Где уязвимы более 20 млн транспортных карт в россии: разбираем и развиваем mifare classic

Недостатки перехода на MIFARE 1K

Типичный пример. В действующей СКУД используются всем известные карты EM-Marine. Если выражаться технически более точно — Proximity-карты на частоте 125 кГц. К ним относятся и EM-Marine (на практике китайский аналог ТК4100) и HID Prox. Владелец объекта, на котором установлена СКУД, устал от копирования карт доступа и ищет новые варианты, гарантирующие защиту.

И находит. Например, MIFARE 1K. И полагает: это то, что нужно. На него сыплется информация примерно такого содержания:

  • тип микросхемы — MIFARE S50, стандарт ISO14443А;
  • рабочая частота — 13,56 МГц;
  • время транзакции — не более 164 мс;
  • поддержка антиколлизии;
  • возможность перезаписи — не менее 100 000 циклов;
  • объем памяти — не менее 1024 байт;
  • 3-х проходная аутентификация;
  • идентификатор длиной 32 бита.

Заказчик мало что понимает, но обилие «умных» терминов подсказывает ему, что это хорошо, данные карты будут защищены от копирования.

И заказывает карты доступа MIFARE 1K и соответствующие считыватели.

Какой же результат он получает? Реальная практика говорит о том, что деньги потрачены напрасно. Никакой дополнительной защиты карт доступа от копирования нет.

Почему? Потому что большинство имеющихся считывателей MIFARE 1K, применяемых в СКУД, не задействуют шифрования и криптографии при работе с картами MIFARE 1K.

Незащищенный номер чипа

Ничего из перечисленных выше технических особенностей MIFARE 1K (кроме идентификатора длиной 32 бита) считыватели MIFARE 1K не используют. То есть большинство считывателей работают с картами MIFARE 1K так же, как и с картами EM-Marine, а именно — считывают открытый номер чипа. Серийный номер чипа MIFARE 1K (часто называемый ID или UID) — это открытая последовательность цифр, ничем не защищенная. Все приведенные выше «умные» термины, характеризующие технические особенности MIFARE 1K, относятся к памяти чипа и не затрагивают его серийный номер. При считывании ID-номера ни микропроцессор, не 3-х проходная аутентификация, ни криптография не задействуются. Номер чипа ничем не защищен. И легко может быть скопирован для изготовления дубликатов карты доступа.

Дублирование номеров карт

Другой распространенный недостаток многих считывателей MIFARE E 1K — это интерфейс Wiegand-26, с помощью которого считка подключается к контроллеру СКУД. Номер чипа MIFARE 1K имеет длину 4 байта (те же 32 бита). А по интерфейсу Wiegand-26 можно передать число длиной максимум 3 байта. Соответственно, один байт отсекается.

Таблица 1. Жирным выделены три байта, которые передаются

HEX-формат Десятичный формат
DDFF02AC 3724477100
DDFF02AD 3724477101
DDFF02AE 3724477102

Номер чипа передается через контроллер в систему не полностью. И в системе появляются одинаковые номера карт. Что в реальной практике и встречается.

Таблица 2. Появляются одинаковые номера карт

HEX-формат Десятичный формат
DDFF02AC 14548738
DDFF02AD 14548738
DDFF02AE 14548738

Ситуация усугубляется еще и тем, что длина номера чипа MIFARE 1K может быть не 4, а 7 байт. Обусловлено это тем, что компания NXP — разработчик и собственник торговой марки MIFARE — несколько лет назад объявила, что диапазон уникальных 4-байтовых номеров исчерпан. И что в дальнейшем чипы MIFARE 1K будут выпускаться с 7-байтными уникальными номерами (UID). Чипы с 4-байтными номерами продолжают выпускаться, но 4-байтные номера больше не являются уникальными и называются NUID (Non Unique ID — с англ. «не уникальный идентификационный номер»).

Соответственно, при использовании считывателя MIFARE 1K с интерфейсом Wiegand-26 вероятность появления в системе карт с «одинаковыми» номерами повышается, так как отсекаться будут 4 байта из 7.

Можно ли получить карты доступа, защищенные от копирования, применяя MIFARE 1K?

Конечно, можно. При правильной работе с картой и использовании правильного считывателя. «Правильно» — значит с помощью всех тех технических особенностей, которые и характеризуют MIFARE 1K. А именно — необходимо задействовать память MIFARE 1K и обращаться к памяти с помощью той самой 3-х проходной аутентификации, встроенных криптографических алгоритмов.

И для этого на рынке есть технические средства.

Как работает

Каждый ключ Mifare оснащен индивидуальным номером идентификации, памятью с возможностью перезаписывания. Идентификационный номер не нуждается в защите и не является секретным. В некоторых случаях указывается на брелоке или карте. Доступ к памяти ключа надежно защищен.

Считывание данных из карты памяти и запись информации на нее осуществляется исключительно при наличии специальных кодов доступа. Данные, которые передаются между ключом и считывателем зашифрованы. Считыватели одновременно распознают как UID-код, так и информацию, расположенную в зашифрованной памяти. Недорогие системы доступа не обладают такой возможностью и считывают только UID.

UID – это не секретный идентификатор, поэтому сделать дубликат ключа не составит труда. Нужно лишь переписать данные UID, которые обеспечивают доступ в данное место. Дорогие считывающие системы поддерживают работу с двумя способами идентификации одновременно – с памятью и UID, поэтому копирование Mifare, взлом или кража данных в таких системах становится практически невозможной задачей.

Распространенные заблуждения

Но время идет, хакеры не дремлют. Криптозащита, встроенная в чип MIFARE 1K, в настоящее время признается невысокой. Об этом есть публикации в открытой научно-технической прессе. На некоторых сайтах можно найти информацию о способах взлома защиты MIFARE 1K.

Что делать заказчику, стремящемуся надежно защитить карты доступа от копирования и подделки?

Есть современные надежные средства. Например, компания NXP разработала линейку чипов MIFARE Plus, где используется криптография AES, вскрытие которой в настоящее время считается невозможным. Применение MIFARE Plus — гарантия защиты карт доступа от копирования и подделки.

Но и здесь заказчику приходится нелегко.

Изготовители считывателей карт для СКУД часто скрывают технические тонкости.

Поддержка различных форматов MIFARE

Еще один типичный пример. Разработчик считывателя узнал, что 4-байтные серийные номера чипов больше не являются уникальными, а компания NXP выпустила 7-байтную версию чипа MIFARE 1K. Производитель дорабатывает свою считку (оставляя при этом тот же самый интерфейс Wiegand-26) на чтение 7-байтного номера MIFARE 1K. И тут он понимает, что может еще и расширить перечень чипов, с которыми якобы работает его считка. Ведь 7-байтный UID имеется у многих других продуктов MIFARE, а именно — у MIFARE Ultrlaight C, MIFARE Plus, MIFARE DESFire EV1. И разработчик тут же включает в документацию фразу такого характера: «Поддержка различных форматов MIFARE Ultralight, MIFARE Plus, DESFire EV1».

Таблица 3. Основные характеристики разных чипов MIFARE

Тип карты MIFARE Ultralight MIFARE Classic MIFARE DESFire EV12К/4K/8K MIFARE Plus S2К/4K MIFARE Plus X2К/4K
MF0 IC U1x MF1 IC S50 MF1 IC S70 MF3 IC D21,MF3 IC D41,MF3 IC D81 MF1 SPLUS60/MF1 SPLUS80 MF1 PLUS60/MF1 PLUS80
Криптоалгоритм Нет CRYPO1 CRYPTO1 DES & 3DES/AES CRYPTO1/AES CRYPTO1/AES
Длина серийного номера, байт 7 4/7 4/7 7 7 7
EEPROM, байт 64 1024 4096 2048/4096/8192, гибкая файловая структура 2048/4096 2048/4096
Количество циклов перезаписи 10 000 100 000 100 000 500 000 200 000 200 000
Организация 16 стр./ 4 байт 16 сект./ 64 байт 32 сект./ 64 байт,8 сект./ 256 байт Определяется программно 32 сект./ 4 блока,8 сект./1 блок 32 сект./ 4 блока,8 сект./1 блок

Бедный неосведомленный заказчик покупает карты MIFARE Plus и такой считыватель. Что он получает? Снова ничего, кроме напрасно потраченных денег.

Считыватель будет работать с открытым UID, который никак не защищен (об этом говорилось выше). Криптография AES, встроенная в чип MIFARE Plus, не распространяется на UID. Этот UID копируется так же легко, как и ID MIFARE 1LK, и считывание номера чипа MIFARE Plus ничего не добавляет к защите карт от копирования и подделки.

Карты MIFARE Plus поступают с завода-изготовителя в незащищенном режиме и на самом деле в таком виде не предназначены для использования. В отличие от традиционных Proximity-карт (HID, EM-Marine) карты MIFARE Plus после покупки должны быть проинициализированы. И сделать это должен заказчик.

Считка MIFARE Plus

Как еще некоторые изготовители считывателей вводят заказчика в заблуждение? Есть пример из жизни.

Известно, что карты MIFARE Plus могут быть проинициализированы таким образом, что чип MIFARE Plus полностью эмулирует MIFARE 1K (в том числе и криптоалгоритм СRYPTO-1). Более точно этот режим называется переводом чипа MIFARE E Plus на уровень безопасности SL1 в режиме эмуляции MIFARE Classic. Не проводя тестирования, изготовитель считывателя (гипотетический) добавляет в свою документацию фразу «Поддержка MIFARE Plus». К несчастью для заказчика, купившего подобную считку, корректно работать с картами MIFARE Plus она не будет.

Уровни безопасностиБесконтактные карты MIFARE Plus поддерживают 3 уровня безопасности и могут быть в любой момент переведены с одного уровня на более высокий.

Уровень безопасности 0
Карты MIFARE Plus на уровне 0 не предназначены для использования. Заказчик должен проинициализировать чип MIFARE Plus и перевести его на более высокий уровень. Инициализация чипа может производиться по ключам, соответствующим MIFARE E Classic с применением криптоалгоритма CRYPTO1, или по ключам AES.

Уровень безопасности 1На этом уровне карты имеют 100%-ную совместимость с MIFARE Classic 1K, MIFARE Clasis 4K. Карты MIFARE Plus легко работают в существующих системах вместе с картами MIFARE Classic.

Уровень безопасности 2Аутентификация по AES является обязательной. Для защиты данных используется CRYPTO1.

Уровень безопасности 3Аутентификация, обмен данными, работа с памятью только по AES.

Удаленный контроль доступа с помощью переносного мобильного терминала Р2 LITE

Беспроводное мобильное устройство Р2 LITE предназначено для организации удаленного контроля доступа.
Чтение карт MIFARE Classic, а также MIFARE Plus на уровне SL3.

Мобильный терминал Р2 LITE можно использовать в следующих вариантах контроля доступа:

  • на территории объекта для контроля въезжающего автотранспорта. Охранник подходит к водителю с переносным терминалом и считывает карту;
  • в поле, для контроля работников, приезжающих на автобусе. Охранник (бригадир) считывает карты работников с помощью мобильного терминала;
  • на выставках, стадионах, и т.п., когда нет возможности подключить обычный проводной считыватель.

Самая важная характеристика переносного терминала Р2 LITE это то, что он работает с картами MIFARE Plus.
Поддерживается не только чтение данных из защищенной памяти MIFARE Plus, но также и запись данных в память MIFARE Plus в режиме SL3.

Такие возможности переносного терминала могут быть полезны во многих случаях удаленного контроля доступа.
Например, водитель самосвала приезжает на точку, где его встречает охранник. Водителю требуется получить электронную отметку. Для этого смарт-карта водителя MIFARE Plus SL3 подносится к переносному терминалу охранника, и охранник нажимает на экране терминала соответствующую пиктограмму. В результате на смарт-карту водителя записывается информация о приезде на данную точку.
Эта информация может быть считана со смарт-карты водителя MIFARE Plus SL3 в автопарке с помощью .

Мобильный терминал Р2 LITE может хранить в своей памяти список разрешенных карт доступа. При считывании карты доступа на экран может выводится информация о том, находится ли данная карта в списке разрешенных карт или нет.

В памяти терминала Р2 LITE сохраняется журнал событий (номер карты, дата-время, ФИО охранника, номер терминала, … ).
Этот журнал может передаваться на сервер СКУД (по WiFi, Bluetooth или USB).

Встроенный RFID считыватель бесконтактных смарт-карт.

Поддержка технологий:

  • MIFARE Classic;
  • MIFARE Plus на уровне SL3.

С устройством P2 LITE поставляется SDK для разработки программного обеспечения.

Технические характеристики

Операционная система Android 7.1
Процессор 4-х ядерный Qualcomm Snapdragon,  inc MSM8917, 1.4GHz
Память 1GB RAM+8GB ROM2GB RAM+16GB ROM
Дисплей 5″ HD1280×720,IPS
Считыватели Карты с магнитной полосой, IC-карты, NFC, QR-коды оплаты
Считыватель RFID MIFARE ClassicMIFARE Plus, в том числе на уровне SL3
Зарядное устройство Вход: AC 100~240VВыход: 5V/1A
WiFi 2.4G/5Gподдержка IEEE 802.11 a/b/g/n
Bluetooth 2.1/ 3.0/ 4.2
GPS AGPSGPS
Сканер штрих-кода 1D (опционально)
Аккумулятор Съемный литий-полимерный аккумулятор 3.8V/3000mAh
Порты 1 разъем Type CUSB 2.0 HSПоддержка OTG
Размеры (Д×Ш×В), см 15.78 × 7.5 × 2.24
Динамик 1W
Эксплуатационные характеристики Рабочая температура: 0°C ~ 40°CТемпература хранения: -10°C ~ 50°CСтандарт испытаний на падение: тест на падение 1М
Камера 5 Мп, вспышка, автофокус
Вес (с аккумулятором) 256 г

Изящная, но прочная конструкция

Корпус терминала P2 LITE покрыт защитной оболочной, сформированной по специальной технологии литья под давлением.
Защитная оболочка предохраняет устройство P2 LITE от повреждений в результате падения.
Мобильный терминал SUNMI P2 LITE прошел тест на падение с высоты 1 метр в лаборатории SUNMI.

Удобно носить благодаря небольшим габаритам

Легкий, тонкий и удобный корпус.
Самое тонкое место в корпусе P2 LITE составляет 17.25мм.
Мобильный терминал P2 LITE легко помещается в карман.

Двухформатный считыватель Em Marin + MIFARE

PROX-MF-EM — двухформатный считыватель бесконтактных карт доступа Em Marin, карт доступа MIFARE, а также карт стандарта ISO15693 (I Code SLI, TagIT ).

Считыватель PROX-MF-EM изготовлен из прочного пластика ABS.Подходит как для внутренней, так и для наружной установи.

1. Основные технические характеристики

Форматы карт: MIFARE, ISO15693, EM-Marine
Интерфейсы: Wiegand-26,34,37,40,42,58, TouchMemory
Напряжение питания постоянного тока, В: 9…15
Средний ток потребления (с индикацией), мА: не более 50
Размеры (Д × В × Ш), мм: 154 × 49 × 23
Масса считывателя, не более, г: 110
Цвет корпуса, ABS пластик: черный
Рабочая температура, °С: –40 ~ +50
Класс пыле/влагостойкости IP 54

2. Поддерживаемые форматы карт:

  • MIFARE Classic;
  • MIFARE Plus S / X / EV1;
  • MIFARE DESFire EV1 / EV2;
  • MIFARE Ultralight C;
  • NFC NTAG;
  • ICODE/ ISO-15693 (I Code SLI X/X2, TAG-IT 256, TAG-IT 2048);
  • EM-Marin.

3. Режимы работы по формату MIFARE и стандарту ISO15693

  • MIFARE Classic — чтение UID, или чтение номера из защищённой области карты;
  • MIFARE Plus SL1/SL3 — чтение UID, или чтение номера из защищённой области карты;
  • MIFARE DESFire EV1/EV2 — чтение UID, или чтение номера из защищённой области карты;
  • MIFARE Ultralight С — чтение UID или чтение из номера защищённой области карты;
  • ISO15693 — чтение UID.

C карты EM-Marine всегда считывается UID (серийный номер чипа).

4. Использование в СКУД

В системах доступа (СКУД) считыватель PROX-MF-EM может одновременно работать и с картами Em-Marin и с картами MIFARE или ISO15693.

При этом возможен как защищенный, так и не защищенный режим работы.

Не защищенные режимы:

  • считывание UID карт Em Marin и UID карт MIFARE Classic;
  • считывание UID карт Em Marin и UID карт MIFARE Plus ;
  • считывание UID карт Em Marin и UID карт MIFARE DESFire ;
  • считывание UID карт Em Marin и UID карт MIFARE Ultralight C;
  • считывание UID карт Em Marin и номера из закрытого блока карты MIFARE Classic ;
  • считывание UID карт Em Marin и номера из закрытого блока карты MIFARE Plus на уровне SL1.

Защищенные режимы:

  • считывание UID карт Em Marin и номера из закрытого блока карт MIFARE DESFire с применением криптографии;
  • считывание UID карт Em Marin и номера из закрытого блока карт MIFARE Ultralight C с применением криптографии;
  • считывание UID карт Em Marin и номера из закрытого блока карты MIFARE Plus на уровне SL3 с применением криптографии.

5. Прошивка считывателя PROX-MF-EM для работы в защищенном режиме

Для конфигурирования (прошивки) считывателя PROX-MF-EM на работу в защищенном режиме требуется:

  • программатор KC-MF-USB;
  • программа mad_v3.0;
  • служебные карты.

6.1. Работа с картами MIFARE Plus S / X / EV1

  • выбрать сектор/блок, в котором будет храниться номер, считываемый с карты (например, сектор1 блок 0);
  • выбрать уровень безопасности SL3;
  • придумать значение крипто-графического ключа AES, закрывающего доступ к выбранному сектору-блоку на уровне SL3 (например, A0A1A2A3A4F0F1F2F3B0B1B2B3C0C1C2);
  • выбрать тип интерфейса подключения считывателя к контролеру (например, Wiegand-26).

6.2. Работа с картами MIFARE Ultralight C

  • придумать значение крипто-графического ключа DES, закрывающего доступ к памяти (например, A0A1A2A3A4F0F1F2F3B0B1B2B3C0C1C2);
  • выбрать тип интерфейса подключения считывателя к контролеру (например, Wiegand-26).

6.4. Перечисленные выше действия целесообразно сделать на бумаге.

Т.е., заказчик должен все это продумать, принять решение и записать это решение на бумаге.
После этого можно переходить к программированию считывателя PROX-MF-EM.

6.5. Программирование считывателя PROX-MF-EM:

  • подключить программатор KC-MF-USB к компьютеру;
  • запустить программу:
    • mad.plus_V3.0 для MIFARE Plus;
    • mad_ul для для MIFARE Ultralight C;
    • mad_31_des для MIFARE DESFire.
6.5.1. Для карт MIFARE Plus:
  • набрать на клавиатуре придуманное значение ключа AES
  • выбрать нужную длину интерфейса Wiegand;
  • создать карту инициализации и карту программирования.
6.5.2. Для карт MIFARE Ultralight C:
  • набрать на клавиатуре придуманное значение ключа DES
  • выбрать нужную длину интерфейса Wiegand;
  • создать карту инициализации и карту программирования.

Комбинированный считыватель PROX-MF-EM может использоваться в случаях, когда в СКУД используются карты доступа Em Marin, и стоит задача перейти на защищенные идентификаторы, такие как MIFARE Classic, а еще лучше MIFARE Plus.

VI. Заключительные замечания

В заключение перечислим основные моменты, на которые следует обращать внимание владельцу объекта СКД

Что делать, если интерфейс Wiegand-26 уже есть и другие интерфейсы отсутствуют
Вместо считывания серийного номера чипа, надо считывать данные из защищенного блока памяти карты Mifare. Длина данных, записанных в блок памяти, должна быть не более 3 байт, чтобы полностью передать по Wiegand-26.
Можно ли купить карты Mifare и сразу выдавать работникам
Не рекомендуется использовать карты Mifare сразу после покупки.
Пользователю следует поменять открытые заводские ключи на свои собственные, секретные ключи. Это защитит карту от копирования и подделки. После этого карты Mifare (брелоки, браслеты, метки) можно использовать.
Как выбрать считыватель
Правильно использовать такие считыватели, которые хранят в своей энерго-независимой памяти ключи доступа к секторам памяти Mifare. Если ключи доступа хранятся не в считывателе, а в компьютере, — то они легко могут быть скопированы.
Если не использовать ключи при работе с продуктами Mifare, то нет смысла и в самих картах Mifare.В этом случае дешевле и проще применять Em Marin. Все преимущества продуктов Mifare будут реализованы только тогда, когда пользователь будет закрывать доступ к чтению-записи данных из чипа Mifare по своим секретным ключам. И будет делать это самостоятельно, а не получать от поставщика карту с уже записанными (и неизвестными пользователю) ключами.
Эмиссия карт
Владелец системы (доступа, оплаты, и т.п.) должен предусмотреть два этапа выпуска карт:
пред-эмиссия;
эмиссия.

Пред-эмиссия нужна для того, чтобы перевести карты Mifare с открытого заводского уровня на защищенный уровень, принятый в данной системе.
С завода-изготовителя карты Mifare поступают открытыми и незащищенными.
На этапе предэмиссии владелец системы должен сам (или его доверенное лицо) решить, сколько и какие сектора памяти Mifare будут использоваться, и сгенерировать, по крайней мере, один ключ для доступа к этим секторам. Во все карты Mifare (брелоки, браслеты, метки) должны быть прописаны эти ключи. В результате, — карты Mifare станут защищенными от копирования и подделки.
Эмиссия, — это выдача карт персоналу и/или клиентам (или продажа карт – подарочных карт, абонементов и т.п.). Производится или в бюро пропусков, или на кассе продажи, или на ресепшн, куда проступают карты Mifare., прошедшие пред-эмиссию

Очень важно для владельца объекта СКД знать, что закупаемые им карты Mifare находятся на открытом заводском уровне и никакая информация в память карты не записана. Иногда поставщики карт Mifare самостоятельно (и без ведома заказчика) прописывают свои ключи в карты Mifare, защищая их якобы от подделки

Это неправильно. Поставщик привязывает таким образом владельца СКД к своим картам. А, зная значение ключей, он имеет все возможности для взлома и подделки карт.
Генерировать ключи и записывать их в карты должен сам владелец объекта, на котором установлена СКД, или его доверенное лицо.

Статья опубликована в журнале Алгоритм Безопасности №1 2014 г. .

Компания NCS — официальный партнер компании NXP по продуктам MIFARE

Как партнер NXP, компания NCS имеет не только статус изготовителя и поставщика карт MIFARE и считывателей, но также и статус консультанта по применению MIFARE (MIFARE Application Consultancy) и статус консультанта по техническим характеристикам MIFARE (MIFARE Technical Consultancy).

MIFARE, NXP’s brand of contactless IC products.
MIFARE зарегистрированная торговая марка, принадлежащая компании NXP.
MIFARE является интеллектуальной собственностью компании NXP.

6 этапов защиты MIFARE Plus

Что же делать, чтобы карты доступа MIFARE Plus работали в СКУД в защищенном режиме?

1. Первое – проникнуться пониманием, что необходимо личное участие владельца объекта СКУД в решении вопросов защищенности карт MIFARE Plus. Это чисто организационный момент, но необходимый.

2. Далее следует выбрать уровень безопасности, на котором будут работать карты MIFARE Plus в данной СКУД: SL1, SL2 или SL3.

Здесь потребуется консультация специалиста. Тот или иной уровень должен быть выбран, исходя из специфики объекта и требований защищенности. Уровень SL3 – самый высокий с точки зрения защиты, но и подготовка карт и считывателей MIFARE Plus для работы на SL3 технически самая сложная. К тому же, не все считыватели могут работать на уровне SL3.

3. Выбирая уровень безопасности, заказчик должен решить, сколько секторов будет закрываться секретными ключами. Для СКУД вполне достаточно закрыть только один сектор памяти MIFARE Plus.

4. Следующий этап – предэмиссия карт MIFARE Plus. Это фактический перевод карт MIFARE Plus на выбранный уровень безопасности (SL1, SL2 или SL3) и закрытие выбранного сектора памяти секретным ключом с криптографией AES.

5. Затем – подготовка считывателей. Каждый считыватель, подключаемый к контроллеру СКУД, должен быть запрограммирован на чтение данных из того же блока памяти и по тому же ключу AES, что и карта MIFARE Plus.

6. Далее следует собственно эмиссия карт доступа, то есть запись идентификатора в выбранный сектор памяти MIFARE Plus. Этот идентификатор будет связан с конкретным работником и будет считываться в защищенном режиме.

Скопировать или подделать такую карту MIFARE Plus будет невозможно. Ввод в систему карт доступа MIFARE Plus осуществляется через контрольный считыватель (с интерфейсом USB, RS-232 или RS-485, TCP/IP). Контрольный считыватель читает идентификатор, хранящийся в защищенной памяти MIFARE Plus, используя при этом криптографию AES.

Уровни безопасности

Бесконтактные карты MIFARE Plus поддерживают 3 уровня безопасности и могут быть в любой момент переведены с одного уровня на более высокий.

Уровень безопасности 0

Карты MIFARE Plus на уровне 0 не предназначены для использования. Заказчик должен проинициализировать чип MIFARE Plus и перевести его на более высокий уровень. Инициализация чипа может производиться по ключам, соответствующим MIFARE Classic с применением криптоалгоритма CRYPTO1, или по ключам AES.

Уровень безопасности 1
На этом уровне карты имеют 100%-ную совместимость с MIFARE Classic 1K, MIFARE Classic 4K. Карты MIFARE Plus легко работают в существующих системах вместе с картами MIFARE Classic.

Уровень безопасности 2
Аутентификация по AES является обязательной. Для защиты данных используется CRYPTO1.

Уровень безопасности 3
Аутентификация, обмен данными, работа с памятью только по AES

Описанный выше подход позволяет использовать карты доступа MIFARE Plus со многими имеющимися на рынке контроллерами СКУД. Современные считыватели, поддерживающие работу с MIFARE Plus, имеют различные интерфейсы подключения к контроллерам, в том числе и распространенный – Wiegand-26. Это позволяет легко и просто переводить действующие СКУД с карт EM-Marine на карты MIFARE Plus. Потребуется только замена считывателей. Контроллеры, программное обеспечение, базы данных сохраняются.

Опубликовано: Журнал «Системы безопасности» #5, 2015Посещений: 8240

  Автор

В рубрику «Системы контроля и управления доступом (СКУД)» | К списку рубрик  |  К списку авторов  |  К списку публикаций

Оцените статью
Рейтинг автора
5
Материал подготовил
Илья Коршунов
Наш эксперт
Написано статей
134
Добавить комментарий