Использование бесконтактных смарт-карт и RFID-брелоков для управления доступом повышает безопасность за счет управляемости при сохранении удобства. Учетные данные цифровой идентификации на основе карт могут быть легко признаны недействительными или обновлены в централизованной системе управления физическим доступом, когда кто-то теряет свою карту или покидает организацию, и для контроля того, как и когда двери могут использоваться отдельными лицами, могут применяться различные ограничения.
К сожалению, не всегда учитывается фактическая безопасность используемых RFID-карт доступа к дверям и брелоков, что приводит к широкому распространению небезопасных технологий карт, которые подвергают организации значительному риску. Эти же карты часто используются для других приложений, таких как печать конфиденциальных документов по требованию, без дальнейшего рассмотрения вопросов безопасности!
В настоящее время на eBay доступны недорогие портативные комплекты для дублирования карт, которые можно использовать для быстрого и простого создания клонов многих типов учетных данных RFID, используемых для доступа в здание. Также доступно другое оборудование, которое позволяет незаметно считывать карты доступа RFID на расстоянии, а их обмен данными перехватывается, эмулируется и даже ретранслируется через Интернет.
Старые стандарты учетных данных RFID полагаются на простой серийный номер чипа производителя или запрограммированный идентификационный номер, который не защищен от считывания любым считывающим устройством. Их также можно без ограничений копировать и перезаписывать на другую карту. Более поздние стандартные учетные данные RFID надежно хранят дополнительную идентификационную информацию, и ее можно будет прочитать только после взаимной аутентификации с авторизованными считывающими устройствами.
Эти новые технологии RFID-карт, как правило, основаны на безопасной технологии 13,56 МГц, регулируемой ISO-14443 или ISO-15693, некоторые с дополнительными уровнями шифрования данных и различными методами управления ключами шифрования.
125 КГЦ EM / PROX + LEGIC PRIME
Эти технологии обеспечивают базовый уровень RFID-идентификации с использованием легко читаемых идентификационных номеров. Карточки и брелки можно легко клонировать и тиражировать даже без доступа к исходному физическому изделию.
13,56 МГЦ MIFARE CLASSIC
В дополнение к свободно читаемому серийному номеру микросхемы идентификационные данные могут храниться в фиксированных областях памяти (или блоках), защищенных паролем. Имеется простая система ключей для управления доступом для чтения и / или записи к каждому блоку, доступная с общим объемом хранилища 1 КБ или 4 КБ. Аутентификация и шифрованная связь между картой и считывателем основаны на некорректном алгоритме, что позволяет клонировать карты и брелоки.
13,56 МГЦ ICLASS SE / SEOS
Доступные с различной емкостью памяти от 256 до 16 Кбайт, более старые карты iCLASS SE используют собственный алгоритм шифрования HID, основанный на DES, с взаимной аутентификацией между картой и считывателем, в то время как iCLASS SEOS использует 128-битное шифрование AES и различные ключи сеанса. . Дополнительные уровни безопасности могут быть обеспечены за счет использования концепции Secure Identity Object компании HID, в то время как SEOS предназначена для обеспечения переносимости учетных данных, позволяя использовать общий идентификатор на платформах Android и IOS через NFC и Bluetooth, а также на смарт-картах. HID обычно владеет ключами доступа и шифрования и управляет ими.
13,56 МГЦ MIFARE DESFIRE EV1 / 2
Доступен с памятью 2K, 4K или 8K с гибкой файловой системой, которая может поддерживать до 28 (или для версии EV2 - неограниченное количество) различных приложений и до 32 файлов на одно приложение. Поддерживаемые стандарты безопасного открытого шифрования включают: 56-битный, 112-битный, 168-битный DES / 3K3DES или 128-битный AES с взаимной трехпроходной аутентификацией между картой и считывателем. Организации могут сами кодировать учетные данные DESFire, используя свои собственные индивидуальные ключи доступа и шифрования, тем самым избегая любой зависимости от третьих лиц для защиты критически важной информации о кодировании карт.
13,56 МГЦ LEGIC ADVANT
Доступен с памятью 256, 1K и 4K, что позволяет разместить до 12, 59 или 127 отдельных приложений. Опции шифрования хранимых данных включают шифрование AES128, AES256, 3DES и LEGIC с взаимной аутентификацией и шифрованием передачи данных между картой и считывателем с использованием различных алгоритмов в зависимости от выбранной карты. Доступны стандартные карты ISO 15693, которые обеспечивают расширенный диапазон считывания до 70 см, а виртуализированные учетные данные LEGIC Advant доступны для использования на других носителях, таких как кредитные карты и смартфоны NFC.
ДРУГИЕ СООБРАЖЕНИЯ БЕЗОПАСНОСТИ
Хотя карты часто печатают для использования в качестве удостоверения личности с фотографией, пользователям следует опасаться карт, на которых напечатана информация об идентификаторе контроля доступа. Идентификационные номера и другие напечатанные коды могут потенциально использоваться для создания или получения дубликатов учетных данных RFID, даже по фотографии карты.
Важно обеспечить полное использование функций защиты учетных данных RFID конкретной технологии, а не полагаться на стандартные конфигурации по умолчанию. Это означает, что нужно задавать вопросы о том, как ключи и безопасные идентификаторы генерируются, назначаются и повторно используются.
Некоторым организациям следует рассмотреть вопрос о том, не представляет ли неприемлемый риск использование нескольких третьих сторон в их цепочке поставок для сохранения конфиденциальности информации о кодировании учетных данных RFID.
Проприетарные учетные данные RFID не только ограничивают возможности организации в отношении поставок, но и могут зависеть от недоказанной конструкции «безопасность через неясность», а не от строго проверенных открытых стандартов безопасности.
Стандартные технологии учетных данных RFID могут быть объединены с другими учетными данными безопасности смарт-карт в одной идентификационной карте для доступа к двери, входа в систему ИТ, безналичной торговли и других приложений идентификации и доступа. При правильном внедрении они могут значительно повысить общую безопасность и уменьшить потерю карт, «совместное использование» карт и «взлом дверей».
РЕЗЮМЕ
Современные стандарты технологии RFID действительно обеспечивают высоконадежные, легко управляемые и экономичные решения для приложений контроля доступа к дверям, но важно учитывать некоторые соответствующие стандарты и использование обширных функций безопасности.
Чтобы получить помощь в выборе наиболее подходящих учетных данных RFID для ваших требований к контролю физического доступа, обратитесь в Smartcard Focus. Благодаря высококвалифицированной внутренней группе исследований и разработок, обеспечивающей всестороннюю техническую поддержку, Smartcard Focus стала надежным источником множества различных технологий смарт-карт для клиентов по всему миру.
К сожалению, не всегда учитывается фактическая безопасность используемых RFID-карт доступа к дверям и брелоков, что приводит к широкому распространению небезопасных технологий карт, которые подвергают организации значительному риску. Эти же карты часто используются для других приложений, таких как печать конфиденциальных документов по требованию, без дальнейшего рассмотрения вопросов безопасности!
В настоящее время на eBay доступны недорогие портативные комплекты для дублирования карт, которые можно использовать для быстрого и простого создания клонов многих типов учетных данных RFID, используемых для доступа в здание. Также доступно другое оборудование, которое позволяет незаметно считывать карты доступа RFID на расстоянии, а их обмен данными перехватывается, эмулируется и даже ретранслируется через Интернет.
Старые стандарты учетных данных RFID полагаются на простой серийный номер чипа производителя или запрограммированный идентификационный номер, который не защищен от считывания любым считывающим устройством. Их также можно без ограничений копировать и перезаписывать на другую карту. Более поздние стандартные учетные данные RFID надежно хранят дополнительную идентификационную информацию, и ее можно будет прочитать только после взаимной аутентификации с авторизованными считывающими устройствами.
Эти новые технологии RFID-карт, как правило, основаны на безопасной технологии 13,56 МГц, регулируемой ISO-14443 или ISO-15693, некоторые с дополнительными уровнями шифрования данных и различными методами управления ключами шифрования.
| Технология | Серийный номер чипа (CSN / UID) | Запрограммированный идентификационный номер | Взаимная аутентификация и передача зашифрованных данных между картой и считывателем |
| 125 кГц EM / Prox и т. д. 13,56 МГц LEGIC Prime | Можно скопировать | Можно скопировать | X |
| MIFARE Classic | Можно скопировать | Можно скопировать | Некорректный |
| iCLASS SE / SEOS | ✓ | ✓ | ✓ |
| MIFARE DESFire EV1 / 2 | ✓ | ✓ | ✓ |
| LEGIC Advant | ✓ | ✓ | ✓ |
125 КГЦ EM / PROX + LEGIC PRIME
Эти технологии обеспечивают базовый уровень RFID-идентификации с использованием легко читаемых идентификационных номеров. Карточки и брелки можно легко клонировать и тиражировать даже без доступа к исходному физическому изделию.
13,56 МГЦ MIFARE CLASSIC
В дополнение к свободно читаемому серийному номеру микросхемы идентификационные данные могут храниться в фиксированных областях памяти (или блоках), защищенных паролем. Имеется простая система ключей для управления доступом для чтения и / или записи к каждому блоку, доступная с общим объемом хранилища 1 КБ или 4 КБ. Аутентификация и шифрованная связь между картой и считывателем основаны на некорректном алгоритме, что позволяет клонировать карты и брелоки.
13,56 МГЦ ICLASS SE / SEOS
Доступные с различной емкостью памяти от 256 до 16 Кбайт, более старые карты iCLASS SE используют собственный алгоритм шифрования HID, основанный на DES, с взаимной аутентификацией между картой и считывателем, в то время как iCLASS SEOS использует 128-битное шифрование AES и различные ключи сеанса. . Дополнительные уровни безопасности могут быть обеспечены за счет использования концепции Secure Identity Object компании HID, в то время как SEOS предназначена для обеспечения переносимости учетных данных, позволяя использовать общий идентификатор на платформах Android и IOS через NFC и Bluetooth, а также на смарт-картах. HID обычно владеет ключами доступа и шифрования и управляет ими.
13,56 МГЦ MIFARE DESFIRE EV1 / 2
Доступен с памятью 2K, 4K или 8K с гибкой файловой системой, которая может поддерживать до 28 (или для версии EV2 - неограниченное количество) различных приложений и до 32 файлов на одно приложение. Поддерживаемые стандарты безопасного открытого шифрования включают: 56-битный, 112-битный, 168-битный DES / 3K3DES или 128-битный AES с взаимной трехпроходной аутентификацией между картой и считывателем. Организации могут сами кодировать учетные данные DESFire, используя свои собственные индивидуальные ключи доступа и шифрования, тем самым избегая любой зависимости от третьих лиц для защиты критически важной информации о кодировании карт.
13,56 МГЦ LEGIC ADVANT
Доступен с памятью 256, 1K и 4K, что позволяет разместить до 12, 59 или 127 отдельных приложений. Опции шифрования хранимых данных включают шифрование AES128, AES256, 3DES и LEGIC с взаимной аутентификацией и шифрованием передачи данных между картой и считывателем с использованием различных алгоритмов в зависимости от выбранной карты. Доступны стандартные карты ISO 15693, которые обеспечивают расширенный диапазон считывания до 70 см, а виртуализированные учетные данные LEGIC Advant доступны для использования на других носителях, таких как кредитные карты и смартфоны NFC.
ДРУГИЕ СООБРАЖЕНИЯ БЕЗОПАСНОСТИ
Хотя карты часто печатают для использования в качестве удостоверения личности с фотографией, пользователям следует опасаться карт, на которых напечатана информация об идентификаторе контроля доступа. Идентификационные номера и другие напечатанные коды могут потенциально использоваться для создания или получения дубликатов учетных данных RFID, даже по фотографии карты.
Важно обеспечить полное использование функций защиты учетных данных RFID конкретной технологии, а не полагаться на стандартные конфигурации по умолчанию. Это означает, что нужно задавать вопросы о том, как ключи и безопасные идентификаторы генерируются, назначаются и повторно используются.
Некоторым организациям следует рассмотреть вопрос о том, не представляет ли неприемлемый риск использование нескольких третьих сторон в их цепочке поставок для сохранения конфиденциальности информации о кодировании учетных данных RFID.
Проприетарные учетные данные RFID не только ограничивают возможности организации в отношении поставок, но и могут зависеть от недоказанной конструкции «безопасность через неясность», а не от строго проверенных открытых стандартов безопасности.
Стандартные технологии учетных данных RFID могут быть объединены с другими учетными данными безопасности смарт-карт в одной идентификационной карте для доступа к двери, входа в систему ИТ, безналичной торговли и других приложений идентификации и доступа. При правильном внедрении они могут значительно повысить общую безопасность и уменьшить потерю карт, «совместное использование» карт и «взлом дверей».
РЕЗЮМЕ
Современные стандарты технологии RFID действительно обеспечивают высоконадежные, легко управляемые и экономичные решения для приложений контроля доступа к дверям, но важно учитывать некоторые соответствующие стандарты и использование обширных функций безопасности.
Чтобы получить помощь в выборе наиболее подходящих учетных данных RFID для ваших требований к контролю физического доступа, обратитесь в Smartcard Focus. Благодаря высококвалифицированной внутренней группе исследований и разработок, обеспечивающей всестороннюю техническую поддержку, Smartcard Focus стала надежным источником множества различных технологий смарт-карт для клиентов по всему миру.
