Мобильный доступ

Содержание:

Одна карта – много приложений

Мультиаппликационность – одна из «изюминок» карт. Смысл ее в том, что карта может быть поделена между разными приложениями, созданными разными компаниями – интеграторами, даже не знающими о существовании друг друга. Это свойство базируется на секторной структуре карт. Каждое приложение может использовать свои сектора, и в пределе на одной карте с объемом памяти в 1К может размещаться до 16 приложений, а на карте 4К – 40 приложений. Такой непропорциональный рост объясняется тем, что старшая половина памяти карты 4К разделена на сектора большего объема (по 256 байт в верхней половине против 32-х байт в нижней). Зато требовательным к памяти приложениям становится достаточно одного сектора вместо 3-х … 4-х секторов малого объема.

Реально некоторые из приложений требуют объема памяти больше, чем содержится в одном секторе, и тогда общее количество приложений на карте с меньшим объемом памяти уменьшается.

Для примера в таблице 1 приведена информация о распределении памяти карты Mifare 1К в Московских проектах.

Таблица 1

Сектор

Приложение

Доступ на чтение

Запись и модификация

Каталог приложений

Открытый

При изготовлении карты

1

Проезд в метрополитене

Метрополитен

Метрополитен

2-3

Проезд по железной дороге

МЖД

МЖД

4

Проезд в наземном транспорте

Мосгортранс

Мосгортранс

5

Медицинское страхование

МГФОМС

МГФОМС

6

Социальная защита

КСЗН

КСЗН

7

Социальный дисконт

Предприятия торговли

Предприятия торговли

8

Телефония

Оператор связи

Оператор связи

9-12

Динамический резерв

13-14

Персональные данные владельца

Участники системы

При изготовлении карты

15

Реестровый номер карты и эмиссионные данные

Участники системы

При изготовлении карты

Таблица 1 достаточно наглядно демонстрирует возможности одновременного использования карты в разных приложениях или проектах. За счет чего это достигается мы ниже и рассмотрим. А для понимания того, как множество замечательных возможностей карт реализуется на практике, перейдем к рассмотрению их внутреннего устройства.

Продукты MIFARE Plus поддерживают различные уровни защиты/безопасности

Security Levels — уровни защиты/безопасности.

Бесконтактные карты MIFARE Plus поддерживают три уровня безопасности, на которых они могут функционировать в прикладных системах. Карты, работающие на одном уровне безопасности, могут быть в любой момент переведены на более высокий уровень безопасности.
Перевод с более высокого уровня защиты на более низкий невозможен.

SL-0 Уровень безопасности 0

Начальный уровень. В этом состоянии чип MIFARE Plus не хранит в себе никаких ключей. Из состояния SL-0 чип MIFARE Plus должен быть переведен на любой из трех более высоких уровней SL-1, SL-2 млм SL-3. На уровне SL-0 чипы предварительно персонализируются по ключам, соответствующим MIFARE Classic с использованием крипто-алгоритма CRYPTO1, и по ключам AES для работы с памятью.

SL-1 Уровень безопасности 1

На этом уровне карты MIFARE Plus имеют полную совместимость с MIFARE Classic 1K, MIFARE Clasis 4K. Карты MIFARE Plus легко работают в существующих системах вместе с картами MIFARE Classic.

SL-3 Уровень безопасности 3

Для аутентификации, обмена и щифрования данных, для работы с памятью , а также для выявления удаленных атак по радиоканалу используется крипто-алгоритм AES.

Компания NCS предлагает программно-аппаратные средства для перевода чипов MIFARE Plus на уровни SL1 — SL3.

В прикладной системе карты MIFARE Plus могут находиться только на одном конкретном уровне безопасности: SL-1, SL-2 или SL-3.

С завода-изготовителя чипы MIFARE Plus (в картах, метках, браслетах и т.п.) поступают на уровне безопасности SL-0. Использовать в прикладной системе карты на уровне SL-0 нельзя, чип MIFARE Plus должен быть проинициализирован, т.е. переведен на уровень SL-1, SL-2 или SL-3.

В прикладной системе можно последовательно повышать уровень безопасности, т.е. из SL-1 переводить в SL-2, а из SL-2 переводит в SL-3. Обратный перевод, с более высокого на более низкий уровень защиты, невозможен.

При инициализации чипа MIFARE Plus заказчик (владелец объекта) должен сам сгенерировать значения ключей и надежно хранить эту информации. Это организационный момент, значение которого нельзя недооценивать.

Бесконтактный считыватель MF-Reader

Бесконтактные считыватели MF-Reader применяется в системах контроля и управления доступом (СКУД) с интерфейсами Wiegand и «touch memory» (DS1990A).

Считыватели MF-Reader предназначены для считывания данных с RFID меток, соответствующих стандартам ISO14443A, ISO15693.

Считыватель MF-Reader рассчитан на непрерывную круглосуточную работу и относятся к невосстанавливаемым и необслуживаемым изделиям.

Считыватель MF-Reader может подключаться и успешно работать с любым стандартным контролером СКУД.

Назначение считывателя

Считыватель MF-Reader предназначен для использования совместно с контроллерами СКУД, поддерживающими протоколы Wiegand или Touch Memory (DS1990A).

Считыватель MF-Reader работает с метками MIFARE в двух режимах:

  • чтение UID (4 или 7 байт);
  • чтение данных из защищенных криптографическими ключами секторов.

В секторном режиме считыватель MF-Reader может работать одновремено с несколькими секторами карты MIFARE, на уровне безопасности SL1 или SL3.

Режимы работы считывателя задаются с помощью двух служебных карт (Карта Инициализации и Карта Программирования).

Считыватель MF-Reader работает с метками I Code SLI X / I Code SLI X2 в режиме чтения UID.

Основные технические характеристики

Напряжение питания, В 8 ~ 15
Потребляемый ток, средний, мА 30
Потребляемый ток, пиковый, мА 250
Минимальное расстояние между двумя считывателями, см 15
Интерфейс связи с контроллером (выбирается перемычками): Touch Memory (DS1990A)
Wiegand-26, -34, -37, -40, -42, -58
Размер (ДхШхВ), мм 78 × 40 × 16
Масса считывателя, г, не более 100
Цвет корпуса серый, чёрный

Поддерживаемые форматы RFID меток

  • MIFARE Classic 1К/4K (чтение UID 4/7 байт или чтение данных из закрытых крипто ключами секторов памяти);
  • MIFARE Plus S 2K/4K, MIFARE Plus SE 1K, MIFARE Plus X 2K/4K (чтение UID 4/7 байт или чтение данных из закрытых крипто ключами секторов памяти в режиме SL1 или SL3);
  • MIFARE Plus EV1 2K/4K (чтение UID 4/7 байт или чтение данных из закрытых крипто ключами секторов памяти в комбинированном режиме SL1+ SL3);
  • MIFARE DESFire EV1 2K/4K/8K (чтение UID или чтение данных из закрытой крипто ключом области памяти);
  • MIFARE Ultraligt С (чтение UID или чтение данных из закрытой крипто ключом области памяти);
  • I Code SLI X / X21 (чтение UID).

Режимы работы

  • чтение UID 4/7 байт (UID — серийный номер чипа, прошиваемый заводом-изготовителем чипа);
  • чтение данных из закрытых областей памяти (секторный режим).

В секторном режиме считыватель MF-Reader может работать в трех вариантах:

  • только с картами в режиме шифрования CRIPTO-1;
  • только с картами в режиме шифрования AES и DES;
  • с картами во всех режимах шифрования.

При работе с картами Mifare Ultraligt С в секторном режиме, работа с картами MIFARE невозможна.

Тот или иной режим работы считывателя MF-Reader задается с помощью двух служебных карт.

Служебные карты (Карта Инициализации и Карта Программирования) создаются пользователем с помощью программатора KC-MF-USB (или MF-RW-232, или MF-RW-232w), работающем под управлением программы «MAD STD v30 Special.EXE».

Для карт MIFARE Classic 1k/4k, Classic EV1, MIFARE PLUS в режиме SL1 — «MAD Plus v3.0»

Для карт MIFARE PLUS в режиме SL3 и карт MIFARE Ultralight C — «MAD UL v3.0»

Прошивка считыватели MF-Reader для работы в сектороном режиме.

  1. Создать карты инициализации и программирования;
  2. Разомкнуть желтую, синюю и красную перемычки;
  3. Подать питание на считыватель;
  4. Поднести Карту Инициализации. После поднесения Карты Инициализации считыватель будет издавать прерывистые звуковые и световые сигналы;
  5. Поднести Карту Программирования. После поднесения Карты Программирования звуковая и световая индикация выключится;
  6. Снять питание со считывателя;
  7. Подать питание на считыватель.

Восстанавливать перемычки после программирования считывателя не надо, в секторном режиме считыватель MF-Reader должен оставаться с разомкнутыми перемычками.

Возврат к заводским установкам

При утере карты программирования (ключа доступа к рабочему сектору) пере-прошивка считывателя MF-Reader возможна только через возврат к заводским установкам. Надо:

  1. Снять питание со считывателя;
  2. Замкнуть желтую, синюю и красную перемычки;
  3. Подать питание на считыватель, примерно на 20 секунд;
  4. Снять питание со считывателя.

6 этапов защиты MIFARE Plus

Что же делать, чтобы карты доступа MIFARE Plus работали в СКУД в защищенном режиме?

1. Первое – проникнуться пониманием, что необходимо личное участие владельца объекта СКУД в решении вопросов защищенности карт MIFARE Plus. Это чисто организационный момент, но необходимый.

2. Далее следует выбрать уровень безопасности, на котором будут работать карты MIFARE Plus в данной СКУД: SL1, SL2 или SL3.

Здесь потребуется консультация специалиста. Тот или иной уровень должен быть выбран, исходя из специфики объекта и требований защищенности. Уровень SL3 – самый высокий с точки зрения защиты, но и подготовка карт и считывателей MIFARE Plus для работы на SL3 технически самая сложная. К тому же, не все считыватели могут работать на уровне SL3.

3. Выбирая уровень безопасности, заказчик должен решить, сколько секторов будет закрываться секретными ключами. Для СКУД вполне достаточно закрыть только один сектор памяти MIFARE Plus.

4. Следующий этап – предэмиссия карт MIFARE Plus. Это фактический перевод карт MIFARE Plus на выбранный уровень безопасности (SL1, SL2 или SL3) и закрытие выбранного сектора памяти секретным ключом с криптографией AES.

5. Затем – подготовка считывателей. Каждый считыватель, подключаемый к контроллеру СКУД, должен быть запрограммирован на чтение данных из того же блока памяти и по тому же ключу AES, что и карта MIFARE Plus.

6. Далее следует собственно эмиссия карт доступа, то есть запись идентификатора в выбранный сектор памяти MIFARE Plus. Этот идентификатор будет связан с конкретным работником и будет считываться в защищенном режиме.

Скопировать или подделать такую карту MIFARE Plus будет невозможно. Ввод в систему карт доступа MIFARE Plus осуществляется через контрольный считыватель (с интерфейсом USB, RS-232 или RS-485, TCP/IP). Контрольный считыватель читает идентификатор, хранящийся в защищенной памяти MIFARE Plus, используя при этом криптографию AES.

Уровни безопасности

Бесконтактные карты MIFARE Plus поддерживают 3 уровня безопасности и могут быть в любой момент переведены с одного уровня на более высокий.

Уровень безопасности 0

Карты MIFARE Plus на уровне 0 не предназначены для использования. Заказчик должен проинициализировать чип MIFARE Plus и перевести его на более высокий уровень. Инициализация чипа может производиться по ключам, соответствующим MIFARE Classic с применением криптоалгоритма CRYPTO1, или по ключам AES.

Уровень безопасности 1
На этом уровне карты имеют 100%-ную совместимость с MIFARE Classic 1K, MIFARE Classic 4K. Карты MIFARE Plus легко работают в существующих системах вместе с картами MIFARE Classic.

Уровень безопасности 2
Аутентификация по AES является обязательной. Для защиты данных используется CRYPTO1.

Уровень безопасности 3
Аутентификация, обмен данными, работа с памятью только по AES

Описанный выше подход позволяет использовать карты доступа MIFARE Plus со многими имеющимися на рынке контроллерами СКУД. Современные считыватели, поддерживающие работу с MIFARE Plus, имеют различные интерфейсы подключения к контроллерам, в том числе и распространенный – Wiegand-26. Это позволяет легко и просто переводить действующие СКУД с карт EM-Marine на карты MIFARE Plus. Потребуется только замена считывателей. Контроллеры, программное обеспечение, базы данных сохраняются.

Опубликовано: Журнал «Системы безопасности» #5, 2015Посещений: 8918

  Автор

В рубрику «Системы контроля и управления доступом (СКУД)» | К списку рубрик  |  К списку авторов  |  К списку публикаций

В чем же разница между технологиями RFID и NFC

RFID — это система односторонней связи, в которой данные передаются от тегов к считывающему оборудованию.

Технология NFC — это более новая, более отточенная версия RFID. Она работает на максимальном расстоянии около 10 сантиметров и может быть настроена для одно- или двусторонней связи.

Можно заметить, что NFC как-будто дублирует умение RFID, также читая смарт-теги, благодаря своему режиму чтения / записи. Однако в дополнение к возможностям чтения / записи, NFC имеет два других режима, оба из которых включают динамическую двустороннюю связь: режим оплаты картой и режим связи для обмена данными P2P.

Системы NFC работают на той же частоте, что и системы HF RFID (13,56 МГц). Следовательно, существуют только ограничения по дальности считывания.

Из-за ограничений по дальности считывания устройства NFC должны находиться в непосредственной близости — обычно не более нескольких сантиметров. Вот почему NFC часто используется для безопасной связи, особенно для контроля доступа или в потребительском секторе для бесконтактных платежей.

Недостатки перехода на MIFARE 1K

Типичный пример. В действующей СКУД используются всем известные карты EM-Marine. Если выражаться технически более точно — Proximity-карты на частоте 125 кГц. К ним относятся и EM-Marine (на практике китайский аналог ТК4100) и HID Prox. Владелец объекта, на котором установлена СКУД, устал от копирования карт доступа и ищет новые варианты, гарантирующие защиту.

И находит. Например, MIFARE 1K. И полагает: это то, что нужно. На него сыплется информация примерно такого содержания:

  • тип микросхемы — MIFARE S50, стандарт ISO14443А;
  • рабочая частота — 13,56 МГц;
  • время транзакции — не более 164 мс;
  • поддержка антиколлизии;
  • возможность перезаписи — не менее 100 000 циклов;
  • объем памяти — не менее 1024 байт;
  • 3-х проходная аутентификация;
  • идентификатор длиной 32 бита.

Заказчик мало что понимает, но обилие «умных» терминов подсказывает ему, что это хорошо, данные карты будут защищены от копирования.

И заказывает карты доступа MIFARE 1K и соответствующие считыватели.

Какой же результат он получает? Реальная практика говорит о том, что деньги потрачены напрасно. Никакой дополнительной защиты карт доступа от копирования нет.

Почему? Потому что большинство имеющихся считывателей MIFARE 1K, применяемых в СКУД, не задействуют шифрования и криптографии при работе с картами MIFARE 1K.

Незащищенный номер чипа

Ничего из перечисленных выше технических особенностей MIFARE 1K (кроме идентификатора длиной 32 бита) считыватели MIFARE 1K не используют. То есть большинство считывателей работают с картами MIFARE 1K так же, как и с картами EM-Marine, а именно — считывают открытый номер чипа. Серийный номер чипа MIFARE 1K (часто называемый ID или UID) — это открытая последовательность цифр, ничем не защищенная. Все приведенные выше «умные» термины, характеризующие технические особенности MIFARE 1K, относятся к памяти чипа и не затрагивают его серийный номер. При считывании ID-номера ни микропроцессор, не 3-х проходная аутентификация, ни криптография не задействуются. Номер чипа ничем не защищен. И легко может быть скопирован для изготовления дубликатов карты доступа.

Дублирование номеров карт

Другой распространенный недостаток многих считывателей MIFARE E 1K — это интерфейс Wiegand-26, с помощью которого считка подключается к контроллеру СКУД. Номер чипа MIFARE 1K имеет длину 4 байта (те же 32 бита). А по интерфейсу Wiegand-26 можно передать число длиной максимум 3 байта. Соответственно, один байт отсекается.

Таблица 1. Жирным выделены три байта, которые передаются

HEX-формат Десятичный формат
DDFF02AC 3724477100
DDFF02AD 3724477101
DDFF02AE 3724477102

Номер чипа передается через контроллер в систему не полностью. И в системе появляются одинаковые номера карт. Что в реальной практике и встречается.

Таблица 2. Появляются одинаковые номера карт

HEX-формат Десятичный формат
DDFF02AC 14548738
DDFF02AD 14548738
DDFF02AE 14548738

Ситуация усугубляется еще и тем, что длина номера чипа MIFARE 1K может быть не 4, а 7 байт. Обусловлено это тем, что компания NXP — разработчик и собственник торговой марки MIFARE — несколько лет назад объявила, что диапазон уникальных 4-байтовых номеров исчерпан. И что в дальнейшем чипы MIFARE 1K будут выпускаться с 7-байтными уникальными номерами (UID). Чипы с 4-байтными номерами продолжают выпускаться, но 4-байтные номера больше не являются уникальными и называются NUID (Non Unique ID — с англ. «не уникальный идентификационный номер»).

Соответственно, при использовании считывателя MIFARE 1K с интерфейсом Wiegand-26 вероятность появления в системе карт с «одинаковыми» номерами повышается, так как отсекаться будут 4 байта из 7.

Можно ли получить карты доступа, защищенные от копирования, применяя MIFARE 1K?

Конечно, можно. При правильной работе с картой и использовании правильного считывателя. «Правильно» — значит с помощью всех тех технических особенностей, которые и характеризуют MIFARE 1K. А именно — необходимо задействовать память MIFARE 1K и обращаться к памяти с помощью той самой 3-х проходной аутентификации, встроенных криптографических алгоритмов.

И для этого на рынке есть технические средства.

Как работает

Каждый ключ Mifare оснащен индивидуальным номером идентификации, памятью с возможностью перезаписывания. Идентификационный номер не нуждается в защите и не является секретным. В некоторых случаях указывается на брелоке или карте. Доступ к памяти ключа надежно защищен.

Считывание данных из карты памяти и запись информации на нее осуществляется исключительно при наличии специальных кодов доступа. Данные, которые передаются между ключом и считывателем зашифрованы. Считыватели одновременно распознают как UID-код, так и информацию, расположенную в зашифрованной памяти. Недорогие системы доступа не обладают такой возможностью и считывают только UID.

UID – это не секретный идентификатор, поэтому сделать дубликат ключа не составит труда. Нужно лишь переписать данные UID, которые обеспечивают доступ в данное место. Дорогие считывающие системы поддерживают работу с двумя способами идентификации одновременно – с памятью и UID, поэтому копирование Mifare, взлом или кража данных в таких системах становится практически невозможной задачей.

Двухформатный считыватель Em Marin + MIFARE

PROX-MF-EM — двухформатный считыватель бесконтактных карт доступа Em Marin, карт доступа MIFARE, а также карт стандарта ISO15693 (I Code SLI, TagIT ).

Считыватель PROX-MF-EM изготовлен из прочного пластика ABS.Подходит как для внутренней, так и для наружной установи.

1. Основные технические характеристики

Форматы карт: MIFARE, ISO15693, EM-Marine
Интерфейсы: Wiegand-26,34,37,40,42,58, TouchMemory
Напряжение питания постоянного тока, В: 9…15
Средний ток потребления (с индикацией), мА: не более 50
Размеры (Д × В × Ш), мм: 154 × 49 × 23
Масса считывателя, не более, г: 110
Цвет корпуса, ABS пластик: черный
Рабочая температура, °С: –40 ~ +50
Класс пыле/влагостойкости IP 54

2. Поддерживаемые форматы карт:

  • MIFARE Classic;
  • MIFARE Plus S / X / EV1;
  • MIFARE DESFire EV1 / EV2;
  • MIFARE Ultralight C;
  • NFC NTAG;
  • ICODE/ ISO-15693 (I Code SLI X/X2, TAG-IT 256, TAG-IT 2048);
  • EM-Marin.

3. Режимы работы по формату MIFARE и стандарту ISO15693

  • MIFARE Classic — чтение UID, или чтение номера из защищённой области карты;
  • MIFARE Plus SL1/SL3 — чтение UID, или чтение номера из защищённой области карты;
  • MIFARE DESFire EV1/EV2 — чтение UID, или чтение номера из защищённой области карты;
  • MIFARE Ultralight С — чтение UID или чтение из номера защищённой области карты;
  • ISO15693 — чтение UID.

C карты EM-Marine всегда считывается UID (серийный номер чипа).

4. Использование в СКУД

В системах доступа (СКУД) считыватель PROX-MF-EM может одновременно работать и с картами Em-Marin и с картами MIFARE или ISO15693.

При этом возможен как защищенный, так и не защищенный режим работы.

Не защищенные режимы:

  • считывание UID карт Em Marin и UID карт MIFARE Classic;
  • считывание UID карт Em Marin и UID карт MIFARE Plus ;
  • считывание UID карт Em Marin и UID карт MIFARE DESFire ;
  • считывание UID карт Em Marin и UID карт MIFARE Ultralight C;
  • считывание UID карт Em Marin и номера из закрытого блока карты MIFARE Classic ;
  • считывание UID карт Em Marin и номера из закрытого блока карты MIFARE Plus на уровне SL1.

Защищенные режимы:

  • считывание UID карт Em Marin и номера из закрытого блока карт MIFARE DESFire с применением криптографии;
  • считывание UID карт Em Marin и номера из закрытого блока карт MIFARE Ultralight C с применением криптографии;
  • считывание UID карт Em Marin и номера из закрытого блока карты MIFARE Plus на уровне SL3 с применением криптографии.

5. Прошивка считывателя PROX-MF-EM для работы в защищенном режиме

Для конфигурирования (прошивки) считывателя PROX-MF-EM на работу в защищенном режиме требуется:

  • программатор KC-MF-USB;
  • программа mad_v3.0;
  • служебные карты.

6.1. Работа с картами MIFARE Plus S / X / EV1

  • выбрать сектор/блок, в котором будет храниться номер, считываемый с карты (например, сектор1 блок 0);
  • выбрать уровень безопасности SL3;
  • придумать значение крипто-графического ключа AES, закрывающего доступ к выбранному сектору-блоку на уровне SL3 (например, A0A1A2A3A4F0F1F2F3B0B1B2B3C0C1C2);
  • выбрать тип интерфейса подключения считывателя к контролеру (например, Wiegand-26).

6.2. Работа с картами MIFARE Ultralight C

  • придумать значение крипто-графического ключа DES, закрывающего доступ к памяти (например, A0A1A2A3A4F0F1F2F3B0B1B2B3C0C1C2);
  • выбрать тип интерфейса подключения считывателя к контролеру (например, Wiegand-26).

6.4. Перечисленные выше действия целесообразно сделать на бумаге.

Т.е., заказчик должен все это продумать, принять решение и записать это решение на бумаге.
После этого можно переходить к программированию считывателя PROX-MF-EM.

6.5. Программирование считывателя PROX-MF-EM:

  • подключить программатор KC-MF-USB к компьютеру;
  • запустить программу:
    • mad.plus_V3.0 для MIFARE Plus;
    • mad_ul для для MIFARE Ultralight C;
    • mad_31_des для MIFARE DESFire.
6.5.1. Для карт MIFARE Plus:
  • набрать на клавиатуре придуманное значение ключа AES
  • выбрать нужную длину интерфейса Wiegand;
  • создать карту инициализации и карту программирования.
6.5.2. Для карт MIFARE Ultralight C:
  • набрать на клавиатуре придуманное значение ключа DES
  • выбрать нужную длину интерфейса Wiegand;
  • создать карту инициализации и карту программирования.

Комбинированный считыватель PROX-MF-EM может использоваться в случаях, когда в СКУД используются карты доступа Em Marin, и стоит задача перейти на защищенные идентификаторы, такие как MIFARE Classic, а еще лучше MIFARE Plus.

Для чего необходимы двухчиповые карты

В некоторых организациях, которые располагаются в разных зданиях, установлены разные считыватели, например в одном здании установлены считыватели Em Marin, а в другом здании — считыватели MIFARE. В таком случае, чтобы у работников на руках не были две разные карты и не возникали ситуации, при которых постоянно происходила путаница с картами, для них создается одна универсальная карта для доступа в два разных здания.

Также в некоторых компаниях на проходной установлен свободный пропускной режим, однако есть помещения, в которые доступ предоставлен только определенным сотрудникам компании, для таких случаем выпускается карта доступа с двумя чипами UHF + MIFARE.

Другой пример, — в горнолыжном комплексе для проезда на парковку необходимо использовать карту Em Marin, а для пропуска на подъемники карту I Code SLIX. В такой случае выпускается комби-карта Em Marin + I Code SLI X.

На объектах, имеющих помещения с очень высокий уровнем защищенности, карты доступа реализованы на микрочипе MIFARE DESFire EV1. А помещения, которые не требуют высокой степени защиты оснащены старыми считывателями HID Prox. В этом случае выпускается комби-карта MIFARE DESFire EV1 + HID Prox.

Структура MIFARE Classic

MIFARE Application Directory (MAD)

  1. Устройство чтения посылает запрос на авторизацию, указывая номер сектора, к которому происходит авторизация.
  2. Карта читает из внутренней памяти ключ доступа, генерирует случайную последовательность и возвращает ее устройству чтения.
  3. Устройство чтения вычисляет ответ, используя ключ доступа к сектору и алгоритм шифрования CRYPTO1, затем отправляет его с новой сгенерированной случайной последовательностью.
  4. Карта проверяет ответ, вычисленный устройством чтения. Затем вычисляет ответ на вызов устройства чтения и возвращает его.
  5. Устройство чтения проверяет ответ от карты.

Производство гибридных карт и их персонализация

Компания NCS изготавливает практически любые виды гибридных RFID карт. Именно изготавливает, а не закупает в Китае.

Изготовление ведется на современном оборудовании, позволяющем делать карты высокого качества, со многими дополнительными элементами.

На нашем складе всегда есть необходимые комплектующие — чипы (MIFARE 1K, MIFARE 4K, MIFARE DESFire EV1, MIFARE Plus, I Code SLI, UHF и другие), что позволяет изготавливать гибридные карты в нужном для заказчика сочетании чипов и RFID частот.

Дополнительно на гибридную карту может быть нанесены:

  • полноцветная печать по макету заказчика;
  • магнитная полоса (HiCo / LoCo);
  • штрих-код;
  • лазерная гравировка номера чипа (UID) или порядкового номера.

Компания NCS выполняет следующие виды электронной персонализации RFID чипов:

  • Комбинированная карта MIFARE + UHF EPC Gen2.
    Запись в чип UHF серийного номера чипа MIFARE Classic или MIFARE Plus или MIFARE DESFire. Более подробно — номер чипа MIFARE (4-х байтный или 7-ми байтный UID) записывается в область памяти EPC чипа UHF. В результате при считывании гибридной карты как на считывателе MIFARE, так и на считывателе UHF будет считываться и передаваться в систему один и тот же номер.
  • Комбинированная карта MIFARE + Em Marine.
    Запись ID номера Em Marin в защищенную память чипа MIFARE. В этом случае ID номер Em Marine записывается в один из блоков памяти MIFARE Classic , MIFARE Plus или MIFARE DESFire, и доступ к этому блоку памяти защищается крипто ключом. В результате один и тот же ID будет считываться в обоих форматах на обоих считывателях — и с чипа Em Marin и с чипа MIFARE, но чип MIFARE будет работать в защищенном режиме.
  • Комбинированная карта  Em Marine + MIFARE.
    Запись в чип Em Marine серийного (в данном случае только 4-х байтного — 4B nUID) номера чипа MIFARE Classic или MIFARE Plus. При считывании комби карты и на считывателе Em Marine и на считывателе MIFARE будет считываться один и тот же номер, который соответствует серийному номеру чипа MIFARE.
    Но здесь есть одна тонкость. В чип EmMarin можно записать номер длиной 4 байта. Но для того, чтобы этот номер был передан в контроллер, интерфейс подключения считывателя к контроллеру должен быть Wiegand-34. Большинство же считывателей и контроллеров имеют интерфейс Wiegand-26. По интерфейсу Wiegand-26 можно передать в контроллер только 3 байта. Соответственно один байт из 4-х будет отрезан, и желаемая цель — считывать с обоих чипов одинаковый номер — достигнута не будет.
    Поэтому, прежде чем заказывать такие комбинированные карты, проверьте, поддерживает ли ваш считыватель и ваш контроллер интерфейс Wiegand-34.
  • Комбинированная карта  Em Marine + MIFARE со штрих-кодом.
    Штрих-код записывается в память чипа MIFARE.
  • Комбинированная карта MIFARE + Em Marin со штрих-кодом.
    Генерация и печать на карте штрих-кода в соответствии с серийным номером чипа MIFARE.
    Генерация и печать на карте штрих-кода в соответствии с серийным номером чипа Em Marin

При изготовлении гибридных карт заказчику передается лог-файл с серийными номерами чипов (текстовый или excel файл с номерами UID одного чипа и UID другого чипа).

Критерии выбора типа карты доступа представлены здесь.

Em Marin – слабое звено

Наиболее популярными и часто используемыми картами стандарта Em Marin являются версии EM4100 и TK4100. Память карт Em Marin (EM4100, TK4100) доступна только для чтения, имеет объем 64 бита, разделенных на 5 групп данных (см. рис. 1):

  • 9 бит отведены под заголовок, всегда «1»;
  • 10 бит четности по рядам (P0-P9); 
  • 4 бита четности по колонкам (PC0-PC3); 
  • 40 бит (D00-D93) поле данных;
  • 1 бит стоповый бит (S0) – логический «0».  

Биты D00 – D53 определяют фасилити-код (Facility code) карты (3 байта) Биты D60 – D93 определяют номер карты (2 байта). При использовании интерфейса Wiegand- 26 с карты Em Marin считывается и передается в контроллер 3 байта (24 бита) данных:

  • Facility code (Фасилити код) биты D40 – D53 (1 байт)  
  • Номер биты D60 – D93 (2 байта).  

Память карты Em Marin открыта для чтения всегда, и механизма, способного закрыть ее от несанкционированного считывания, не существует. Поэтому мошеннику не составит труда изготовить дубликат карты, воспользовавшись широким разнообразием имеющихся сегодня технических средств. Сделать такой дубликат можно даже в мастерской, изготавливающей ключи для домофонов. 

Более изощренные способы копирования карт доступа реализуются с помощью компактных портативных считывателей, позволяющих прочитать карту Em Marin на некотором расстоянии. Злоумышленник, имеющий в кармане такой считыватель, легко прочитает карту, находясь на небольшом расстоянии от держателя карты (в кабинете, на улице т. п.), а потом изготовит ее дубликат. Таким образом, если в качестве карты доступа выбрана карта Em Marin, пользователю системы следует четко понимать, что такая карта не защищена от копирования, и какими бы надежными ни были контроллеры и программное обеспечение, защищенность всей СКД будет на низком уровне.

Организация защищенной идентификации в системе

Для организации защищенной идентификации требуется определенная настройка пары карта-считыватель:

  • инициализация карт Mifare включает запись в защищенную область памяти информации о правилах доступа сотрудника и ключе, по которому эти данные можно получить;
  • настройка считывателей включает сообщение реквизитов доступа к памяти карты – информации откуда именно из памяти карты считывать идентификационные данные, какой ключ для этого использовать. Для этого подходят только считыватели, поддерживающие работу с защищенной областью памяти Mifare;
  • в интерфейсе Sigur вы можете не только производить инициализацию карт Mifare, но и создавать карты программирования для некоторых моделей считывателей.

Инструменты

В этом пункте находятся все те же  калькуляторы value-блока, условий доступа и BCC, а также:

  • Display Tag  Info — дисплей с общей информации о карте: производитель, UID, стандарт ISO, ATQA, SAK и размер памяти. Малополезная функция, так как Mifare Classic поддерживает только один стандарт ISO, UID и прочую тех. информацию можно посмотреть почти в любом другом приложении, а производителя и объем памяти MCT часто определяет неверно.
  • Diff Tool — инструмент для сравнения дампов карт. Может быть очень полезен при сравнении разных карт или состояния одной и той же карты в разное время. Если Вы используете MCT для записи дампов, НАСТОЯТЕЛЬНО рекомендуется снимать дамп с записанной карты и сравнивать с исходным дампом. Вот как выглядит сравнение двух дампов тестовой карты:

  • Clone UID — инструмент для изменения UID и блока изготовителя. Поддерживает только 4-х байтовые UID и только на специальных картах.
  • Convert Data — (начиная с версии 4.0.0) — позволяет конвертировать произвольные данные из/в HEX/ASCII/BIN.
  • UID Log — журнал работы с картами. Отображает UID карты и время, в которое программа с ней взаимодействовала. 
  • Import/Export/Convert Files — позволяет импортировать/экспортировать и создавать резервные копии всех пользовательских данных: ключей доступа и дампов карт.

Можно ли взломать кодировку и каким образом?

Процесс взлома Мифайр карты займет немало времени и сил. Однако сделать это возможно. Для примера возьмем использование считывателя бесконтактных карт RD-03AB, обеспеченного специальным программным обеспечением.

Для взлома часто используют три основных программы:

  1. Mfoc производит взлом только при условии наличия хотя бы одного известного криптоключа.
  2. Mfcuk взламывает ключи Мифайр при помощи накопления информации Random генератора при помощи четырехбитных ответов процесса активации данных.
  3. Mfks применяется с целью восстановления ключей Мифайр на считывающих устройствах нового поколения.

Как взломать?

Для получения доступа к криптоключам необходим считыватель бесконтактных карт RD-03AB, а также готовая карта доступа. Чтобы подключить считывающее устройство к пользовательскому компьютеру, нужно использовать один из имеющихся портов: USB или COM.

Для программирования единственного криптоключа уходит до 30 минут. По окончании систему можно остановить и начать работу с другой программой – Mfoc.

Для чего нужно сделать следующие действия:

  • Запустить программу Mfks, применить опцию «verbose_level 2», после чего нужно подождать в течение 40 минут. Если процесс не увенчался успехом, то его стоит прекратить.
  • Программа Mfcuk запускается с этой же опцией, после чего длительное время ожидаются результаты. Скорость накопления данных статистики может меняться и составить до нескольких дней.

Обе программы могут взломать огромное количество криптоключей, однако в некоторых случаях их бывает недостаточно – идентификаторы просто не поддаются взлому и дублированию.

Продукты MIFARE Plus

Продукты MIFARE Plus призваны повысить существующий уровень безопасности при использовании бесконтактных смарт-карт карт в различных прикладных системах (оплата на транспорте, системы доступа, парковки, платные дороги, системы лояльности и т.п.).

Основные параметры:

  • 2 или 4 килобайта память (EEPROM);
  • простая структура памяти (fixed memory), которая совместима с предыдущими продуктами MIFARE 1K, MIFARE 4k;
  • легко изменяемый Access Condition;
  • возможность плавного перехода от MIFARE Classic к MIFARE Plus;
  • криптозащита AES;
  • длина серийного номера чипа (UID) 4 байта или 7 байт;
  • ключи доступа могут храниться в формате CRYPTO1 MIFARE Classic, или в формате AES;
  • высокая скорость обмена данными 848 kbit/s.

MIFARE Plus базируется на глобальных открытых стандартах, как по интерфейсу, так и по криптографии. MIFARE Plus имеет две версии:

  • MIFARE Plus S – это “Slim” версия, для быстрого перехода от MIFARE Classis;
  • MIFARE Plus X – это “eXpert” версия, обеспечивающая большую гибкость, защищенность и функциональность.

MIFARE Plus обеспечивает полную совместимость снизу-вверх с продуктами MIFARE Classic 1K и MIFARE Classic 4K. Карты MIFARE Plus могут легко интегрироваться в существующие системы, где уже используются карты MIFARE Classic. Уровень защищенности карт MIFARE Plus может быть повышен в любой момент по мере развития системы путем активизации алгоритма AES (Advanced Encryption Standard), обеспечивающего высокий уровень безопасности, целостности данных, аутентификации и шифрования.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector