PUF.”
“La seguridad del esquema de palabras clave es comparable a la seguridad de los esquemas tradicionales de palabras clave,” señala Devadas. La ventaja es que esto debería constituir una forma más económica para proporcionar dicha seguridad. “Para la mayoría de las aplicaciones, lo que se quiere es un atisbo de seguridad y bajos costes.”
Además Khandelwal señala que se pueden construir sistemas más complejos y seguros para aquellas aplicaciones en las que se esté dispuesto a gastar el dinero necesario. Verayo tiene contratos con el Departamento de Defensa de los EE.UU., donde son de esperar una serie de sistemas más caros y seguros. Una agencia de transporte público que intente reducir el número de falsificaciones no necesita ese nivel de defensa. “Realmente no necesitas un criptosistema completo para un billete que va a acabar en la basura después de 10 utilizaciones,” afirma.
Verayo, que posee un apoyo de 6 millones de dólares de Khosla Ventures, acaba de lanzar una línea de circuitos PUF a la venta para los fabricantes de sistemas RFID. Otras compañías Intrinsic ID, surgida a partir de Philips y con sede en los Países Bajos, también están desarrollando sistemas de seguridad basados en PUF.