Pozdrav, moje ime je Andrey i zaposlenik sam jedne od najvećih kompanija za upravljanje u zemlji. Čini se, što može reći zaposlenik na Habréu? Iskoristite zgrade koje je programer izgradio i ništa zanimljivo, ali to nije tako.
Društvo za upravljanje ima jednu važnu i odgovornu funkciju u ulozi izgradnje kuće - to je izrada tehničkih specifikacija za izgradnju. Društvo za upravljanje postavlja zahtjeve koje će gotov, izgrađeni sustav kontrole pristupa zadovoljiti.
U ovom članku želim raspravljati o temi stvaranja tehničkih uvjeta unutar kojih se gradi kuća sa sustavom kontrole pristupa koji koristi tehnologiju Mifare Plus na SL3 sigurnosnoj razini sa sektorskom enkripcijom sa sigurnosnim ključem koji ni projektant ni izvođač ne , niti podizvođač ne zna.
A jedan od globalnih nije nimalo vidljiv na prvi pogled - kako spriječiti curenje enkripcijskog koda odabranog za šifriranje Mifare Plus kartica unutar stvarno izgrađene hijerarhije graditelja, izvođača, prodavača i drugih odgovornih osoba koje rade s kontrolom pristupa sustav kuće u fazi od početka izgradnje do rada u razdoblju nakon jamstva.
Glavne tehnologije beskontaktnih kartica danas:
- EM Marine (StandProx, ANGstrem, SlimProx, MiniTag) 125 KHz
- Mifare od NXP (Classic, Plus, UltraLight, DESfire) (Mifare 1k, 4k) 13,56 MHz
- HID proizvođač HID Corporation (ProxCard II, ISOProx-II, ProxKey II) 125 KHz
- iCLASS i iCLASS SE (proizvođač HID Corporation,) 13,56 MHz
- Indala (Motorolla), Nedap, Farpointe, Kantech, UHF (860-960 MHz)
Mnogo se toga promijenilo od dana korištenja Em-Marinea u sustavima kontrole pristupa, a nedavno smo prešli s formata Mifare Classic SL1 na format šifriranja Mifare Plus SL3.
Mifare Plus SL3 koristi enkripciju privatnog sektora s tajnim ključem od 16 bajta u AES formatu. U ove svrhe koristi se tip Mifare Plus čipa.
Prijelaz je izvršen zbog prisutnosti poznatih ranjivosti u SL1 formatu šifriranja. Naime:
Kriptografija kartice dobro je istražena. Pronađena je ranjivost u implementaciji generatora pseudoslučajnih brojeva kartice (PRNG) i ranjivost u algoritmu CRYPTO1. U praksi se te ranjivosti koriste u sljedećim napadima:
- Tamna strana - napad iskorištava PRNG ranjivost. Radi na MIFARE Classic karticama generacije do EV1 (u EV1 PRNG ranjivost je već popravljena). Za napad potrebna vam je samo karta; ne morate znati ključeve.
- Ugniježđeni – napad iskorištava ranjivost CRYPTO1. Napad se provodi na sekundarne autorizacije, pa je za napad potrebno znati jedan valjani ključ kartice. U praksi, za nulti sektor često koriste standardne ključeve za MAD rad - odatle počinju. Radi za sve kartice temeljene na CRYPTO1 (MIFARE Classic i njegova emulacija). Napad je prikazan u članku o ranjivosti kartice Podorozhnik
- Napad prisluškivanjem komunikacije – napad iskorištava ranjivost CRYPTO1. Za napad morate prisluškivati primarnu autorizaciju između čitača i kartice. Za to je potrebna posebna oprema. Radi za sve kartice temeljene na CRYPTO1 (MIFARE Classic i njegova emulacija.
Dakle: šifriranje kartica u tvornici je prva točka gdje se koristi kod, druga strana je čitač. Proizvođačima čitača više ne vjerujemo kod za šifriranje jednostavno zato što ih to ne zanima.
Svaki proizvođač ima alate za unos koda u čitač. No, upravo u ovom trenutku dolazi do problema sprječavanja curenja koda prema trećim stranama u vidu izvođača i podizvođača za izgradnju sustava kontrole pristupa. Unesite šifru osobno?
Ovdje postoje poteškoće, budući da je geografija kuća u upotrebi zastupljena u različitim regijama Rusije, daleko izvan granica Moskovske regije.
I sve su te kuće izgrađene prema istom standardu, koristeći potpuno istu opremu.
Analizirajući tržište Mifare čitača kartica, nisam uspio pronaći veliki broj tvrtki koje rade po modernim standardima koji pružaju zaštitu od kopiranja kartica.
Danas većina OEM-a radi u načinu čitanja UID-a, koji može kopirati bilo koji moderni mobilni telefon opremljen NFC-om.
Neki proizvođači podržavaju moderniji sigurnosni sustav SL1, koji je već bio kompromitiran još 2008. godine.
I samo nekoliko proizvođača pokazuje najbolja tehnološka rješenja u pogledu omjera cijene i kvalitete za rad s Mifare tehnologijom u SL3 načinu rada, što osigurava nemogućnost kopiranja kartice i stvaranja njezinog klona.
Ključna prednost SL3 u ovoj priči je nemogućnost kopiranja ključeva. Takva tehnologija danas ne postoji.
Zasebno ću vam reći o rizicima korištenja kopiranja kartica s nakladom većom od 200 primjeraka.
- Rizici stanara - povjeravanjem “majstoru” da će napraviti kopiju ključa, deponija stanarevog ključa završava u njegovoj bazi podataka, a “majstor” dobiva priliku otići do ulaza, pa čak i koristiti parkiralište ili parkirno mjesto stanara.
- Komercijalni rizici: s maloprodajnom cijenom kartice od 300 rubalja, gubitak tržišta za prodaju dodatnih kartica nije mali gubitak. Čak i ako se na jednom LCD-u pojavi "master" za kopiranje ključeva, gubici tvrtke mogu iznositi stotine tisuća i milijune rubalja.
- Posljednje, ali ne manje važno, estetska svojstva: apsolutno sve kopije izrađene su na praznim listovima niske kvalitete. Mislim da su mnogi od vas upoznati s kvalitetom originala.
Zaključno, želim reći da nam samo duboka analiza tržišta opreme i konkurenata omogućuje stvaranje modernih i sigurnih ACS sustava koji zadovoljavaju zahtjeve 2019., jer je ACS sustav u stambenoj zgradi jedini nisko- trenutnog sustava s kojim se stanovnik susreće nekoliko puta dnevno.
Izvor: www.habr.com