Як отримати ефективну систему контролю доступу на основі карток MIFARE Plus
До обладнання і програмного забезпечення, що утворюють систему контролю і управління доступом (далі – СКУД), висуваються високі вимоги. Проте, організовуючи такий технічний комплекс, важливо приділяти увагу особливостям ідентифікаторів. Відомо, що ключі і картки легко піддаються копіюванню, через що СКУД стає малоефективною з точки зору обмеження доступу стороннім людям. То ж як захистити ідентифікатори від дублювання даних? Про це ми й поговоримо.
Чи слід переходити на MIFARE 1K?
Уявімо, що у нас є конкретний об’єкт, на якому використовується СКУД з картками EM-Marine. Припустимо, що це спортивний комплекс для співробітників одного з підприємств. Кожному відвідувачу попередньо видали картки EM-Marine. За півроку після відкриття об’єкту було виявлено приблизно 5 випадків отримання доступу до комплексу відвідувачами, яким не надавалось таке право. Причина – копіювання даних карток Em-Marine. Менеджмент підприємства миттєво відреагував на такі випадки і розпочав пошук методів додаткового захисту ідентифікаторів від копіювання. Першим варіантом стає MIFARE 1K. Коли замовник вивчає технічні параметри таких карток, його приваблюють такі характеристики як 3-прохідна аутентифікація, великий об’єм пам’яті, ідентифікатор 32 біти, функція перезапису. Здавалось би, саме ці характеристики забезпечують надійний захист від копіювання. Але це не так. Купуючи картки MIFARE 1K, замовник отримує повний аналог Em-Marine. І це можна пояснити. Для зчитування карток MIFARE 1K купують зчитувачі такого ж стандарту. Проте такі пристрої не залучають функцію шифрування і криптографію при ідентифікації карток.
Чому картки MIFARE 1K не мають захисту від копіювання:
- Відкритий серійний номер чіпу. При зчитуванні даних чіпу зчитувачі MIFARE 1K не залучають ані трьохпрохідну аутентифікацію, ані кріптографію, ані мікропроцесор. Це все означає, що номер чіпу може бути скопійованим.
- Дублювання номерів карт. MIFARE 1K мають інтерфейс підключення до контролеру Wiegand-26. Номер чіпу таких карток має довжину 4 байти. У той же час інтерфейс дає змогу передати число об’ємом 3 байти. Підчас зчитування карток певна частина номеру з кінця відсікається, через що система отримує неповну цифрову комбінацію, що присвоєна чіпу. Так, у базі даних з’являється декілька ідентичних карток. Нещодавно виробник і розробник MIFARE 1K публічно заявив, що цифрові комбінації 4 байти віднині не є унікальними. У той же час, картки с таким параметром продовжують випускатися і запроваджуватися до СКУД.
Незважаючи на усі ці особливості MIFARE 1K, захистити картки від копіювання все ж таки можна. І ми розкажемо, яким чином це можна зробити.
Захист від копіювання: способи
Існує один ефективний алгоритм захисту. Що треба зробити:
- До одного з 64 блоків пам’яті записуємо ідентифікатор і застосовуємо криптоключ для захисту від відкриття доступу.
- Переходимо до налаштувань зчитування. Але вибираємо не ID-номер чіпу, а саме той ідентифікатор, який був попередньо записаний у пам'ять. Для цього застосовується той самий криптоключ, яким була закрита пам'ять на попередньому етапі.
Для того, щоб вирішити ці задачі, знадобляться програмно-технічні засоби, наприклад, майстер-картка. На такий носій можна записати всі ключі. Ними зможе користуватися оператор, якому ви довірили процедуру налаштування зчитування. Проте, зважаючи на це, записані на майстер-картку дані (ключі й паролі) не зможуть бути розсекречені третьою особою.
Нюанси
Технології захисту карт доступу від копіювання вдосконалюються, проте й хакери теж активно працюють над вдосконаленням методу розкриття конфіденційних даних. Якщо почати вивчати спеціалізовані тематичні ресурси про високі технології у сфері комплексної безпеки і СКУД, можна знайти багато інформації про доступні способи копіювання даних з карток. Зараз вже відомо, що вбудований в чіп MIFARE 1K криптозахист вважається малоефективним. Проте існує вирішення даної ситуації. Наприклад, покупець СКУД може звернути увагу на картки MIFARE Plus від виробника NXP. Криптографія AES стала основною цікавою деталлю новинки. Вся річ у тім, що станом на 2021 рік, зламати яким-небудь чином таку криптографію неможливо. Здавалось би, що проблема вже вирішена! Проте й тут не все так просто, оскільки у зчитувачів для карток MIFARE Plus також є деякі слабкі сторони.
Приклад: Виробник пристроїв для зчитування вже дізнався, що 4 байтні номери чіпів вважаються неунікальними. При цьому NXP вже були презентовані картки з 7 байтним UID серійним чіпом формату MIFARE Ultrlaight C, MIFARE Plus, MIFARE DESFire EV1. У відповідь на це, розробник доопрацьовує вже випущені зчитувачі, але при цьому не міняє прошивку Wiegand-26.
Нагадаємо: вона забезпечує неповне (всього 3 байти!) зчитування серійного номеру. А це є серйозним недоліком з боку забезпечення захисту від копіювання. У якості маркетингового ходу, виробник використовує таке формулювання: зчитувач N підтримує формати MIFARE Ultrlaight C, MIFARE Plus, MIFARE DESFire EV1. Замовник, звичайно ж, довіряє виробнику, але отримує все ту ж захищену від копіювання ідентифікаторів СКУД. Ще один неприємний момент – значна переплата.
Також врахуємо, що картки MIFARE Plus, постачаються з заводу у незахищеному від копіювання вигляді. Ініціалізація – обов’язкова процедура, яку слід виконати ще до експлуатації. Але велика кількість замовників або не знає, або забуває про це.
Нажаль, і цим список недоліків не закінчується. Так, під час ініціалізації MIFARE Plus буває й так, що чіп таких карток копіює менш досконалий MIFARE 1К. Таким чином режим безпеки переводиться на рівень SL1. Це найнижчий рівень безпеки із усіх доступних. Виробник вказує в інструкції, що пристрій сумісний з картками MIFARE Plus. Проте розраховувати на коректну роботу не доведеться.
Отже що треба зробити для того, щоб картки MIFARE Plus були захищені від копіювання? Перше – проявити відповідальний підхід до організації СКУД, у тому числі і до ідентифікаторів. Нашагайтесь не допустити, щоб в цих процедурах брали участь треті особи.
Важливо звертати увагу на рівень безпеки карток. Наприклад, рівень S3 є найвищим, і його доцільно вибирати для великих стратегічних об’єктів. Організація і встановлення СКУД з таким параметром потребує високих професійних навичок спеціалістів, що долучаються до такої роботи. Проте слід врахувати, що не всі зчитувачі можуть повноцінно працювати з MIFARE Plus рівня S3.
Наступний крок – покупець СКУД визначається з тим, скільки секторів будуть закриватися із застосуванням секретного ключа. У СКУД достатньо закрити один сектор у картці пам’яті. Всі ідентифікатори повинні пройти предемісію. Ця процедура являє собою переведення MIFARE Plus на конкретний рівень безпеки. Незалежно від того, який рівень був вибраний, його необхідно закрити, використовуючи ключ з криптографією AES.
Підготовка карток до захисту від копіювання також включає конкретне налаштування контролерів. Необхідно, щоб пристрій зчитував дані з того ж блоку пам’яті і за тим самим криптоключем, що й сама картка.
Останній етап – безпосередній запис ідентифікатора на картки. Кожний ідентифікатор є індивідуальним для конкретної людини, що зареєстрована у базі даних СКУД. Таким чином ми одержали картки MIFARE Plus, які повноцінно захищені від копіювання. Для того, щоб зареєструвати картки в системі, слід використати контрольний зчитувач. Зв'язок здійснюється по USB, RS-232 або RS-485, TCP/IP.
Сьогодні у продажі можна знайти зчитувачі, що підтримують картки MIFARE Plus. При цьому більшість таких моделей оснащена Wiegand-26. Це дає змогу використовувати пристрої як з Em-Marine, так і з MIFARE Plus картками.
Сподіваємось, що дана стаття виявилась корисною для вас, і ми змогли відповісти на всі ваші питання, що стосуються захисту карток СКУД від копіювання.
Хочете знати актуальні новини зі світу технологій для безпеки? ПІДПИСУЙТЕСЬ на наші TELEGRAM та YOUTUBE КАНАЛИ!
Увага! Використання матеріалів можливе лише при наявності посилання на наш блог.