Как нас найти:

[вернуться в раздел СТАТЬИ]

Слабое звено в банковских системах контроля доступа

О.Быков
к.т.н., компания NCS

«АЛГОРИТМ БЕЗОПАСНОСТИ», №3, 2015
www.algoritm.org

Как известно, надежность любой системы, в том числе и системы контроля доступа (СКУД), определяется надежностью ее самого слабого элемента. Любая СКУД состоит из разных элементов, главными из которых являются:

Если от СКУД требуется не просто предоставление удобного способа открывания дверей, а реальное разграничение доступа в те или иные помещения, — то все перечисленные компоненты СКУД должны обладать равным уровнем надежности, и в равной степени обеспечивать защищенность и безопасность объекта.

Если надежность какого-либо элемента системы значительно ниже надежности остальных, то и уровень надежности всей системы будет определяться уровнем надежности этого самого слабого элемента. И часть этим слабым звеном оказываются карты доступа.

Карты доступа используются в СКУД банков для получения доступа в разнообразные помещения. Есть помещения общего пользования, доступ в которые предоставляется без особых ограничений. А есть помещения, в основном служебные, доступ в которые должен быть строго ограничен, посещать которые может очень ограниченный круг лиц. В таких случаях требования к карте доступа, равно как и к считывателю, существенно повышаются.

Руководство банка должно быть уверено, что такая карта доступа гарантированно защищена от копирования или подделки. А считыватель карт способен использовать все преимущества защищенной карты доступа. Это один из немногих моментов, в решении которых руководству банка следует принять свое участие. Понимание того, что карты доступа надежны, и их копирование технически невозможно (благодаря встроенной защите), а считыватели поддерживают криптографические алгоритмы, — важный момент на этапе внедрения банковской системы контроля доступа.

На что же конкретно следует обратить внимание при заказе карт доступа? Рассмотрим более подробно.

Проксимити карты доступа на частоте 125КГц

Проксмимити карты — это самые простые идентификаторы. К ним относятся карты Em Marin, работающие на частоте 125КГц. Эти карты именно «идентификаторы», они содержат серийный номер чипа (UID), который считывается и передается в систему. В каждой карте записан свой уникальный номер, который изменить нельзя.

Такие идентификаторы не обладают никакой защитой от копирования. Изготовить копии (как и несанкционированные) таких карт не составляет никакого труда (подобные услуги предоставляют мастерские по ремонту обуви).

RFID карты MIFARE Classic

Карты MIFARE Classic работают на частоте 13,56МГц. К ним относятся MIFARE 1K и MIFARE 4K. Эти карты, в отличие от проксимити карт, не являются простыми идентификаторами. Карты MIFARE Classic обладают памятью, в которую можно записывать (многократно перезаписывать) информацию. Это первое и существенноое отличие от проксимити карт.

Второе и главное отличие — это возможность закрытия доступа к памяти карты с помощью криптографических ключей. Потенциально карты MIFARE Classic как карты доступа могут обладать достаточно высокой степенью защиты от копирования. Но реальная практика заключается в том, что во многих СКУД MIFARE Ckassic используются (к сожалению) как простые идентификаторы. Т.е. для предоставления доступа с карты считывается серийный номер чипа (UID), а память карты никак не задействуется. В этом случае защищенность карт MIFARE Classic будет на уровне защищенности проксимити карт. Серийный номер чипа MIFARE Classic легко может быть скопирован и записан в пустую заготовку-болванку карты.

Для того чтобы карты MIFARE Classic использовались в защищенном режиме, необходимо реализовать два момента:

Необходимо убедится, что используемые считыватели для СКУД, (часто называемые «секторные считыватели») могут настраиваться на чтение данных из памяти MIFARE-карты. В память секторного считывателя скачивается «прошивка», задающая алгоритм работы считывателя, а именно — из какого блока памяти карты считывать данные и по какому значению крипто ключа. Секторный считыватель имеет интерфейс Wiegand-26, что обеспечивает совместимость с традиционными контролерами СКУД.

Защищенность карт MIFARE Classic, даже при работе с памятью карты и использованию криптографии, — не является достаточно высокой. Связано это с тем, что в картах MIFARE Classic используется крипто алгоритм CRYPTO-1, защищенность которого признана невысокой. Этот алгоритм вскрыт, о чем были публикации в открытых источниках. Компания NXP — разработчик проектов MIFARE не рекомендует использовать MIFARE Classic в системах, требующих повышенной защищенности.

RFID карты MIFARE Plus, MIFARE DESFire

Продукты компании NXP — MIFARE Plus и MIFARE DESFire EV1 отличаются от продуктов MIFARE Classic в основном другой, более сложной и надежной криптографией. Продукт MIFARE Plus был разработан компанией NXP как ответ на «взлом» алгоритма CRYPTO-1. В картах MIFARE Plus встроена критпо защита AES, что делает эти карты надежно защищенными от копирования.

В картах MIFARE DESFir EV1 используются крипто алгоритмы AES, 3DES, — гарантия от копирования и появления клонов. Используя карты MIFARE Plus и MIFARE DESFire как карты доступа, следует работать с памятью этих карт и встроенной крипто-защитой.

Реальная практика (к сожалению) говорит о том, что карты MIFARE Plus, DESFire также часто используются в СКУД как простые идентификаторы. В таких случаях заказчик переплачивает за дорогие карты доступа, не получая никакой дополнительной дополнительной защиты карт от копирования.

Эти карты (как и любые RFID карты) имеют заводской серийный номер. Этот номер (UID) всегда открыт для чтения, причем считывание серийного номера может быть осуществлено любым (даже самым примитивным) считывателем, так как при считывании UID криптография не задействуется.

UID, серийный номер чипа — это набор цифр, всегда открытый для чтения. Если в СКУД для предоставления доступа считывается только UID, то карты MIFARE Plus, DESFire можно считать не защищенными от копирования. Мошенник легко может изготовить копии карт с таким же UID, чтобы получить несанкционированный доступ. И всю карту копировать не надо. Достаточно прочитать номер карты, и записать его в пустую болванку-заготовку. Считыватель, который обращается к UID карты, никак не может определить, какая именно карта предъявлялась: сложная карта MIFARE Plus/DESFire, простая карта MIFARE Ultralight или незаконная копия этих карт.

Для того чтобы карты MIFARE Plus, MIFARE DESFire использовались в защищенном режиме, необходимо реализовать те же два момента, что и для карты MIFARE Classic.

Карты доступа MIFARE Plus, DESFire при правильном использовании будут таким же надежным звеном в системе СКУД, как и другие компоненты. Несанкционированный доступ в помещения по копиям этих карт будет невозможен.

Заключение

Резюмируя, можно предложить следующие рекомендации для выбора технической реализации карт доступа для банковской СКУД:

Для того, чтобы все преимущества карт MIFARE Plus/DESFIre действительно работали, следует использовать считыватели, обращающиеся к памяти карт по крипто-ключам. Считывание с карт MIFARE Plus/DESFire только серийного номера чипа (UID) ничего не даст для повышения безопасности СКУД, и высокие затраты на сложные карты доступа будут напрасными.

И еще одна немаловажная деталь. MIFARE — это торговая марка фирмы NXP Semiconductors. Никто, кроме NXP, не может использовать (на законных основаниях) наименование MIFARE.

В Китае производятся «совместимые» чипы, но заводы-изготовители их и не называют MIFARE, а дают свои наименования (ISSI, F08, TKs, HuaHong). Использование этих чипов не может считаться легитимным, так как затрагивает права компании NXP.

MIFARE
MIFARE Classic 1K/4K MIFARE Plus MIFARE DESFire EV1
Длина серийного номера чипа 4 байта/7 байт 7 байт 7 байт
Рабочая частота 13,56МГц
Наличие памяти 1 – 4 KВ 2 - 4 KВ 2 - 8 KВ
Наличие криптографической защиты Есть, Crypto1 Есть, AES Есть, 3DES
Режим работы Чтение-запись
Дальность чтения До 6 см
Возможность программирования Есть
Защита от копирования средняя очень высокая
Типичное применение Простые системы доступа Сложные системы доступа, системы доступа для режимных объектов
Оригинальность чипа В Китае производятся так называемые «совместимые» чипы. Использование этих чипов не может считаться легитимным, так как затрагивает права компании NXP Чип оригинальный, совместимый не производится

Какими бы ни были продвинутыми карты доступа, но если устройство чтения карт не обладает симметричными характеристиками, то никакой дополнительной защиты извлечено не будет.

Для прохождения в те помещения банка, доступ в которые должен быть строго ограничен, следует устанавливать адекватные считыватели, поддерживающие криптографию на уровне используемой карты доступа. Т.е. следует рассматривать пару: «карта-считыватель». Любая асимметрия в характеристиках не даст желаемого результата.

Сравнительная таблица считывателей СКУД

Незащищенный режим
125KHz — EmMarin, HID
13,56MHz — MIFARE Classic, MIFARE Plus/DESFire
Защищенный режим среднего уровня
MIFARE Classic
Защищенный режим высокого уровня
MIFARE Plus/DESFire
Считыватель EmReader (125KHz).
Интерфейс Wiegand
Считывание UID карты Нет Нет
Считыватель MF reader, не поддерживающий криптографию.
Интерфейс Wiegand
Считывание UID карты Нет Нет
Считыватель MF Sec Reader.
Интерфейс Wiegand, RS-232
Нет Да, крипто алгоритм CRYPTO1 Нет
Считыватель CN560X.
Интерфейс Wiegand, RS-232, RS-485
Нет Да, крипто алгоритм CRYPTO1 Да, крипто алгоритм AES, 3DES


Скачать СЛАБОЕ ЗВЕНО В БАНКОВСКИХ СИСТЕМАХ КОНТРОЛЯ ДОСТУПА



[вернуться в раздел СТАТЬИ]


На главную страницу Пишите нам!