Как нас найти:

[вернуться в раздел СТАТЬИ]

ПЕРЕВОД СКУД С КАРТ EM-Marin НА КАРТЫ MIFARE®
ПОЛЕЗНЫЕ СВЕДЕНИЯ ДЛЯ ВЛАДЕЛЬЦА ОБЪЕКТА СКД

Подавляющее большинство современных СКД использует в качестве средств доступа идентификаторы, работающие на частоте 125кГц. Это проксимити карты доступа (только чтение), самыми распространенными из которых являются карты Em Marin, а также HID, Indala. Карты этого стандарта являются удобным средством открывания дверей и турникетов. Но, не более. Эти карты не обладают никакой защищенностью, легко копируются и подделываются и, соответственно, ничего не дают для защиты объекта от несанкционированного проникновения.
А именно это зачастую и требуется от современных систем контроля доступа – предотвращение несанкционированного доступа на территорию объекта или в помещение.

Настоящую защиту от копирования и поделки обеспечивают такие идентификаторы, в чипах которых реализована криптографическая защита. Это бесконтактные смарт карты, работающие на частоте 13,56мГц, наиболее распространенными из которых являются карты Mifare®, HID iClass. В картах этих стандартов крипто защита организована на высоком уровне и подделка таких карт практически невозможна.

В данной статье рассматривается простой и легкий путь замены карт доступа EmMarin на действующем объекте СКД на карты стандарта Mifare.

Планируя в действующей СКД замену карт Em Marin на карты Mifare, (или выбирая стандарт Mifare в качестве карт доступа для новой СКД), следует уделять особое внимание процессу выпуска карт доступа. В отличие от обычного Em Marin, бесконтактные смарт карты имеют память для записи-чтения и механизм криптографической защиты от несанкционированного чтения или записи данных в чип карты. И для того, чтобы в полной мере использовать имеющиеся возможности, заказчик СКД должен организовать у себя на объекте определенную процедуру выпуска карт доступа.
Основные отличия карт Mifare® и Em Marin приведены ниже:

Mifare 1K Mifare Plus Em Marin
Частота 13,56 МГц 13,56 МГц 125 КГц
Серийный номер, всегда открытый для считывания да, длиной 4 байта да, длиной 7 байт да, длиной 3 байта
Режим работы чтение-запись чтение-запись только чтение
Структура памяти 16 секторов до 64 секторов отсутствует
Защита операций чтения и записи ключ к чтению каждого сектора ключ к записи в каждый сектор ключ к чтению каждого сектора ключ к записи в каждый сектор отсутствует
Криптографический алгоритм CRYPTO-1 3 DES отсутствует

Одно их главных отличий Mifare от EmMarin – это наличие памяти для многократного чтения-записи. Причем, операции как чтения, так и записи в каждый сектор могут быть защищены крипто ключами.

I. Типичные ошибки при использовании карт доступа Mifare

Ошибка 1. Считывание серийного номера карты.
Если считыватель, установленный у турникета, шлагбаума, или двери в помещение будет считывать серийный номер чипа карты Mifare, то никакого преимущества по сравнению с картами EmMarin достигнуто не будет. Затраты на более дорогие карты доступа будут напрасными. Серийный номер чипа Mifare (UID) можно скопировать, хоть и несколько сложнее, чем UID карты Em Marin. При считывании серийного номера Mifare никак не задействуются криптографические функции, а это означает работу на уровне Em Marin, без защиты карты от копирования.

Чтобы правильно использовать функциональные возможности карт Mifare надо считывать не серийный номер чипа, а данные из некоторого блока памяти карты (secure sector), доступ к которому защищен крипто-ключами.

Ошибка 2. Подключения считывателя по Wiegand-26.
Ситуация, когда с карты Mifare считывается серийный номер, а сам считыватель подключается к контроллеру через интерфейс Wiegand-26, можно назвать типичной. Но, это неправильно.
Обусловлено это тем, что в подавляющем большинстве современных СКД считыватели карт подключаются по интерфейсу Wiegand, и чаще всего по его конкретной реализации - Wiegand-26. И монтажник думает, что подключив вместо считки EmMarin считку Mifare, он переведет действующую СКД на более высокий уровень защищенности.
Не переведет.

Ошибка в подключении считок Mifare по интерфейсу Wiegand-26 (для чтения серийного номера) заключается в том, что номер UID Mifare будет передаваться не полностью. Длина серийного номера Mifare 1K - 4 байта. А по Wiegand-26 передается только 3 байта. Эта ошибка приводит к появлению в системе дубликатов номеров карт.

Для того, чтобы полностью считывать UID Mifare надо подключать считыватели по интерфейсу Wiegand-42 (который позволяет передать в контроллер все 4 байта серийного номера Mifare).

II. Как заменить карты Em Marin на карты Mifare

Для того, чтобы в действующей СКД заменить карты EmMarin на карты Mifare необходимо выполнить простые действия:

  1. Идентификатор карты EmMarin записать в память карты Mifare; (рисунок 1)
  2. Настроить считыватели Mifare на чтение того блока памяти, в который записан идентификатор EmMarin;
  3. Заменить считыватели Em Marin на считыватели Mifare. (рисунок 2)

Рис. 1

Рис. 2


Все остальное сохраняется, программное обеспечение, база данных, отчеты и т.п. Проходы по новым картам Mifare будут обрабатываться точно также, как и по старым картам EmMarin.
Но, выполнение этих трех, перечисленных выше этапов, характеризуется определенными тонкостями. Рассмотрим эти этапы подробнее.

1. Эмиссия карт

Эмиссия - это такой этап, обратить внимание на который долен сам владелец объекта, на котором установлена СКД. Каким образом владелец объекта может быть уверен в том, что карты открывающие доступ в важные помещения, не будут подделываться? Только тогда, когда защиту от подделки он продумает и реализует самостоятельно (или через свое доверенное лицо). Нельзя передавать эти функции разработчику или установщику СКД.

Если сразу после закупки карты доступа Mifare будут выдаваться работникам, - то это ошибка. Для того, чтобы использовать все преимущества карт Mifare® их нужно подвергнуть двум процедурам, которые отсутствуют при использовании карт Em Marin, а именно пред-эмиссии и эмиссии.

1.1. Предэмиссия - Запись ключей (прошивка карт Mifare).

Первое, что владелец объекта должен сделать, - это выбрать один сектор или несколько секторов памяти Mifare, в которых будут храниться данные. Второе - придумать значения ключа А для доступа к выбранным секторам памяти Mifare. В дальнейшем значение ключа А должно надежно храниться в сейфе.
Во все закупленные карты Mifare записывается ключ А.

В результате проведенной предэмиссии карты Mifare оказались переведенными из открытого заводского состояния в закрытое и защищенное состояние для данного объекта СКД.

1.2. Запись идентификаторов EmMarin в память карты Mifare.

Действующая карта доступа Em Marin изымается у работника.
Идентификатор (серийный номер чипа) карты Em Marin записывается в сектор карты Mifare (в тот сектор: который выбран на этапе пред-эмиссии).
Карта доступа Mifare выдается работнику.
Эти действия производятся со всеми картами EmMarin, находящихся на руках у работников, до тех пор, пока не будут заменены все имеющиеся карты Em Marine (рисунок 4).


Рис. 4

2. Настройка считывателей

Для того, чтобы считыватели могли работать с картами Mifare, прошитыми на предыдущем этапе, в них должны быть загружены соответствующие ключи. Не все считыватели подходят для работы в таком защищенном режиме, на что, также следует обратить внимание владельцу объекта. Для использования в защищенном режиме подходят только такие считыватели Mifare, которые могут хранить в своей энерго-независимой памяти ключи для доступа ко всем 16 секторам Mifare. Многие дешевые считыватели не обладают такой характеристикой и, соответственно, бесполезны для защищенной СКД.
Запись ключей в считыватели Mifare переводятся с помощью специальной мастер-карты или карты-конфигуратора.

2.1. Карта конфигурации подносится к каждому считывателю.

В результате все считыватели переводятся из открытого заводского состояния в защищенное состояние, в котором они смогут работать с «прошитыми» картами данного объекта доступа.

3. Замена считывателей

3.1. Считыватели Em Marin, установленные у турникетов, дверей и т.п., демонтируются.

Вместо них устанавливаются уже «прошитые» считыватели Mifare и подключаются к контроллерам по интерфейсу Wiegand-26.

4. Функционирование СКД по картам Mifare

Все карты Em Marin заменены на «прошитые» карты Mifare. Вместо старых считок Em Marin к контроллерам (по Wiegand-26) подключены считки Mifare. Эти считки читают данные из защищенного блока памяти Mifare (secure sector) и в контроллер передается такой же идентификационный номер, который был у старой карты Em Marin.

Никаких других изменений, кроме отмеченных выше, не требуется. Проход по новой карте Mifare фиксируется точно также, как и по старой карте EmMarin. С карты Mifare считывается такой же идентификационный номер, который был на карте EmMarin. По этому номеру работник однозначно идентифицируется в базе данных.

5. Выдача новых карт доступа Mifare

После того как были заменены все старые действующие карты доступа Em Marin, новым работникам должны выдаваться новые карты Mifare.
В карты, прошедшие пред-эмиссию на первом этапе, а именно в выбранный закрытый сектор производится запись новых идентификационных номеров. Диапазон этих идентификаторов выбирается системным администратором с учетом уже имеющихся номеров, чтобы избежать появления одинаковых номеров в системе.
После этого карты доступа Mifare можно выдавать работникам.

Выдача новых карт доступа Mifare производится точно так же, как и выдавались карты Em Marin (в бюро пропусков или в другом аналогичном месте).
Вместо контрольного считывателя EmMarin к компьютеру подключается контрольный считыватель Mifare (по интерфейсу USB), который считывает данные из защищенного блока памяти MIfare. Все остальное происходит точно так же, как и при выдаче карт Em Marin.
Идентификатор, записанный в защищенный блок памяти Mifare, считывается с карты и сохраняется в базе данных вместе с персональными данными работника.


III. Как правильно выбирать карты Mifare

В отличие от карт EmMarin, - карты Mifare представляют собой более сложный продукт, и к закупке таких карт надо подходить более ответственно.
На что же следует обращать внимание при заказе карт данного стандарта? На качество, которое складывается из следующих составляющих.

Рассмотрим подробнее.

1. Чип карты

Чипы Mifare 1K бывают оригинальные и нет. От этого зависят такие параметры, как надежность и корректность работы с памятью чипа.
Карты Mifare 1K были изначально разработаны фирмой Philips и предназначались для локальной оплаты на транспорте. В настоящее время все проекты Mifare® ведет дочерняя фирма Philips – компания NXP Semiconductors.

Чип от NXP называется MF1 IC S50 и является самым правильным “оригинальным” чипом.
Кроме NXP, оригинальные чипы выпускает фирма Infineon, на основании лицензии от NXP. Чип от Infineon называется SLE66R35. По надежности и другим параметрам данный чип ничем не отличается от чипа NXP.

Слово MIFARE — торговая марка семейства бесконтактных смарт-карт, принадлежащая NXP Semiconductors.
Все продукты MIFARE базируются на международном стандарте ISO 14443 Type A - стандарте бесконтактных смарт-карт. Чипы, совместимые с Mifare 1K, также разработаны на основе данного стандарта ISO.

На рынке существуют чипы, кроме MF1 IC S50 и SLE66R35, которые называют как «совместимые» или «не оригинальные» чипы Mifare 1K. Но, так как эти чипы выпускаются без лицензии NXP, носить название Mifare на законных основаниях они не могут. Фирмы -разработчики таких чипов этого и не делают, они дают своим чипам другие названия. А словосочетание «совместимый Mifare» или «неоригинальный Mifare» придумали менеджеры по продажам

Из таких совместимых чипов наиболее известным являются:

Заводы-изготовители таких чипов в своей технической документации, естественно, не упоминают MIfare, а ссылаются на стандарт ISO 14443 Type A.

Следует иметь в виду, что стоимость совместимых чипов значительно ниже, чем стоимость оригинальных. Есть еще такое понятие, как корректная или полная реализация стандарта ISO 14443 Type A. Не все совместимые чипы обладают такой реализацией. Это означает, что при выполнении сложных функций по операциям с памятью «Mifare-совместимого» чипа, такие чипы могут работать неправильно. Что и происходит на практике. Заказчик, польстившись на низкую стоимость, с удивлением обнаруживает, что карты через некоторое время перестают работать.

2. Антенна

Бесконтактные смарт-карты стандарта ISO 14443 Type A работают на частоте 13,56 МГц. Т.е. и считыватель и карта должны обеспечить работу на частоте 13,56 МГц. Для этого внутри карты имеется антенна. Чаще всего антенна делается из нескольких витков медной проволоки. Медная проволока может наматываться китайским рабочим вручную, а может наматываться на автоматическом станке. При намотке на станке антенна получается идеально ровной, чего нельзя сказать о ручной намотке. От этого может зависеть реальная частота, на которой данная антенна будет работать, и, соответственно, дальность считывания и правильность передачи данных между картой и считывателем.

3. Соединение чипа и антенны

Чип и антенна должны быть надежно соединены. Иначе не будет передачи данных между картой и считывателем. От качества этого соединения зависит надежность и долговечность работы карты. Если площадь контакта антенной проволоки и чипа достаточно большая и качество пайки (сварки) высокое, - карта будет долго и безупречно работать. Высокотехнологичные производства это обеспечивают.
Но если все делается вручную, обычным паяльником, со слабым технологическим контролем, то соединение чипа с антенной может оказаться слабым и может разрушится при использовании карты (от небольших вибраций и других внешних воздействий).

Вот три наиболее важных момента, которые следует иметь в виду при заказе бесконтактных смарт-карт Mifare.

IV. Отличие Mifare® от Em Marin, HID

Em Marin MIFARE
TK4100/EM4100 Mifare Classic 1K Mifare Ultralight C Mifare Plus Mifare DESFire EV1
Длина серийного номера чипа 3 байта 4 байта/7 байт 7 байт 4 или 7 байт 7 байт
Рабочая частота 125КГц 13,56МГц 13,56МГц 13,56МГц 13,56МГц
Наличие памяти нет 1–4 KВ 192 byte 2-4 KВ 2-8 KВ
Наличие криптографической защиты Нет Есть, Crypto1 Есть, 3DES Есть, AES Есть, 3DES
Режим работы Только чтение Чтение-запись
Дальность чтения 10 см До 6 см
Возможность программирования Нет Есть
Защита от копирования Нет защиты Средняя Очень высокая Очень высокая Очень высокая
Типичное применение Простейшие системы доступа Сложные системы доступа, системы доступа для режимных объектов, системы локальной оплаты
Интерфейс подключения считывателя к контроллеру Wiegand-26, RS-232, USB Wiegand-34 для 4-х байтных UID, Wiegand-58 для 7-байтных UID, RS-232, USB
Нельзя считку подключать по Wiegand-26, если предусмотрено только считывается номер чипа (UID), так как по W26 передается только 3 байта
Что делать, если интерфейс Wiegand-26 уже есть и другие интерфейсы отсутствуют Вместо считывания серийного номера чипа, надо считывать данные из защищенного блока памяти карты Mifare. Длина данных, записанных в блок памяти, должна быть не более 3 байт, чтобы полностью передать по W26.
Купить карты и сразу использовать только так, по-другому нельзя Не рекомендуется использовать карты Mifare сразу после покупки.
Пользователю следует поменять открытые заводские ключи на свои секретные ключи. Это защитит карту от копирования и подделки. После этого карты Mifare (брелоки, браслеты, метки) можно использовать.
Как выбрать считыватель Подойдет любой считыватель Правильно использовать такие считыватели, которые хранят в своей энерго-независимой памяти ключи доступа к секторам памяти Mifare. Если ключи доступа хранятся не в считывателе, а в компьютере, - то они легко могут быть скопированы.
Если не использовать ключи при работе с продуктами Mifare, то нет смысла и в самих картах Mifare. В этом случае дешевле и проще применять Em Marin.
Все преимущества продуктов Mifare будут реализованы только тогда, когда пользователь будет закрывать доступ к чтению-записи данных из чипа Mifare по своим секретным ключам.
Типичное применение Простейшие системы доступа Сложные системы доступа, системы локальной оплаты
Эмиссия карт Этот этап отсутствует Владелец системы (доступа, оплаты, и т.п.) должен предусмотреть два этапа выпуска карт:
  • пред-эмиссия;
  • эмиссия.
Пред-эмиссия нужна для того, чтобы перевести карты Mifare с открытого заводского уровня на защищенный уровень, принятый в данной системе.
С завода-изготовителя карты Mifare поступают открытыми и незащищенными.
На этапе предэмиссии владелец системы должен сам (или его доверенное лицо) решить, сколько и какие сектора памяти Mifare будут использоваться, и сгенерировать, по крайней мере, один ключ для доступа к этим секторам. Во все карты Mifare (брелоки, браслеты, метки) должны быть прописаны эти ключи. В результате, - карты Mifare станут защищенными от копирования и подделки.

Эмиссия, - это выдача карт персоналу и/или клиентам (или продажа карт – подарочных карт, абонементов и т.п.). Производится или в бюро пропусков, или на кассе продажи, или на ресепшн, куда проступают карты Mifare., прошедшие пред-эмиссию.
Подготовка считывателей Не требуется Считыватели, устанавливаемые в местах выдачи карт и приема карт, должны быть подготовлены заранее. В эти считыватели записываются секретные ключи, дающие доступ к выбранным секторам памяти Mifare. В результате такой «прошивки» считыватели будут воспринимать только «свои» карты (и на чужие карты никак не будут реагировать). Это обеспечивает высокую защищенность системы от взломов.

Примечание: Об оригинальности чипов EmMarin и Mifare

То, что в народе называется Em Marin, представляет собой самую популярную карту доступа EM4102 от Швейцарской фирмы EM Microelectronic-Marin SA. Но, оригинальные чипы EM4102 практически отсутствуют на рынке. Подавляющее большинство карт доступа (браслетов, брелоков) поставляется с китайским аналогом TK4100 (и, строго говоря, называться EmMarin не может).

Mifare – это торговая марка фирмы NXP Semiconductors. Никто, кроме NXP, не может использовать для своих чипов (на законных основаниях) наименование Mifare.
В Китае производятся «совместимые» чипы. Но заводы-изготовители их и не называют Mifare, а дают свои наименования (например, ISSI, F08, TKs, HuaHong).

К сожалению, на отечественно рынке многие поставщики не делают такой дифференциации, и поставляют «совместимые» чипы, как настоящие Mifare.
Конкретно, производятся чипы, совместимые с продуктами Mifare Classic1K и 4K (только с 4-х байтным номером, с 7-байтным UID совместимых чипов нет).


V. Как добавить в СКД доступ по отпечаткам пальцев

Дополнительно повысить защищенность и безопасность СКД можно, добавив предоставление доступа по карте + по отпечаток пальца. Если такое повышение статуса СКД необходимо для системы, где уже есть карты Em Marin, то, вместе с заменой карт Em Marin на карты Mifare можно легко и просто добавить верификацию по отпечатку пальца. Выполняется это с помощью комбинированного считывателя.

Mifare и отпечатка пальца, который подключается к контроллеру по интерфейсу Wiegand-26. Считыватель работает следующим образом. Вначале считывается карта Mifare, в памяти которой хранится отпечаток пальца владельца карты. Затем сканируется палец. Считыватель сравнивает оба отпечатка и при совпадении посылает в контроллер идентификационный номер, записанный в защищенном секторе Mifare.


VI. Заключительные замечания

В заключение перечислим основные моменты, на которые следует обращать внимание владельцу объекта СКД.

Что делать, если интерфейс Wiegand-26 уже есть и другие интерфейсы отсутствуют Вместо считывания серийного номера чипа, надо считывать данные из защищенного блока памяти карты Mifare. Длина данных, записанных в блок памяти, должна быть не более 3 байт, чтобы полностью передать по Wiegand-26.
Можно ли купить карты Mifare и сразу выдавать работникам Не рекомендуется использовать карты Mifare сразу после покупки. Пользователю следует поменять открытые заводские ключи на свои собственные, секретные ключи. Это защитит карту от копирования и подделки. После этого карты Mifare (брелоки, браслеты, метки) можно использовать.
Как выбрать считыватель Правильно использовать такие считыватели, которые хранят в своей энерго-независимой памяти ключи доступа к секторам памяти Mifare. Если ключи доступа хранятся не в считывателе, а в компьютере, - то они легко могут быть скопированы. Если не использовать ключи при работе с продуктами Mifare, то нет смысла и в самих картах Mifare.

В этом случае дешевле и проще применять Em Marin. Все преимущества продуктов Mifare будут реализованы только тогда, когда пользователь будет закрывать доступ к чтению-записи данных из чипа Mifare по своим секретным ключам. И будет делать это самостоятельно, а не получать от поставщика карту с уже записанными (и неизвестными пользователю) ключами.
Эмиссия карт Владелец системы (доступа, оплаты, и т.п.) должен предусмотреть два этапа выпуска карт:
  • пред-эмиссия;
  • эмиссия.
Пред-эмиссия нужна для того, чтобы перевести карты Mifare с открытого заводского уровня на защищенный уровень, принятый в данной системе.
С завода-изготовителя карты Mifare поступают открытыми и незащищенными.
На этапе предэмиссии владелец системы должен сам (или его доверенное лицо) решить, сколько и какие сектора памяти Mifare будут использоваться, и сгенерировать, по крайней мере, один ключ для доступа к этим секторам. Во все карты Mifare (брелоки, браслеты, метки) должны быть прописаны эти ключи. В результате, - карты Mifare станут защищенными от копирования и подделки.

Эмиссия, - это выдача карт персоналу и/или клиентам (или продажа карт – подарочных карт, абонементов и т.п.). Производится или в бюро пропусков, или на кассе продажи, или на ресепшн, куда проступают карты Mifare., прошедшие пред-эмиссию.
Очень важно для владельца объекта СКД знать, что закупаемые им карты Mifare находятся на открытом заводском уровне и никакая информация в память карты не записана. Иногда поставщики карт Mifare самостоятельно (и без ведома заказчика) прописывают свои ключи в карты Mifare, защищая их якобы от подделки. Это неправильно. Поставщик привязывает таким образом владельца СКД к своим картам. А, зная значение ключей, он имеет все возможности для взлома и подделки карт.

Генерировать ключи и записывать их в карты должен сам владелец объекта, на котором установлена СКД, или его доверенное лицо.


Статья опубликована в журнале Алгоритм Безопасности №1 2014 г. [смотреть].

[вернуться в раздел СТАТЬИ]


На главную страницу Пишите нам!