Как нас найти:

[вернуться в раздел СТАТЬИ]

Какую купить карту доступа для защищенной СКУД

1. Заказчику, выбирающему карту доступа с высокой степенью защиты от копирования, могут быть предложены следующие варианты:

2. Карты доступа с популярным чипом — MIFARE Classic 1K (а также с еще более популярным его китайским аналогом — FM11RF08) не обладают защитой от копирования.

Уже не обладают.

Несколько лет назад чипы этих карт можно было защитить от взлома, копирования, подделки путем записи идентификатора в блок памяти чипа и закрытия доступа к этому блоку памяти с помощью крипто-графической защиты (известный термин Secure Sector).

Но в настоящее время общепризнано, что встроенные в эти чипы криптографические средства защиты являются слабыми, и легко вскрываются.

Компания NXP, признавая факт слабости защиты MIFARE Classic, опубликовала свое официальное заявление на эту темы, ознакомиться с которым можно по ссылке:

Вывод: для СКУД с высокими требованиями к защите карт доступ использовать MIFARE Classic 1K (или FM11RF08) не имеет смысла.

3. Карты доступа с чипом MIFARE Ultralight C предлагают заказчикам СКУД достаточно высокий уровень защиты. Но, — не самый высоки из возможных.

Карты доступа с чипом MIFARE Ultralight C стали доступны заказчикам СКУД со второй половины 2017г. До этого времени на рынке не было считывателей, которые могли бы работать с картами Ultralight C в защищенном режиме.

Теперь такие считыватели (как турникетный, так и контрольный) имеются в продаже:

Идентификатор, считываемый для идентификации работника в СКУД, записывается в защищенный блок памяти чипа Ultralight C. Доступ к этому блоку памяти защищается крипто–ключом TDES (аутентификация по TDES). Однако, сам идентификатор, записанный в блок памяти, не имеет крипто-защиты. В этом отношении чипы Ultralight C отличаются от чипов MIFARE Plus или DESFire. Но для многих СКУД защиты Ultralight C будет вполне достаточно, учитывая самую низкую стоимость карты доступа MIFARE Ultralight C.

Купив карты доступа MIFARE Ultralight C, заказчик должен подвергнуть их процессу пред-эмиссии. А именно:

Вывод: карты доступа с чипом MIFARE Ultralight C — самый бюджетный вариант хорошо защищенной карты доступа.

4. MIFARE Plus — это собирательное название целого семейства чипов, куда входят:

(1К, 2К, 4К — это объем памяти в один, два или четыре килобайта).

Во всех чипах семейства MIFARE Plus используется крипто-защита AES (как для процесса аутентификации, так и для защиты данных).

Для карт доступа, используемых в СКУД, как правило достаточно чипов с небольшим объемом памяти. Поэтому, карты доступа Plus SE 1K будут самым бюджетным вариантом при практически одинаковом (и очень высоком) уровне защиты.

Все чипы семейства MIFARE Plus имеют одну особенность. А именно — 4 уровня защиты, на которых может находится чип MIFARE Plus:

С завода-изготовителя карты доступа MIFARE Plus поступают не инициализированные, на уровне SL0. Использовать карты на уровне SL0 нельзя. Заказчик СКУД должен перевести чип на один из более высоких уровней.

Первый уровень — SL1 — это уровень полной эмуляции MIFARE Classic 1K.

Т.е. чип MIFARE Plus, переведенный на SL1, становится обычным MIFRAE Classic со всеми вытекающими последствиями.

Об отсутствии защиты чипа MIFARE Plus на уровне SL1 говорит компания NXP:

Любой чип из семейства MIFARE Plus, переведенный на уровень SL1, не обладает защитой и не рекомендуется компанией NXP для использования в системах, где безопасность имеет значение.

Для полного использования всех преимуществ MIFARE Plus заказчик СКУД должен перевести чип на уровень SL3, на котором и активируются все крипто алгоритмы AES.

В чипах MIFARE Plus SE 1K / MIFARE Plus X 2K или 4К на уровень SL3 переводятся все сектора памяти чипа. Перевести на SL3 только некоторые сектора памяти чипа нет возможности, это не предусмотрено встроенной электроникой. Также нет возможности после перевода на SL3 перевести чип обратно на более низкий уровень безопасности.

Эти ограничения отсутствуют в чипе MIFARE Plus EV1. Это самый последний (самый новый) чип семейства. Сектора памяти этого чипа можно переводить на разные уровни безопасности независимо. Это очень удобно во многих случаях. Например в крупной системе доступа есть считыватели (старые, давно установленные), работающие только с MIFARE Classic, и есть считыватели (новые) поддерживающие MIFARE Plus на уровне SL3.

В этом случае, для того, чтобы работник одной и той же картой доступа проходил через те и другие считыватели, можно сделать следующее:

Купив карты доступа семейства MIFARE Plus, заказчик должен подвергнуть их процессу пред-эмиссии. А именно:

P.S. Придуманное значение ключа AES целесообразно хранить в дальнейшем в надежном сейфе.

При заказе карт доступа MIFARE Plus есть очень важный организационный момент, на который владельцу объекта СКУД следует обратить самое пристально внимание.

Если заказчик СКУД заказывает карты доступа MIFARE Plus уже переведенные на уровень SL3, то он должен иметь представление о двух возможных вариантах:

Вывод: карты доступа с чипами MIFARE Plus — обеспечивают очень высокий уровень защиты. Тип чипа в рамках семейства MIFARE Plus определяется, исходя из конкретных требований заказчика. Владелец объекта СКУД должен понимать, что карты этого семейства нельзя рассматривать как карты Em Marine — "купил и раздал работникам". До выдачи работникам, эти карты необходимо подвергнуть электронной пред-эмиссии.

5. MIFARE DESFire EV1 c объемом памяти 2К, 4К или 8К.

В отличие от предыдущих чипов, в MIFARE DESFire EV1 имеется возможность выбора криптографических алгоритмов: DES / 2K3DES / 3K3DES / AES или их сочетание.

После получения с завода-изготовителя, заказчик СКУД должен провести электронную пред-эмиссию карт доступа DESFire EV1.

Память чипа MIFARE DESFire EV1 не имеет такой четкой структуры, как память MIFARE Ultralight C или MIFARE Plus. Память DESFire EV1 имеет файловую (гибкую) структуру, и заказчик должен создать в рамках этой памяти по крайней мере одно приложение. Далее, записать в это приложение идентификатор, который будет считываться и определять держателя карты в рамках СКУД. И закрыть доступ (обеспечить аутентификацию) к этому приложению встроенными крипто-графическими средствами (DES / 2K3DES / 3K3DES / AES).

Создавая ни одно, а несколько приложений в чипе MIFARE DESFire EV1, заказчик СКУД может делать одну и ту же карту доступа универсальным средством, работающим на разных объектах. Например, в холдинге несколько зданий. Владелец одного здания организовал высоко защищенный доступ в свои помещения и не хочет «делиться» секретными крипто-ключами с владельцем (владельцами) другого (других) здания, входящего в холдинг. А владелец второго здания не хочет передавать свои секретные ключи первому.

Но общее требование — проходить по одной и той же карте везде, во всех зданиях.

С помощью карт доступа MIFARE DESFire EV1 эта проблема решается легко и красиво.

На карте доступа MIFARE DESFire EV1 создаются два (по крайней мере два) независимых приложения.

В приложение №1 «прошивается» вся секретная информация для прохода в здание 1.

В приложение №2 «прошивается» вся секретная информация для прохода в здание 2.

Если работнику здания 1 необходимо разрешить доступ в здание 2, то его карта предается специалистам здания 2, и они прошивают в карту работника здания 1 секретную информацию, обеспечивающую доступ в помещения здания 2.

Сравнительная таблица

MIFARE 1KMIFARE Ultralight CMIFARE Plus SE 1KMIFARE Plus XMIFARE Plus EV1MIFARE DESFire EV1
Уровень защиты нулевой
чтение UID и чтение закрытого сектора
высокий
чтение закрытого сектора
высокий
чтение закрытого сектора на SL3
высокий
чтение закрытого сектора на SL3
высокий
чтение закрытого сектора на SL3
самый высокий
чтение закрытого приложения
Криптография CRYPTO 1 3DES AES AES AES DES/2K3DES/3K3DES/AES
Имеющиеся считыватели
Считыватель турникетный MF-Reader или CV5600 MF-Reader / PROX-13 MF-Reader или CN560B MF-Reader или CN560B MF-Reader или CN560B PROX-13 версия 2 или CN560B
Считыватель контрольный KC-MF USB Deister-KCY-USB Deister-KCY-USB Deister-KCY-USB Deister-KCY-USB Deister-KCY-USB
Ориентировочные цены
Цена 1 карты /руб. (на количество 1000 карт) 18,0 25,0 42,0 50,0 60,0 70,10

Считыватели MF-Reader, PROX-13, CN560B имеют интерфейсы Wiegand-26, 34, 40, 42, 58.

По интерфейсу Wiegand-26 эти считыватели стыкуются с любым контроллером СКУД и, соответственно, могут использоваться в составе любой системы контроля доступа.

По другим интерфейсам Wiegand эти считыватели стыкуются с теми контроллерами, которые поддерживают расширенные интерфейсы (например, ЭРА, РЕВЕРС, Стелла).

6. Электронная пред-эмиссия

Компания NCS оказывает услуги по переводу чипов MIFARE Plus на уровень SL3.

Но наша позиция — это должен делать сам заказчик.

 

Для перевода на SL3 необходимо знать  значения ключей AES. Заказчик должен держать эту информацию в секрете. Более подробно на эту тему:

 

7. Для инициализации чипа MIFARE Plus силами заказчика компания NCS предлагает два варианта:

   

Цена базовая 300 000 руб., в зависимости от комплектации и функций.

Для больших объемов карт лучше использовать автомат.

Автомат по эмиссии карт доступа
© О.Быков
к.т.н., компания NCS

ВНИМАНИЕ!

Полное или частичное копирование материалов сайта разрешено только при обязательном указании автора и прямой гиперссылки вида < href="http://www.neftocard.ru/адрес_страницы_со_статьей">текст cсылки на источник</a>.

Не допускается использование технологий маскировки ссылок, например, атрибут rel="nofollow" в ссылке, редирект и т.п.

[вернуться в раздел СТАТЬИ]


На главную страницу Пишите нам!