Hallo, my naam is Andrey en ek is 'n werknemer van een van die grootste bestuursmaatskappye in die land. Dit wil voorkom, wat kan 'n werknemer op Habré vertel? Ontgin die geboue wat die ontwikkelaar gebou het en niks interessants nie, maar dit is nie so nie.
Die bestuursmaatskappy het een belangrike en verantwoordelike funksie in die rol van die bou van 'n huis - dit is die ontwikkeling van tegniese spesifikasies vir konstruksie. Dit is die bestuursmaatskappy wat die vereistes stel waaraan die voltooide, geboude toegangsbeheerstelsel sal voldoen.
In hierdie artikel wil ek graag die onderwerp bespreek van die skep van tegniese toestande waarbinne 'n huis gebou word met 'n toegangsbeheerstelsel wat Mifare Plus-tegnologie op die SL3-sekuriteitsvlak gebruik met sektorenkripsie met 'n sekuriteitsleutel wat nie die ontwikkelaar, nóg die kontrakteur nie. , en ook nie die subkontrakteur weet nie.
En een van die wêreldwye is met die eerste oogopslag glad nie voor die hand liggend nie - hoe om die lekkasie van die enkripsiekode wat gekies is vir die enkripteer van Mifare Plus-kaarte te voorkom binne die werklike geboude hiërargie van bouers, kontrakteurs, verkopers en ander verantwoordelike persone wat met die toegangsbeheer werk. stelsel van 'n huis in die stadium vanaf die begin van sy konstruksie tot in werking gedurende die na-waarborg tydperk.
Die belangrikste tegnologieë van kontaklose kaarte vandag:
- EM Marine (StandProx, ANGstrem, SlimProx, MiniTag)125 KHz
- Mifare van NXP (Classic, Plus, UltraLight, DESfire) (Mifare 1k, 4k) 13,56 MHz
- HID vervaardiger HID Corporation (ProxCard II, ISOProx-II, ProxKey II) 125 KHz
- iCLASS en iCLASS SE (vervaardig deur HID Corporation,) 13,56 MHz
- Indala (Motorolla), Nedap, Farpointe, Kantech, UHF (860-960 MHz)
Baie het verander sedert die dae van die gebruik van Em-Marine in toegangsbeheerstelsels, en ons het onlangs oorgeskakel van die Mifare Classic SL1-formaat na die Mifare Plus SL3-enkripsieformaat.
Mifare Plus SL3 gebruik privaatsektor-enkripsie met 'n geheime 16-grepe sleutel in AES-formaat. Vir hierdie doeleindes word die Mifare Plus-skyfietipe gebruik.
Die oorgang is gemaak as gevolg van die teenwoordigheid van bekende kwesbaarhede in die SL1-enkripsieformaat. Naamlik:
Die kriptografie van die kaart is goed nagevors. 'n Kwesbaarheid is gevind in die implementering van die kaart se pseudo-ewekansige getalgenerator (PRNG) en 'n kwesbaarheid in die CRYPTO1-algoritme. In die praktyk word hierdie kwesbaarhede in die volgende aanvalle gebruik:
- Donker kant - die aanval buit die PRNG-kwesbaarheid uit. Werk op MIFARE Classic-kaarte van generasie tot EV1 (in EV1 is die PRNG-kwesbaarheid reeds reggestel). Om aan te val, het jy net 'n kaart nodig, jy hoef nie die sleutels te ken nie.
- Geneste – die aanval buit die CRYPTO1-kwesbaarheid uit. Die aanval word uitgevoer op sekondêre magtigings, so vir die aanval moet jy een geldige kaartsleutel ken. In die praktyk, vir die nul-sektor gebruik hulle dikwels standaardsleutels vir MAD-werk - dit is waar hulle begin. Werk vir enige kaarte gebaseer op CRYPTO1 (MIFARE Classic en sy emulasie). Die aanval word gedemonstreer in die artikel oor die kwesbaarheid van die Podorozhnik-kaart
- Kommunikasie-afluisteraanval – die aanval ontgin die CRYPTO1-kwesbaarheid. Om aan te val, moet jy die primêre magtiging tussen die leser en die kaart afluister. Dit vereis spesiale toerusting. Werk vir enige kaarte gebaseer op CRYPTO1 (MIFARE Classic en sy emulasie.
Dus: enkripsie van kaarte by die fabriek is die eerste punt waar die kode gebruik word, die tweede kant is die leser. En ons vertrou nie meer die leservervaardigers met die enkripsiekode bloot omdat hulle nie daarin belangstel nie.
Elke vervaardiger het gereedskap om die kode in die leser in te voer. Maar dit is juis op hierdie oomblik dat die probleem ontstaan om kodelekkasie aan derde partye te voorkom in die vorm van kontrakteurs en subkontrakteurs vir die bou van 'n toegangsbeheerstelsel. Voer die kode persoonlik in?
Daar is probleme hier, aangesien die geografie van die huise wat gebruik word, verteenwoordig word in verskeie streke van Rusland, ver buite die grense van die Moskou-streek.
En al hierdie huise word volgens dieselfde standaard gebou, met absoluut dieselfde toerusting.
Deur die mark vir Mifare-kaartlesers te ontleed, kon ek nie 'n groot aantal maatskappye vind wat met moderne standaarde werk wat beskerming bied teen kaartkopieer nie.
Vandag werk die meeste OEM's in UID-leesmodus, wat deur enige moderne NFC-toegeruste selfoon gekopieer kan word.
Sommige vervaardigers ondersteun 'n meer moderne sekuriteitstelsel SL1, wat reeds in 2008 gekompromitteer is.
En net sommige vervaardigers demonstreer die beste tegnologiese oplossings in terme van prys/kwaliteit-verhouding om met Mifare-tegnologie in SL3-modus te werk, wat die onmoontlikheid verseker om 'n kaart te kopieer en sy kloon te skep.
Die belangrikste voordeel van SL3 in hierdie storie is die onvermoë om sleutels te kopieer. Sulke tegnologie bestaan nie vandag nie.
Ek sal u afsonderlik vertel van die risiko's van die gebruik van kaartkopieer met 'n sirkulasie van meer as 200 000 kopieë.
- Risiko's aan die kant van inwoners - deur die "meester" te vertrou om 'n afskrif van die sleutel te maak, beland die storting van die inwoner se sleutel in sy databasis, en kry die "meester" die geleentheid om na die ingang te gaan, en selfs te gebruik die inwoner se parkeerterrein of parkeerplek.
- Kommersiële risiko's: met 'n kleinhandelkaartkoste van 300 roebels, is die verlies van die mark vir die verkoop van bykomende kaarte nie 'n klein verlies nie. Selfs as 'n "meester" vir die kopiëring van sleutels op een LCD verskyn, kan die maatskappy se verliese honderde duisende en miljoene roebels beloop.
- Laaste maar nie die minste nie, estetiese eienskappe: absoluut alle kopieë word op lae-gehalte spasies gemaak. Ek dink baie van julle is vertroud met die kwaliteit van die oorspronklike.
Ten slotte wil ek sê dat slegs 'n diepgaande ontleding van die toerustingmark en mededingers ons in staat stel om moderne en veilige ACS-stelsels te skep wat aan die vereistes van 2019 voldoen, want dit is die ACS-stelsel in 'n woonstelgebou wat die enigste lae- huidige stelsel wat 'n inwoner verskeie kere per dag teëkom.
Bron: will.com