Tere, minu nimi on Andrey ja ma olen riigi ühe suurima haldusfirma töötaja. Näib, mida saab Habré töötaja öelda? Kasutage hooneid, mille arendaja ehitas, ja mitte midagi huvitavat, kuid see pole nii.
Haldusettevõttel on maja ehitamise rollis üks oluline ja vastutusrikas funktsioon - see on ehituse tehniliste kirjelduste väljatöötamine. Haldusfirma on see, kes esitab nõuded, millele valmis ehitatud läbipääsusüsteem vastab.
Selles artiklis tahaksin arutleda tehniliste tingimuste loomise teemal, mille raames maja ehitatakse läbipääsusüsteemiga, mis kasutab Mifare Plus tehnoloogiat SL3 turbetasemel koos sektorkrüptimisega turvavõtmega, mida ei arendaja ega töövõtja. , ega alltöövõtja ei tea.
Ja üks globaalsetest pole esmapilgul ilmselge – kuidas vältida Mifare Plus kaartide krüptimiseks valitud krüpteerimiskoodi lekkimist ehitajate, töövõtjate, müüjate ja muude juurdepääsukontrolliga töötavate vastutavate isikute tegelikus ehitatud hierarhias. maja süsteem selle ehitamise staadiumis kuni garantiijärgse kasutuseni.
Kontaktivabade kaartide peamised tehnoloogiad tänapäeval:
- EM Marine (StandProx, ANGstrem, SlimProx, MiniTag) 125 KHz
- Mifare NXP-st (Classic, Plus, UltraLight, DESfire) (Mifare 1k, 4k) 13,56 MHz
- HID tootja HID Corporation (ProxCard II, ISOProx-II, ProxKey II) 125 KHz
- iCLASS ja iCLASS SE (tootja HID Corporation) 13,56 MHz
- Indala (Motorolla), Nedap, Farpointe, Kantech, UHF (860–960 MHz)
Alates Em-Marine'i kasutamisest juurdepääsukontrollisüsteemides on palju muutunud ja hiljuti läksime Mifare Classic SL1 vormingult üle Mifare Plus SL3 krüpteerimisvormingule.
Mifare Plus SL3 kasutab erasektori krüptimist salajase 16-baidise võtmega AES-vormingus. Nendel eesmärkidel kasutatakse Mifare Plus kiibi tüüpi.
Üleminek tehti SL1 krüpteerimisvormingus teadaolevate haavatavuste olemasolu tõttu. Nimelt:
Kaardi krüptograafia on hästi läbi uuritud. Haavatavus leiti kaardi pseudojuhuslike numbrite generaatori (PRNG) juurutamisel ja haavatavus algoritmis CRYPTO1. Praktikas kasutatakse neid turvaauke järgmiste rünnakute puhul:
- Tume pool – rünnak kasutab ära PRNG haavatavust. Töötab kuni EV1 põlvkonna MIFARE Classic kaartidel (EV1-s on PRNG haavatavus juba parandatud). Rünnakuks on vaja ainult kaarti, võtmeid ei pea teadma.
- Pesastatud – rünnak kasutab CRYPTO1 haavatavust. Rünnak viiakse läbi sekundaarsetel autoriseeringutel, seega peate rünnaku jaoks teadma üht kehtivat kaardivõtit. Praktikas kasutavad nad nullsektori jaoks sageli MAD-i tööks standardklahve – sealt nad algavad. Töötab kõigi kaartidega, mis põhinevad CRYPTO1-l (MIFARE Classic ja selle emulatsioon). Rünnakut demonstreeritakse Podorozhniku kaardi haavatavust käsitlevas artiklis
- Side pealtkuulamise rünnak – rünnak kasutab CRYPTO1 haavatavust. Rünnakuks peate pealt kuulama lugeja ja kaardi vahelist esmast autoriseerimist. See nõuab spetsiaalset varustust. Töötab kõigi kaartidega, mis põhinevad CRYPTO1-l (MIFARE Classic ja selle emulatsioon.
Seega: kaartide krüpteerimine tehases on esimene punkt, kus koodi kasutatakse, teine pool on lugeja. Ja me ei usalda enam krüpteerimiskoodi lugejate tootjatele lihtsalt seetõttu, et nad pole sellest huvitatud.
Igal tootjal on olemas tööriistad koodi lugejasse sisestamiseks. Kuid just sel hetkel kerkib probleem, et vältida koodide lekkimist kolmandatele isikutele juurdepääsukontrollisüsteemi ehitamise töövõtjate ja alltöövõtjate näol. Kas sisestada kood isiklikult?
Siin on raskusi, kuna kasutatavate majade geograafia on esindatud Venemaa erinevates piirkondades, kaugel Moskva piirkonna piiridest.
Ja kõik need majad on ehitatud samale standardile, kasutades absoluutselt samu seadmeid.
Mifare kaardilugejate turgu analüüsides ei õnnestunud mul leida suurt hulka ettevõtteid, kes töötavad kaasaegsete standarditega, mis pakuvad kaitset kaardi kopeerimise eest.
Tänapäeval töötab enamik originaalseadmete tootjaid UID lugemisrežiimis, mida saab kopeerida iga kaasaegse NFC-ga varustatud mobiiltelefoniga.
Mõned tootjad toetavad moodsamat turvasüsteemi SL1, mis rikuti juba 2008. aastal.
Ja ainult vähesed tootjad demonstreerivad hinna ja kvaliteedi suhte osas parimaid tehnoloogilisi lahendusi Mifare tehnoloogiaga töötamiseks SL3 režiimis, mis tagab kaardi kopeerimise ja selle klooni loomise võimatuse.
SL3 peamine eelis selles loos on võimetus võtmeid kopeerida. Sellist tehnoloogiat tänapäeval ei eksisteeri.
Eraldi räägin üle 200 000 eksemplari tiraažiga kaardikopeerimise kasutamise riskidest.
- Elanikepoolsed riskid - usaldades võtmest koopia “peremehele”, satub elaniku võtme prügimägi tema andmebaasi ning “peremees” saab võimaluse minna sissepääsu juurde ja isegi kasutada elaniku parkla või parkimiskoht.
- Äririskid: 300-rublase jaemüügikaardi maksumusega ei ole lisakaartide müügi turu kaotus väike kaotus. Isegi kui ühele LCD-ekraanile ilmub võtmete kopeerimise “meister”, võivad ettevõtte kahjud ulatuda sadade tuhandete ja miljonite rubladeni.
- Viimane, kuid mitte vähem oluline, esteetilised omadused: absoluutselt kõik koopiad on tehtud madala kvaliteediga toorikutele. Arvan, et paljud teist on originaali kvaliteediga tuttavad.
Kokkuvõtteks tahan öelda, et vaid seadmeturu ja konkurentide süvaanalüüs võimaldab meil luua kaasaegseid ja ohutuid 2019. aasta nõuetele vastavaid ACS-süsteeme, sest just kortermaja ACS-süsteem on ainus madal- praegune süsteem, millega elanik mitu korda päevas kokku puutub.
Allikas: www.habr.com