Как нас найти:

[вернуться в раздел СТАТЬИ]

Что надо знать, заказывая карты MIFARE для СКД

О.Быков
к.т.н., компания NCS

«АЛГОРИТМ БЕЗОПАСНОСТИ», №4, 2011
www.algoritm.org

I. Карта MIFARE 1K

Все чаще в качестве карты доступа в СКД используются карты стандарта MIFARE 1K. Это бесконтактные смарт-карты, намного более сложные и функциональные, чем самый популярный Em Marin, и при заказе таких карт следует быть очень внимательным.

На что же следует обращать внимание при заказе карт данного стандарта? На качество, которое складывается из следующих составляющих.

Рассмотрим подробнее эти составляющие.

1. Чип карты

Чипы MIFARE 1K бывают оригинальные и нет. От этого зависят такие параметры, как надежность и корректность работы с памятью чипа.
Карты MIFARE 1K были изначально разработаны фирмой Philips и предназначались для локальной оплаты на транспорте. В настоящее время все проекты MIFARE ведет дочерняя фирма Philips – компания NXP Semiconductors.

Чип от NXP называется MF1 IC S50 и является самым правильным “оригинальным” чипом.
Кроме NXP, оригинальные чипы выпускает фирма Infineon, на основании лицензии от NXP. Чип от Infineon называется SLE66R35. По надежности и другим параметрам данный чип ничем не отличается от чипа NXP.

Слово MIFARE — торговая марка семейства бесконтактных смарт-карт, принадлежащая NXP Semiconductors. Название MIFARE может на законных основаниях использовать только компания NXP.

Все продукты MIFARE базируются на международном стандарте ISO 14443 Type A - стандарте бесконтактных смарт-карт. Чипы, совместимые с MIFARE 1K, разработаны на основе данного стандарта.

На рынке существуют чипы, кроме MF1 IC S50 и SLE66R35, которые называют как «совместимые» или «не оригинальные» чипы MIFARE 1K. Но, так как эти чипы выпускаются без лицензии NXP, носить название MIFARE на законных основаниях они не могут. Фирмы - разработчики таких чипов этого и не делают, они дают своим чипам другие названия. А словосочетание «совместимый Mifare» или «неоригинальный Mifare» придумали менеджеры по продажам.

Из таких совместимых чипов наиболее известным являются:

Заводы-изготовители таких чипов в своей технической документации, естественно, не упоминают MIFARE, а ссылаются на стандарт ISO 14443 Type A.
Следует иметь в виду, что стоимость совместимых чипов значительно ниже, чем стоимость оригинальных.
Есть еще такое понятие, как корректная или полная реализация стандарта ISO 14443 Type A. Не все совместимые чипы обладают такой реализацией. Это означает, что при выполнении сложных функций по работе с памятью чипа, такие чипы могут ломаться. Что и происходит на практике. Заказчик, польстившись на низкую стоимость, с удивлением обнаруживает, что карты через некоторое время перестают работать.

2. Антенна

Бесконтактные смарт-карты стандарта ISO 14443 Type A работают на частоте 13,56 МГц. Т.е. и считыватель и карта должны обеспечить работу на частоте 13,56 МГц. Для этого внутри БСК имеется антенна. Чаще всего антенна делается из нескольких витков медной проволоки. Медная проволока может наматываться оператором вручную, а может наматываться на автоматическом станке. При намотке на станке антенна получается идеально ровной, чего нельзя сказать о ручной намотке. От этого может зависеть реальная частота, на которой данная антенна будет работать, и, соответственно, дальность считывания и правильность передачи данных между картой и считывателем.

3. Соединение чипа и антенны

Чип и антенна должны быть надежно соединены. Иначе не будет передачи данных между картой и считывателем. От качества этого соединения зависит надежность и долговечность работы карты. Если площадь контакта антенной проволоки и чипа достаточно большая и качество пайки (сварки) высокое, - карта будет долго и безупречно работать. Высокотехнологичные производства это обеспечивают. Но если все делается вручную со слабым технологическим контролем, то соединение чипа с антенной может оказаться слабым и разрушится при использовании карты (от небольших вибраций и других внешних воздействий).

Вот три наиболее важных момента, которые следует иметь в виду при заказе бесконтактных смарт-карт MIFARE.
Но эти момента касались самой карты. Еще есть характер ее использования.

II. Использование карт MIFARE 1K

Иногда заказчик, желая перевести свою СКД на более высокий уровень, заказывает карты MIFARE (вместо повсеместного Em Marin) и думает, что тем самым получил систему контроля доступа нового уровня. Но, автоматически это не происходит. Вот некоторые ошибки, которые, как показывает практика, совершаются при переходе на стандарт MIFARE.

  1. Заменяются считыватели Em Marin на считыватели MIFARE с сохранением интерфейса Wiegand-26.
    Это неправильно.
    Считыватели карт MIFARE надо подключать к контроллеру по интерфейсу Wiegand-42 или по компьютерному интерфейсу. Объясняется это следующим. Длина серийного номера MIFARE составляет 4 байта. А по интерфейсу Wiegand 26 (который чаще всего используется для подключения карт-считывателей к контролеру) передается только 3 байта. Т.е. полностью номер, считанный с карты MIFARE, передать в СКД нельзя. Передается только часть этого номера, что приводит к появлению в системе карт с одинаковыми номерами.
  2. Для идентификации в СКД считывается серийный номер чипа MIFARE 1K.
    Нельзя сказать, что для идентификации считывать серийный номер карты неправильно. Скорее, это не рекомендуется, если от СКД требуется высокая защищенность.

    Серийный номер чипа всегда открыт для чтения, что позволяет потенциальному злоумышленнику видеть эту информацию. Считав серийный номер, злоумышленник может изготовить поддельную карту и получить несанкционированный доступ на территорию или в помещения.

    Поэтому вместо считывания серийного номера чипа лучше предусмотреть чтение защищенного блока памяти БСК. Доступ к такому блоку может быть защищен ключами, что делает его закрытым для посторонних. В защищенном блоке карты MIFARE можно хранить номер карты в том формате, который принят в данной конкретной СКД. И длина этого номера может составлять 3 байта, что позволяет сохранить интерфейс между карт-считывателем и контроллером как Wiegand-26.
  3. Приобретаются белые болванки карт MIFARE.
    Традиционно заказчику СКД предлагаются белые болванки бесконтактных карт и сублимационный принтер для нанесения на эти болванки логотипа заказчика и другой персональной информации.

    Это устаревший подход, характеризующийся самой высокой (конечной) стоимостью карт доступа для заказчика.
    Современные технологии позволяют изготавливать карты доступа (MIFARE, HID, EmMarin, ...) с красочной печатью высокого качества. Заказчик получает тираж карт со своими картинками и со своей текстовой информацией. И качество такой печати выше, чем на сублимационном принтере. А итоговая стоимость значительно ниже.

    Помимо постоянной информации современные технологии позволяют изготавливать карты доступа с персональной информацией и переменным данными. Например, нанесение фотографии владельца карты, фамилии-имени, срока действия и т.п. без использования сублимационных принтеров, а на основе современных цифровых технологий офсетной печати.

III. Классический MIFARE 1K уходит.

В будущем бесконтактные чипы MIFARE 1k (с 4-байтным UID) перестанут выпускаться.
Компания NXP Semiconductors официально объявила о том, что диапазон серийных номеров чипов MIFARE 1K близок к исчерпанию. Длина серийного номера чипа MIFARE 1K составляет 4 байта и почти все возможные комбинации уже выбраны.

Поскольку NXP глобально отслеживает, чтобы серийные номера MIFARE 1K были уникальными и не повторялись, то в скором времени выпуск классического MIFARE 1k 4-byte UID будет либо прекращен, либо будут выпускаться чипы с не уникальным серийным номером чипа (4BNUID).

В качестве альтернативы NXP предлагает:

Оба эти варианта, возможно, потребуют замены считывателей, так как не все устройства записи-чтения поддерживают 7-байтные UID.



[вернуться в раздел СТАТЬИ]


На главную страницу Пишите нам!