Hallo, mein Name ist Andrey und ich bin Angestellter einer der größten Verwaltungsgesellschaften des Landes. Es scheint, dass ein Mitarbeiter von Habré das erkennen kann? Nutzen Sie die Gebäude aus, die der Entwickler gebaut hat, und nichts Interessantes, aber das ist nicht so.
Die Verwaltungsgesellschaft hat beim Bau eines Hauses eine wichtige und verantwortungsvolle Funktion – die Entwicklung technischer Spezifikationen für den Bau. Es ist die Verwaltungsgesellschaft, die die Anforderungen vorgibt, die das fertige, gebaute ACS-System erfüllen wird.
In diesem Artikel möchte ich mich mit dem Thema der Schaffung technischer Voraussetzungen befassen, in deren Rahmen ein Haus mit einem ACS-System gebaut wird, das die Mifare Plus-Sicherheitsstufe SL3-Technologie mit Sektorverschlüsselung mit einem Sicherheitsschlüssel verwendet, der weder vom Entwickler noch vom Entwickler verwendet wird Weder der Auftragnehmer noch der Subunternehmer wissen davon.
Und eine der globalen Fragen ist auf den ersten Blick überhaupt nicht offensichtlich: Wie kann verhindert werden, dass der für die Verschlüsselung von Mifare Plus-Karten ausgewählte Verschlüsselungscode innerhalb der Hierarchie von Bauherren, Auftragnehmern, Lieferanten und anderen verantwortlichen Personen, die mit dem ACS-System arbeiten, durchsickert? Haus in der Phase vom Baubeginn bis zum Betrieb während der Nachgarantiezeit.
Die wichtigsten Technologien kontaktloser Karten heute:
- EM Marine (StandProx, ANGstrem, SlimProx, MiniTag) 125 kHz
- Mifare von NXP (Classic, Plus, UltraLight, DESfire) (Mifare 1k, 4k) 13,56 MHz
- HID-Hersteller HID Corporation (ProxCard II, ISOProx-II, ProxKey II) 125 kHz
- iCLASS und iCLASS SE (hergestellt von HID Corporation) 13,56 MHz
- Indala (Motorola), Nedap, Farpointe, Kantech, UHF (860-960 MHz)
Seit der Verwendung von Em-Marine in ACS-Systemen hat sich viel geändert, und wir haben kürzlich vom Mifare Classic SL1-Format auf das Mifare Plus SL3-Verschlüsselungsformat umgestellt.
Mifare Plus SL3 verwendet eine private Sektorverschlüsselung mit einem geheimen 16-Byte-Schlüssel im AES-Format. Für diese Zwecke wird der Chiptyp Mifare Plus verwendet.
Der Wechsel erfolgte aufgrund bekannter Schwachstellen im SL1-Verschlüsselungsformat. Nämlich:
Die Kryptographie der Karte ist gut erforscht. Wir haben eine Schwachstelle in der Implementierung des Pseudozufallszahlengenerators (PRNG) der Karte und eine Schwachstelle im CRYPTO1-Algorithmus gefunden. In der Praxis werden diese Schwachstellen bei folgenden Angriffen ausgenutzt:
- Dunkle Seite – der Angriff nutzt eine PRNG-Schwachstelle aus. Funktioniert auf MIFARE Classic-Karten bis zur Generation EV1 (in EV1 wurde die PRNG-Schwachstelle bereits behoben). Um anzugreifen, benötigen Sie nur eine Karte, Sie müssen die Schlüssel nicht kennen.
- Verschachtelt – Der Angriff nutzt die CRYPTO1-Schwachstelle aus. Da der Angriff auf Sekundärberechtigungen erfolgt, müssen Sie für den Angriff einen gültigen Kartenschlüssel kennen. In der Praxis werden für den Nullsektor häufig Standardschlüssel für die MAD-Bedienung verwendet – sie beginnen damit. Funktioniert für alle Karten auf CRYPTO1 (MIFARE Classic und seine Emulationen). Der Angriff wird im Artikel über die Schwachstelle der Plantain-Karte demonstriert
- Lauschangriff – Der Angriff nutzt die CRYPTO1-Schwachstelle aus. Um anzugreifen, müssen Sie die primäre Autorisierung zwischen dem Lesegerät und der Karte abhören. Dies erfordert spezielle Ausrüstung. Funktioniert für alle Karten, die auf CRYPTO1 (MIFARE Classic und seinen Emulationen) basieren.
Also: Die Verschlüsselung von Karten im Werk ist der erste Moment, in dem der Code verwendet wird, die zweite Seite ist das Lesegerät. Und wir vertrauen den Leserherstellern den Verschlüsselungscode nicht mehr an, einfach weil sie kein Interesse daran haben.
Jeder Hersteller verfügt über Tools zur Eingabe des Codes in das Lesegerät. Aber gerade in diesem Moment stellt sich das Problem, den Code-Durchsickern an Dritte gegenüber Auftragnehmern und Subunternehmern beim Aufbau des ACS-Systems zu verhindern. Den Code persönlich eingeben?
Hier gibt es Schwierigkeiten, da die Geographie der betriebenen Häuser in verschiedenen Regionen Russlands weit über die Region Moskau hinaus vertreten ist.
Und alle diese Häuser sind nach einem einzigen Standard und mit absolut derselben Ausstattung gebaut.
Bei der Analyse des Marktes für Mifare-Kartenleser konnte ich nicht viele Unternehmen finden, die mit modernen Standards arbeiten und Kartenkopierschutz bieten.
Heutzutage arbeiten die meisten Hardwarehersteller im UID-Lesemodus, der von jedem modernen Mobiltelefon mit NFC kopiert werden kann.
Einige Hersteller unterstützen ein moderneres SL1-Sicherheitssystem, das bereits 2008 kompromittiert wurde.
Und nur wenige Hersteller weisen hinsichtlich des Preis-Leistungs-Verhältnisses die besten technologischen Lösungen für die Arbeit mit der Mifare-Technologie im SL3-Modus auf, der es unmöglich macht, eine Karte zu kopieren und ihren Klon zu erstellen.
Der Hauptvorteil von SL3 in dieser Geschichte ist die Unmöglichkeit, Schlüssel zu kopieren. Eine solche Technologie gibt es heute nicht.
Auf die Risiken des Kartenkopierens bei einer Auflage von mehr als 200 Exemplaren werde ich gesondert eingehen.
- Risiken auf Seiten der Mieter: Sie vertrauen darauf, dass der „Meister“ eine Kopie des Schlüssels anfertigt, der Dump des Schlüssels des Mieters gelangt in seine Datenbank und der „Meister“ erhält die Möglichkeit, zum Eingang zu gehen und ihn sogar zu nutzen Parkplatz oder Stellplatz des Mieters.
- Kommerzielle Risiken: Wenn der Verkaufspreis der Karte 300 Rubel beträgt, ist der Marktverlust für den Verkauf zusätzlicher Karten kein geringer Verlust. Selbst wenn auf einem LCD ein „Master“ zum Kopieren von Schlüsseln erscheint, können sich die Verluste des Unternehmens auf Hunderttausende und Millionen Rubel belaufen.
- Nicht zuletzt die ästhetischen Eigenschaften: Absolut alle Kopien werden auf minderwertigen Discs erstellt. Ich denke, viele von Ihnen sind mit der Qualität des Originals vertraut.
Abschließend möchte ich sagen, dass nur eine gründliche Analyse des Gerätemarktes und der Wettbewerber es Ihnen ermöglicht, moderne und sichere ACS-Systeme zu schaffen, die den Anforderungen von 2019 gerecht werden, denn das ACS-System in einem Mehrfamilienhaus ist das einzige Niedrigpreissystem. aktuelles System, mit dem ein Bewohner mehrmals am Tag in Berührung kommt.
Source: habr.com