Як отримати правильну СКУД на картах MIFARE Plus.

1. Недоліки переходу на MIFARE 1K
2. Незахищений номер чіпа
3. Дублювання номерів карт
4. Захист MIFARE 1К від копіювання
5. поширені помилки
6. Підтримка різних форматів MIFARE
7. Зчитування MIFARE Plus
8. 6 етапів захисту MIFARE Plus

[Повернутися в розділ СТАТТІ]

Олег Биков
Генеральний директор компанії NCS

Як побудувати систему доступу і бути впевненим, що карти доступу захищені від копіювання? Таким питанням задаються замовники обладнання для багатьох об'єктів - і режимних підприємств, і житлових комплексів, і парковок, і гірськолижних курортів і т.д.

Які ж є альтернативи? Який вибір є у власника об'єкта для захисту карт доступу від копіювання? До недавнього часу особливого вибору не було ...

Недоліки переходу на MIFARE 1K

Типовий приклад. У діючій СКУД використовуються всім відомі карти EM-Marine. Якщо виражатися технічно більш точно - Proximity-карти на частоті 125 кГц. До них відносяться і EM-Marine (на практиці китайський аналог ТК4100) і HID Prox. Власник об'єкта, на якому встановлена ​​СКУД, втомився від копіювання карт доступу і шукає нові варіанти, що гарантують захист.

І знаходить. Наприклад, MIFARE 1K. І вважає: це те, що потрібно. На нього сиплеться інформація приблизно такого змісту:

• тип мікросхеми - MIFARE S50, стандарт ISO14443А;
• робоча частота - 13,56 МГц;
• час транзакції - не більше 164 мс;
• підтримка антіколлізіі;
• можливість перезапису - не менше 100 000 циклів;
• обсяг пам'яті - не менше 1024 байт;
• 3-х прохідна аутентифікація;
• ідентифікатор довжиною 32 біта.

Замовник мало що розуміє, але велика кількість "розумних" термінів підказує йому, що це добре, дані карти будуть захищені від копіювання.

І замовляє карти доступу MIFARE 1K і відповідні зчитувачі.

Який же результат він отримує? Реальна практика говорить про те, що гроші витрачені марно. Ніякої додаткової захисту карт доступу від копіювання немає.

Чому? Тому що більшість наявних зчитувачів MIFARE 1K, що застосовуються в СКУД, які не задіюють шифрування та криптографії при роботі з картами MIFARE 1K.

Незахищений номер чіпа

Нічого з перерахованих вище технічних особливостей MIFARE 1K (крім ідентифікатора довжиною 32 біта) зчитувачі MIFARE 1K не використовують. Тобто більшість зчитувачів працюють з картами MIFARE 1K так само, як і з картами EM-Marine, а саме - зчитують відкритий номер чіпа. Серійний номер чіпа MIFARE 1K (часто званий ID або UID) - це відкрита послідовність цифр, нічим не захищена. Всі наведені вище "розумні" терміни, що характеризують технічні особливості MIFARE 1K, відносяться до пам'яті чіпа і не зачіпають його серійний номер. При зчитуванні ID-номера ні мікропроцесор, не 3-х прохідна аутентифікація, ні криптографія НЕ задіюються. Номер чіпа нічим не захищений. І легко може бути скопійований для виготовлення дублікатів карти доступу.

Дублювання номерів карт

Інший поширений недолік багатьох зчитувачів MIFARE E 1K - це інтерфейс Wiegand-26, за допомогою якого зчитування підключається до контролера СКУД. Номер чіпа MIFARE 1K має довжину 4 байта (ті ж 32 біта). А по інтерфейсу Wiegand-26 можна передати число довжиною максимум 3 байта. Відповідно, один байт відсікається.

Таблиця 1. Жирним виділені три байта, які передаються

HEX-формат Десятковий формат DDFF02 AC 3724477100 DDFF02 AD 3724477101 DDFF02 AE 3724477102

Номер чіпа передається через контролер в систему в повному обсязі. І в системі з'являються однакові номери карт. Що в реальній практиці і зустрічається.

Таблиця 2. З'являються однакові номери карт

HEX-формат Десятковий формат DDFF02AC 14548738 DDFF02AD 14548738 DDFF02AE 14548738

Ситуація ускладнюється ще й тим, що довжина номера чіпа MIFARE 1K може бути не 4, а 7 байт. Обумовлено це тим, що компанія NXP - розробник і власник торгової марки MIFARE - кілька років тому оголосила, що діапазон унікальних 4-байтових номерів вичерпаний. І що в подальшому чіпи MIFARE 1K будуть випускатися з 7-байтними унікальними номерами (UID). Чіпи з 4-байтними номерами продовжують випускатися, але 4-байтниє номера більше не є чимось унікальним і називаються NUID (Non Unique ID - з англ. «Не унікальний ідентифікаційний номер").

Відповідно, при використанні зчитувача MIFARE 1K з інтерфейсом Wiegand-26 ймовірність появи в системі карт з "однаковими" номерами підвищується, так як відсікатися будуть 4 байта з 7.

Чи можна отримати карти доступу, захищені від копіювання, застосовуючи MIFARE 1K?

Звичайно можна. При правильній роботі з картою і використанні правильного зчитувача. "Правильно" - значить за допомогою всіх тих технічних особливостей, які і характеризують MIFARE 1K. А саме - необхідно задіяти пам'ять MIFARE 1K і звертатися до пам'яті за допомогою тієї самої 3-х прохідний аутентифікації, вбудованих криптографічних алгоритмів.

І для цього на ринку є технічні засоби.

Захист MIFARE 1К від копіювання

Захистити карту доступу MIFARE 1K просто. Досить записати в один з 64 блоків пам'яті ідентифікатор (номер довжиною 3 байти для передачі по Wiegand-26) і закрити доступ до цього блоку кріптоключа. А зчитувач замість читання ID-номера налаштувати на читання ідентифікатора із зазначеного блоку пам'яті MIFARE 1K за допомогою такого ж кріптоключа, яким закрита пам'ять MIFARE 1K.

Для цього пропонуються технічні та програмні засоби. І стоять вони недорого.

Але тут криється ще один підводний камінь. А хто придумує значення кріптоключа? Хто записує його в карту MIFARE і прошиває в зчитувач? Адже якщо кріптоключа відомий сторонній, то той легко може копіювати карти доступу.

Тому питання криптографічного захисту замовник / власник об'єкта повинен взяти на себе - не довіряти це ні постачальнику карт і зчитувачів, ні монтажника СКУД.

Якщо ключі і паролі знаходяться в руках у третьої особи, захист карт від копіювання буде залежати від його сумлінності, а також від непередбачених випадковостей (звільнився ображений фахівець і на зло наробив копії карт ...).

Від власника об'єкта СКУД потрібно небагато. Спочатку зрозуміти важливість цього моменту. Потім самому або через довірену особу придумати значення паролів і ключів і записати їх в карти і зчитувачі. Для цього є прості і зручні програмно-технічні засоби. Наприклад - створення майстер-карти. Власник об'єкта створює майстер-карту, на якій буде зберігатися вся "ключова" інформація. Далі оператор за допомогою майстер-карти зможе "прошивати" і карти MIFARE 1K, і зчитувачі. Але знати ключі, паролі і т.д. не буде.

Це і є той шлях, який дозволить захистити карти доступу MIFARE 1K від копіювання.

поширені помилки

Але час йде, хакери не дрімають. Криптозащита, вбудована в чіп MIFARE 1K, в даний час визнається невисокою. Про це є публікації у відкритій науково-технічній пресі. На деяких сайтах можна знайти інформацію про способи злому захисту MIFARE 1K.

Що робити замовнику, який прагне надійно захистити карти доступу від копіювання та підробки?

Є сучасні надійні засоби. Наприклад, компанія NXP розробила лінійку чіпів MIFARE Plus, де використовується криптографія AES, розтин якої в даний час вважається неможливим. Застосування MIFARE Plus - гарантія захисту карт доступу від копіювання та підробки.

Але і тут замовнику доводиться нелегко.

Виробники зчитувачів карт для СКУД часто приховують технічні тонкощі.

Підтримка різних форматів MIFARE

Ще один типовий приклад. Розробник зчитувача дізнався, що 4-байтниє серійні номери чіпів більше не є чимось унікальним, а компанія NXP випустила 7-байтную версію чіпа MIFARE 1K. Виробник допрацьовує свою считку (залишаючи при цьому той же самий інтерфейс Wiegand-26) на читання 7-байтного номера MIFARE 1K. І тут він розуміє, що може ще й розширити перелік чіпів, з якими нібито працює його зчитування. Адже 7-байтний UID є у багатьох інших продуктів MIFARE, а саме - у MIFARE Ultrlaight C, MIFARE Plus, MIFARE DESFire EV1. І розробник тут же включає в документацію фразу такого характеру: "Підтримка різних форматів MIFARE Ultralight, MIFARE Plus, DESFire EV1".

Таблиця 3. Основні характеристики різних чіпів MIFARE

Тип карти MIFARE Ultralight MIFARE Classic MIFARE DESFire EV1
2К / 4K / 8K MIFARE Plus S
2К / 4K MIFARE Plus X
2К / 4K MF0 IC U1x MF1 IC S50 MF1 IC S70 MF3 IC D21,
MF3 IC D41,
MF3 IC D81 MF1 SPLUS60 /
MF1 SPLUS80 MF1 PLUS60 /
MF1 PLUS80 Криптоалгоритм Немає CRYPO1 CRYPTO1 DES & 3DES / AES CRYPTO1 / AES CRYPTO1 / AES Довжина серійного номера, байт 7 4/7 4/7 7 7 7 EEPROM, байт 64 тисячі двадцять чотири 4096 2048/4096/8192, гнучка файлова структура 2048/4096 2048/4096 Кількість циклів перезапису 10 000 100 000 100 000 500 000 200 000 200 000 Організація 16 стор. / 4 байт 16 сект. / 64 байт 32 сект. / 64 байт,
8 сект. / 256 байт Визначається програмно 32 сект. / 4 блоки,
8 сект. / 1 ​​блок 32 сект. / 4 блоки,
8 сект. / 1 ​​блок

Бідний необізнаний замовник купує карти MIFARE Plus і такий зчитувач. Що він отримує? Знову нічого, крім марно витрачених грошей.

Зчитувач буде працювати з відкритим UID, який ніяк не захищений (про це йшлося вище). Криптографія AES, вбудована в чіп MIFARE Plus, не поширюється на UID. Цей UID копіюється так само легко, як і ID MIFARE 1LK, і зчитування номера чіпа MIFARE Plus нічого не додає до захисту карт від копіювання та підробки.

Карти MIFARE Plus надходять з заводу-виготовлювача в незахищеному режимі і насправді в такому вигляді не призначені для використання. На відміну від традиційних Proximity-карт (HID, EM-Marine) карти MIFARE Plus після покупки повинні бути проініціалізовані. І зробити це повинен замовник.

Зчитування MIFARE Plus

Як ще деякі виробники зчитувачів вводять замовника в оману? Є приклад з життя.

Відомо, що карти MIFARE Plus можуть бути проініціалізовані таким чином, що чіп MIFARE Plus повністю емулює MIFARE 1K (в тому числі і криптоалгоритм СRYPTO-1). Більш точно цей режим називається перекладом чіпа MIFARE E Plus на рівень безпеки SL1 в режимі емуляції MIFARE Classic. Чи не проводячи тестування, виробник зчитувача (гіпотетичний) додає в свою документацію фразу "Підтримка MIFARE Plus". На жаль для замовника, який купив подібну считку, коректно працювати з картами MIFARE Plus вона не буде.

рівні безпеки
Безконтактні картки MIFARE Plus підтримують 3 рівня безпеки і можуть бути в будь-який момент переведені з одного рівня на більш високий.

Рівень безпеки 0
Карти MIFARE Plus на рівні 0 не призначені для використання. Замовник повинен проинициализировать чіп MIFARE Plus і перевести його на більш високий рівень. Ініціалізація чіпа може проводитися по ключам, відповідним MIFARE E Classic із застосуванням криптоалгоритма CRYPTO1, або по ключам AES.

Рівень безпеки 1
На цьому рівні карти мають 100% -ную сумісність з MIFARE Classic 1K, MIFARE Clasis 4K. Карти MIFARE Plus легко працюють в існуючих системах разом з картами MIFARE Classic.

Рівень безпеки 2
Аутентифікація по AES є обов'язковою. Для захисту даних використовується CRYPTO1.

Рівень безпеки 3
Аутентифікація, обмін даними, робота з пам'яттю тільки по AES.

6 етапів захисту MIFARE Plus

Що ж робити, щоб карти доступу MIFARE Plus працювали в СКУД в захищеному режимі?

1. Перше - перейнятися розумінням, що необхідна особиста участь власника об'єкта СКУД у вирішенні питань захищеності карт MIFARE Plus. Це чисто організаційний момент, але необхідний.
2. Далі слід вибрати рівень безпеки, на якому працюватимуть карти MIFARE Plus в даній СКУД: SL1, SL2 або SL3.
   Тут потрібно консультація фахівця. Той чи інший рівень повинен бути обраний, виходячи зі специфіки об'єкта і вимог захищеності. Рівень SL3 - найвищий з точки зору захисту, а й підготовка карт і зчитувачів MIFARE Plus для роботи на SL3 технічно найскладніша. І не всі зчитувачі можуть працювати на рівні SL3.
3. Вибираючи рівень безпеки, замовник повинен вирішити, скільки секторів буде закриватися секретними ключами. Для СКУД цілком достатньо закрити лише один сектор пам'яті MIFARE Plus.
4. Наступний етап - предеміссія карт MIFARE Plus. Це фактичний переклад карт MIFARE Plus на обраний рівень безпеки (SL1, SL2 або SL3) і закриття обраного сектора пам'яті секретним ключем з криптографією AES.
5. Потім - підготовка зчитувачів. Кожен зчитувач, що підключається до контролера СКУД, повинен бути запрограмований на читання даних з того ж блоку пам'яті і за тим же ключу AES, що і карта MIFARE Plus.
6. Далі слід власне емісія карт доступу, тобто запис ідентифікатора в обраний сектор пам'яті MIFARE Plus. Цей ідентифікатор буде пов'язаний з конкретним працівником і буде зчитуватися в захищеному режимі.
   Скопіювати або підробити таку карту MIFARE Plus буде неможливо.
   Введення в систему карт доступу MIFARE Plus здійснюється через контрольний зчитувач (з інтерфейсом USB, RS-232 або RS-485, TCP / IP). Контрольний зчитувач читає ідентифікатор, що зберігається в захищеній пам'яті MIFARE Plus, використовуючи при цьому криптографію AES.

Описаний вище підхід дозволяє використовувати карти доступу MIFARE Plus з багатьма наявними на ринку контролерами СКУД. Сучасні зчитувачі, що підтримують роботу з MIFARE Plus, мають різні інтерфейси підключення до контролерів, в тому числі і поширений - Wiegand-26. Це дозволяє легко і просто переводити діючі СКУД з карт EmMarin на карти MIFARE Plus. Буде потрібно тільки заміна зчитувачів. Контролери, програмне забезпечення, бази даних зберігаються.

Про бідного ЗАМОВНИКА ЗАМОВТЕ СЛОВО. Як отримати правильну СКУД на картах MIFARE Plus?

Компанія NCS - офіційний партнер компанії NXP по продуктам MIFARE®

Як партнер NXP, компанія NCS має не тільки статус виробника і постачальника карт MIFARE і зчитувачів, але також і статус консультанта по застосуванню MIFARE (MIFARE Application Consultancy) і статус консультанта за технічними характеристиками MIFARE (MIFARE Technical Consultancy).

MIFARE®, NXP's brand of contactless IC products.
MIFARE® зареєстрована торгова марка, що належить компанії NXP.
MIFARE® є інтелектуальною власністю компанії NXP.

[Повернутися в розділ СТАТТІ]