06.07.2016

Слабое звено в банковских системах доступа

Как известно, надежность любой системы, в том числе и системы контроля доступа (СКУД), определяется надежностью ее самого слабого элемента. Любая СКУД состоит из разных элементов, главными из которых являются:

  • контроллеры;

  • считыватели;

  • карты доступа;

  • программное обеспечение.

Если от СКУД требуется не просто предоставление удобного способа открывания дверей, а реальное разграничение доступа в те или иные помещения, то все перечисленные компоненты СКУД должны обладать равным уровнем надежности и в равной степени обеспечивать защищенность и безопасность объекта.

Если надежность какого-либо элемента системы значительно ниже надежности остальных, то и уровень надежности всей системы будет определяться уровнем надежности этого самого слабого элемента. И часто этим слабым звеном оказываются карты доступа.

Карты доступа используются в СКУД банков для получения доступа в разнообразные помещения. Есть помещения общего пользования, доступ в которые предоставляется без особых ограничений. А есть помещения, в основном служебные, доступ в которые должен быть строго ограничен, посещать которые может очень ограниченный круг лиц. В таких случаях требования к карте доступа, равно как и к считывателю, существенно повышаются. Руководство банка должно быть уверено, что такая карта доступа гарантированно защищена от копирования или подделки. А считыватель карт способен использовать все преимущества защищенной карты доступа. Это один из немногих моментов, в решении которых руководству банка следует принять участие. Понимание того, что карты доступа надежны, и их копирование технически невозможно (благодаря встроенной защите), а считыватели поддерживают криптографические алгоритмы, — важный момент на этапе внедрения банковской системы контроля доступа.

На что же конкретно следует обратить внимание при заказе карт доступа? Рассмотрим более подробно.

Проксимити карты доступа на частоте 125 КГц

Проксимити карты — это самые простые идентификаторы. К ним относятся карты EmMarin, работающие на частоте 125 КГц.

Эти карты именно «идентификаторы», они содержат серийный номер чипа (UID), который считывается и передается в систему. В каждой карте записан свой уникальный номер, который изменить нельзя.

Такие идентификаторы не обладают никакой защитой от копирования. Изготовить копии (как и несанкционированные) таких карт не составляет никакого труда (подобные услуги предоставляют мастерские по ремонту обуви).

RFID карты MIFARE CLASSIC

Карты Mifare Classic работают на частоте 13,56 МГц. К ним относятся Mifare 1K и Mifare 4K.

Эти карты, в отличие от проксимити карт, не являются простыми идентификаторами. Карты Mifare Classic обладают памятью, в которую можно записывать (многократно перезаписывать) информацию. Это первое и существенноое отличие от проксимити карт.

Второе и главное отличие — возможность закрытия доступа к памяти карты с помощью криптографических ключей.

Потенциально карты Mifare Classic, как карты доступа, могут обладать достаточно высокой степенью защиты от копирования. Но реальная практика заключается в том, что во многих СКУД Mifare Classic используются (к сожалению) как простые идентификаторы. Т.е. для предоставления доступа с карты считывается серийный номер чипа (UID), а память карты никак не задействуется. В этом случае защищенность карт Mifare Classic будет на уровне защищенности проксимити карт. Серийный номер чипа Mifare Classic легко может быть скопирован и записан в пустую заготовку-болванку карты.

Для того чтобы карты Mifare Classic использовались в защищенном режиме, необходимо реализовать два момента:

  • считывать не UID, а данные из блока памяти карты, доступ к которой защищен крипто-ключами, сгенерированными самим заказчиком;

  • использовать считыватели, способные хранить крипто-ключи в своей энергонезависимой памяти и считывать данные из защищенного блока памяти карты Mifare Classic.

Необходимо убедится, что используемые считыватели для СКУД, часто называемые «секторные считыватели», могут настраиваться на чтение данных из памяти Mifare-карты. В память считывателя скачивается «прошивка», задающая алгоритм работы считывателя, а именно — из какого блока памяти карты считывать данные и по какому значению крипто-ключа. Секторный считыватель имеет интерфейс Wiegand-26, что обеспечивает совместимость с традиционными контролерами СКУД.

Защищенность карт Mifare Classic, даже при работе с памятью карты и использовании криптографии, не является достаточно высокой. Связано это с тем, что в картах Mifare Classic используется криптоалгоритм CRYPTO-1, защищенность которого признана невысокой. Этот алгоритм вскрыт, о чем были публикации в открытых источниках. Компания NXP - разработчик проектов Mifare не рекомендует использовать Mifare Classic в системах, требующих повышенной защищенности.

RFID карты MIFARE PLUS, MIFARE DESFIRE

Продукты компании NXP — Mifare Plus и Mifare DESFire EV1 отличаются от продуктов Mifare Classic в основном другой, более сложной и надежной криптографией. Продукт Mifare Plus был разработан компанией NXP как ответ на «взлом» алгоритма CRYPTO-1. В картах Mifare Plus встроена критпозащита AES, что делает эти карты надежно защищенными от копирования.

В картах Mifare DESFire EV1 используются криптоалгоритмы AES, 3DES, — гарантия от копирования и появления клонов.

Используя карты Mifare Plus и Mifare DESFire как карты доступа, следует работать с памятью этих карт и встроенной криптозащитой.

Реальная практика (к сожалению) говорит о том, что карты Mifare Plus, DESFire также часто используются в СКУД как простые идентификаторы. В таких случаях заказчик переплачивает за дорогие карты доступа, не получая никакой дополнительной защиты карт от копирования.

Эти карты (как и любые RFID-карты) имеют заводской серийный номер. Этот номер (UID) всегда открыт для чтения, причем считывание серийного номера может быть осуществлено любым (даже самым примитивным) считывателем, так как при считывании UID криптография не задействуется.

UID, серийный номер чипа - это набор цифр, всегда открытый для чтения. Если в СКУД для предоставления доступа считывается только UID, то карты Mifare Plus, DESFire можно считать не защищенными от копирования. Мошенник легко может изготовить копии карт с таким же UID, чтобы получить несанкционированный доступ. И всю карту копировать не надо. Достаточно прочитать номер карты и записать его в пустую болванку-заготовку. Считыватель, который обращается к UID карты, никак не может определить, какая именно карта предъявлялась: сложная карта Mifare Plus/DESFire, простая карта Mifare Ultralight или незаконная копия этих карт.

Для того чтобы карты Mifare Plus, Mifare DESFire использовались в защищенном режиме, необходимо реализовать те же два момента, что и для карты Mifare Classic:

Карты доступа Mifare Plus, DESFire при правильном использовании будут таким же надежным звеном в системе СКУД, как и другие компоненты. Несанкционированный доступ в помещения по копиям этих карт будет невозможен.

Резюмируя, можно предложить следующие рекомендации для выбора технической реализации карт доступа банковской СКУД:

  • карты EmMarin, HID, Indala, на частоте 125 КГц, не обладают никакой защитой и годятся для проходов в помещения, не требующие разграничения доступа;

  • карты Mifare Classic, на частоте 13,56 МГц, обладают защитой среднего уровня и могут использоваться для предоставления доступа в некоторые служебные помещения, считыватель карт Mifare Classic должен считывать данные из блока памяти карты, а ни в коем случае не UID карты;

  • карты Mifare Plus, Mifare DESFire EV1, на частоте 13,56 МГц, обладают защитой самого высокого уровня, гарантированно защищены от копирования и подделок и могут использоваться для предоставления доступа в самые «секретные» помещения. Для того чтобы все преимущества карт Mifare Plus/DESFire действительно работали, следует использовать считыватели, обращающиеся к памяти карт по криптоключам. Считывание с карт Mifare Plus/DESFire только серийного номера чипа (UID) ничего не даст для повышения безопасности СКУД, и высокие затраты на сложные карты доступа будут напрасными.

И еще одна немаловажная деталь. Mifare — это торговая марка фирмы NXP Semiconductors. Никто, кроме NXP, не может использовать (на законных основаниях) наименование Mifare.

В Китае производятся «совместимые» чипы, но заводы-изготовители их и не называют Mifare, а дают свои наименования (ISSI, F08, TKs, HuaHong). Использование этих чипов не может считаться легитимным, так как затрагивает права компании NXP.

Какими бы ни были продвинутыми карты доступа, но если устройство чтения карт не обладает симметричными характеристиками, то никакой дополнительной защиты извлечено не будет.

Табл. 1. Сравнительные характеристики карт Mifare

 

MIFARE

Mifare Classic 1K/4K

Mifare Plus

Mifare DESFire EV1

Длина серийного номера чипа

4 байта/7 байт

7 байт

7 байт

Рабочая частота

13,56 МГц

13,56 МГц

13,56 МГц

Наличие памяти

1-4 KB

2-4 KB

2-8 KB

Наличие криптографической защиты

Есть, Crypto1

Есть, AES

Есть, 3DES

Режим работы

Чтение-запись

Дальность чтения

До 6 см

Возможность программирования

Есть

Защита от копирования

Средняя

Очень высокая

Очень высокая

Типичное применение

Простые системы доступа

Сложные системы доступа, системы доступа для режимных объектов

Сложные системы доступа, системы доступа для режимных объектов

Оригинальность чипа

В Китае производятся так называемые «совместимые» чипы.
Использование этих чипов не может считаться легитимным, 
так как затрагивает права компании NXP

Чип оригинальный, совместимый не производится

Чип оригинальный, совместимый не производится

Для прохождения в те помещения банка, доступ в которые должен быть строго ограничен, следует устанавливать адекватные считыватели, поддерживающие криптографию на уровне используемой карты доступа. Т.е. следует рассматривать пару: «карта-считыватель». Любая асимметрия в характеристиках не даст желаемого результата.

Табл. 2. Сравнительная таблица считывателей СКУД

 

Незащищенный режим 125 KHz — EmMarin, 
HID 13,56 MHz — Mifare Classic, Mifare Plus/DESFire

Защищенный режим среднего уровня 
Mifare Classic

Защищенный режим высокого уровня 
Mifare Plus/DESFire

Считыватель EmReader (125 KHz). Интерфейс Wiegand

Считывание UID карты

Нет

Нет

Считыватель MFreader, не поддерживающий криптографию. Интерфейс Wiegand

Считывание UID карты

Нет

Нет

Считыватель MF Sec Reader Интерфейс Wiegand, RS-232

Нет

Да, криптоалгоритм CRYPTO1

Нет

Считыватель CN560X

Интерфейс Wiegand, RS-232, RS-485

Нет

Да, криптоалгоритм CRYPTO1

Да, криптоалгоритм AES, 3DES


Источник:  http://algoritm.org/

Автор:  О. Быков
(Нет голосов)