Захищені технології Mifare в системі контролю доступу U-prox

Новини Захищені технології Mifare в системі контролю доступу U-prox

Під кінець другого десятиліття 21 століття розповсюдження електронних ґаджетів набрало настільки масовий характер, що практично у всіх доступних сферах життя можна зустріти їх використання.

Однією зі сфер застосувань ґаджетів є контроль та управління доступом. Системи контролю та управління доступом (СКУД) можна задіяти скрізь – просто закрити двері від сторонніх осіб, чи обмежити переміщення персоналу та встановити часові рамки; від маленького офісу до великих організацій та держструктур; як локальні так і розподілені по великій території. Зараз обладнання СКУД стало масово використовуватися не тільки на виробничих підприємствах, в офісах чи адмінбудівлях, але і в житлових комплексах, як для розмежування доступу, так і для того щоб убезпечити від доступу сторонніх осіб до житла.

Ідентифікатори

Зазвичай, із чим ми маємо справу в системі контролю доступу, – це в першу чергу ідентифікатор та зчитувач цього ідентифікатора. Основною властивістю ідентифікатора має бути унікальність його номеру, і не тільки в одній системі контролю доступу, а, бажано, і в світі, щоб була виключена сама можливість повтору, і можливості, нехай і гіпотетичної, використання іншого ідентифікатора в системі з таким же номером. А окрім забезпечення унікальності – має бути ще й можливість вберегти цю унікальність від спроб копіювання номеру (UID) чи клонування картки.

Типи ідентифікаторів визначають якими мають бути зчитувачі ідентифікаторів, та їх апаратні можливості. Наявні на ринку ідентифікатори можна поділити на дві групи – звичайні та з можливістю захисту від копіювання. Широко розповсюджені ідентифікатори форматів ASK (125 кГц робоча частота, амплітудна модуляція сигналу), представник – картки Em-Marin, рідше формат FSK (125 кГц робоча частота, частотна модуляція сигналу), представник – картки HID, які є звичайними ідентифікаторами що мають нічим не захищений код (UID), що можна вільно скопіювати. Іншим типом ідентифікаторів є Mifare (13,56 МГц робоча частота), вже не нові на просторах нашого ринку, але набувають все більшої популярності саме завдяки тому, що мають можливість захисту коду ідентифікатора (UID).

Картки, Ключі, Брелоки

Картки, Ключі, Брелоки

Детальніше

Безконтактні картки Mifare мають зовнішній ідентифікатор, який завжди доступний зчитувачам та внутрішню пам’ять що підтримує перезапис, і яка використовується для додаткового захисту. Картки Mifare мають декілька різновидів що відрізняються ступенем захисту, які називають “рівнем безпеки” (Security Level, частіше відображають як SL, має 4 рівня – SL0-SL3) та роботою в протоколах Crypto1, AES, 3DES, залежно від рівня SL та виробника мікрочіпа картки Mifare.

Використання Proximity-карток

Розглянемо використання на прикладі карток – Em-Marin (без захисту), MifareClassic (що використовує SL1) та Mifare Plus (що використовує SL3). Для тесту використаємо наявні зчитувачі U-Prox SL mini, U-Prox SE mini, що можуть читати картки Em-Marin, Mifare і працювати зі смартфоном як “електронною карткою”, та пристрій U-Prox Dеsktop – для програмування рівня безпеки Mifare й випуску захищених карток. Для роботи із пристроями достатньо наявності смартфона, мобільного додатку “U-ProxConfig” для роботи з обладнанням та живлення 12В.

Використання в СКУД карток Em-Marin – просте, швидке, але ніякого захисту від копіювання (клонування), яке зараз можна виконати мало чи не в кожному пункті виготовлення ключів.

Аналогічно Em-Marin, читання зовнішнього ідентифікатора, можна використовувати MifareClassic та Mifare Plus, в режимі SL0 – тобто без захисту. Ефекту від такого використання не буде, тільки витрачені гроші, бо картки Mifare є дорожчі.

Зчитувачі карт/брелоків

Зчитувачі карт/брелоків

Детальніше

Можливості карток Mifare

Ефективність використання карток Mifare починається тоді – коли використовується їхній функціонал, а саме робота із внутрішньою пам’яттю.

Якщо коротко про основні можливості такої роботи, то:

  • Mifare картки мають пам’ять розбиту на сектори (зазвичай 16 для Classic та 32 для Plus).
  • кожен сектор має 4 блоки, в кожному з яких по 16 байт для даних, останній із блоків містить паролі та права доступу на сектор, таким чином є 48 байт для користувацьких даних.
  • можна працювати як із окремим сектором, так й із сукупністю секторів, закривати доступ до сектора своїм ключем шифрування, а також записувати в сектор свій номер (UID) ідентифікатора, до якого, окрім даної системи, ніхто не матиме доступу.
  • для різних секторів можуть бути свої власні коди авторизації – для доступу до свого сектору різних систем, а можуть бути всі сектори закриті одним ключем авторизації – виключно для використання в одній системі, щоб сектори картки не використовувалися іншими.

Картки MifareClassic працюють в режимі SL1, алгоритм CRYPTO1, шифрування секторів виконується 6-байтним ключем. Рівень захисту карт середній, оскільки вже давно відомо вразливість формату CRYPTO1. Але для більшості завдань, що не вимагають суворої безпеки, цього захисту цілком достатньо. Також необхідно відмітити, що на ринку можна знайти програмно-апаратні засоби за доступні кошти, що користуються вразливістю CRYPTO1 та дозволяють клонувати картки MifareClassic захищені SL1, а також наголосити – що по технології MifareClassic випускаються картки китайськими компаніями.

Картки MifarePlus можуть працювати, як і MifareClassic, в режимі SL1, але доцільніше використовувати найвищий рівень захисту – SL3, що використовує алгоритм AES. Шифрування секторів виконується 16-байтним ключем. Використання SL3 є перевагою карток MifarePlus, унеможливлюючи копіювання чи клонування карток. Технологій які б таке дозволяли – сьогодні немає.

Яким же чином, на практиці, виконується шифрування Mifare карток, та як застосовуються їх переваги?

Відповідь досить проста – необхідно виконати випуск шифрованих Mifare карт, необхідно в зчитувачі занести дані про шифрацію, та вказати що має читати зчитувач із картки. Ці дії має виконувати кінцевий замовник, тому що чим більше організацій залучено до цього процесу, імовірність витоку даних пропорційно збільшується.

Випуск карт не є складним процесом. На вказаному раніше обладнанні, використовуючи USB пристрій U‑Prox Dеsktop та смартфон зі спеціалізованим мобільним додатком U-ProxConfig, необхідно підключитися до U-Prox Dеsktop, виконати налаштування для шифрації MifareClassic чи MifarePlus карт, вказавши SL1 для Classic, чи SL3 для Plus, та увівши власний код яким буде виконана шифрація, задати що має читатися зчитувачами – зовнішній код (UID) картки після перевірки наявності шифрованих секторів введеним кодом, чи свої дані що будуть записані в шифрований сектор. Після внесення та збереження даних, з цього ж додатку перехід в меню випуску карт – вибрати який тип карт випускати (MifareClassic чи MifarePlus), та покласти “чисту” картку на U-Prox Dеsktop, дочекатися сигналу про завершення випуску, при цьому в додатку буде відображений код цієї картки, зняти її, покласти наступну. Час запису однієї картки може зайняти до 10 секунд.

По завершенню випуску, маючи набір готових карт, необхідно занести в зчитувачі U-Prox SL mini, U-Prox SE mini дані про шифрацію та що читати з картки. Для цього, вже згадуваним вище додатком, підключитися через радіоінтерфейс 2,4 ГГц до зчитувача, занести дані, зберегти шаблон, і розмножити на інші зчитувачі.

Після цих дій ви отримаєте закриту систему, яка працюватиме тільки із вашими шифрованими Mifare картками. Нешифровані Mifare картки, чи із іншими кодами шифрації – будуть ігноровані зчитувачами і читатися не будуть. Якщо необхідно, то в зчитувачах U-Prox SL mini, U-Prox SE mini можна відключити читання інших типів карт, залишивши тільки Mifare та радіоінтерфейс 2,4 ГГц. До речі, із вказаними зчитувачами можна використовувати смартфони як електронну картку, через радіоінтерфейс 2,4 ГГц чи 13,56 МГц, за умови встановлення на смартфоні додатку “U-Prox ID” та “мобільного ідентифікатора”, рівень захищеності якого – SL3. Цю “картку” зазвичай дома не забувають.

Маючи на руках картку MifarePlus із рівнем захисту – SL3, отримати доступ до закритого шифром сектору, без знання цього шифру – неможливо. Копіювання (клонування) зовнішнього ідентифікатора (UID) для спроби використання його на цільовій системі – не дасть результату, така картка просто не буде читатися системою.

Порівняльна таблиця рівнів захисту ідентифікаторів

ТИП КАРТИ EM-MARIN MIFARECLASSIC MIFAREPLUS МОБІЛЬНИЙ ІДЕНТИФІКАТОР
Робоча частота 125 кГц 13,56 МГц 13,56 МГц 2,4 ГГц/13,56 МГц
Використання пам’яті ні так так так
Рівень безпеки (максимальний) SL0 SL1 SL3 SL3
Алгоритм шифрації Відсутній CRYPTO1 AES AES
Захищеність від копіювання Відсутня Середня Найвища Найвища
Дальність зчитування до 15 см до 5 см до 5 см до 15м/до 5см

Як створити шифровану картку. Зразки

Які виконувалися налаштування для випуску захищених карток, та параметри обладнання, розглянемо в цьому розділі.

В СКУД використовується максимально можливий захист для кожного типу карток: для MifareClassic – SL1, для MifarePlus – SL3.

З додатку U-ProxConfig підключитися до USB зчитувача U-Prox Desktop, бачитимемо основне вікно:

Перейти до “НАЛАШТУВАННЯ” і внизу вікна бачимо пункти профілі налаштувань “Mifare Classic”, “Mifare Plus” та “Початковий код випуску карток”.

Останній пункт для вказання початкового коду, від якого йтиме відлік при створенні шифрованої картки та який буде записаний в закритий сектор і доступний тільки для зчитувачів із закритої групи, із аналогічними параметрами читання шифрованих карт.

Максимальна довжина коду – 5 байт.

Відображення коду – шістнадцяткове (HEX).

Після встановлення, перехід до необхідного профілю Mifare. На зразку обрано профіль MifarePlus.

Поле “Безпека” – вмикаємо режим шифрування “SL1 16 байт”.

Поле “Ключ” – вносимо ключ шифрування, яким буде закрито сектори картки – складає 32 шістнадцяткових (HEX) символи, на зразку обрано для простоти вводу не складний варіант: “11111111111111111111111111111111”.

Ключ МАЄ становити саме 32 символи, не менше і не більше.

Поле “Використати сектори” – вказується перелік секторів що будуть використовуватися при шифрації.

Для MifareClassic необхідно вказувати ВСІ – 0-15.

Для MifarePlus – можна вказати 1 сектор, чи декілька. При шифрації картки буде використано перший доступний із вказаних. Наприклад якщо є биті, чи зайняті іншими системами сектори, щоб гарантовано відбувся випуск шифрованої картки.

На зразку вказано перелік із 5 секторів – 0-4.

Наступне поле “Читати”, вказівка що читати – UID картки – обрати “Код картки”, чи код записаний в сектор – обрати “За адресою”.

Обравши останній варіант, необхідно в наступному полі “Використати адресу” вказати послідовність байт в секторі, максимум 5 байт, куди буде записаний новий закритий код користувача.

На зразку вказано 5 байт, із – 16 до – 20. Оскільки шифрування йде з нульового сектора, а в ньому перші 16 байт (0-15) зайняті інформацією про картку і не можуть бути змінені, тому в зразку початок йде із гарантовано вільних байтів сектору.

 

 

Остаточний вигляд цього профілю буде – як на схемі зліва.

Після внесення даних для шифрації та випуску карт вийти в попереднє меню, й далі в основне.

В основному меню зберегти дані в USB зчитувач – “ЗБЕРЕГТИ В ПРИЛАД”.

 

Далі система запропонує зберегти шаблон з ключами шифрування, для можливого подальшого використання з цим, чи іншим USB зчитувачем U‑Prox Desktop.

Наступним кроком – вийти з налаштувань та виконати нове підключення до USB зчитувача.

 

В новому підключенні до USB зчитувача обрати пункт “ДАЛІ”, перейти до наступної сторінки, зайти в меню “ВИПУСК КАРТОК”, далі обрати необхідну дію, – який тип карт буде випускатися.

 

 

 

На зразку обрано меню “MIFARE PLUS” і відображено початок випуску карток.

Перед початком випуску карток – індикатор USB зчитувача горить фіолетовим і біжить таймер очікування картки.

Як тільки картку поклали – почався випуск, індикація стає світло-синьою.

 

По завершенню та вдалому випуску картки USB зчитувач дає короткий писк, індикатор світить зеленим і в додатку відображає код шифрованого індикатора.

Прибравши з поля випущену картку – таймер починає новий відлік очікування наявності картки для випуску.

Якщо таймер обнулився, або вийти з цього меню – випуск шифрованих карток припиняється.

 

По закінченню процедури випуску шифрованих карток – відключитися та виконати нове підключення до USB зчитувача.

 

Будучи в основному меню U‑Prox Desktop можна перевірити читання випущених карток та переглянути їх код, достатньо піднести картку до USB зчитувача.

 

Фінальним кроком буде перенесення конфігурації шифрування в зчитувачі карток на об’єкті. Зчитувачі U-Prox SL mini, U-Prox SE можуть мати до 5 різних конфігурацій шифрування для роботи одночасно. Зчитувачі із шифруванням читатимуть ТІЛЬКИ шифровані Mifare картки із сумісним кодом та налаштуваннями. Картки Mifare що НЕ шифровані, чи з іншою шифрацією будуть ігноровані зчитувачем – і навіть не читатимуться ним.

Автор статті: Victoria Baker

Добавить комментарий