您好,我叫安德烈,是該國最大的管理公司之一的員工。 哈布雷的一名員工似乎能看出來? 利用開發商建造的建築物並沒有什麼有趣的,但事實並非如此。
管理公司在建造房屋方面有一項重要且負責的職能 - 這就是製定建築技術規範。 管理公司提出了已建成的 ACS 系統將滿足的要求。
在本文中,我想討論創建技術條件的主題,在該框架內使用 ACS 系統建造房屋,該系統使用 Mifare Plus 安全級別 SL3 技術,採用扇區加密技術,安全密鑰既不是開發商也不是承包商和分包商都不知道。
其中一個全球性的問題乍一看並不明顯 - 如何防止在建築商、承包商、供應商和其他與 ACS 系統一起工作的負責人的層次結構中洩露為 Mifare Plus 卡加密而選擇的加密代碼。房屋從開始建設到保修期後運行的階段。
當今非接觸式卡的主要技術:
- EM Marine(StandProx、ANGstrem、SlimProx、MiniTag)125 kHz
- NXP 的 Mifare(Classic、Plus、UltraLight、DESfire)(Mifare 1k、4k)13,56 MHz
- HID 製造商 HID Corporation(ProxCard II、ISOProx-II、ProxKey II) 125 kHz
- iCLASS 和 iCLASS SE(由 HID Corporation 製造)13,56 MHz
- Indala(摩托羅拉)、Nedap、Farpointe、Kantech、UHF(860-960 MHz)
自從 Em-Marine 用於 ACS 系統以來,發生了很多變化,我們最近從 Mifare Classic SL1 格式切換到 Mifare Plus SL3 加密格式。
Mifare Plus SL3 使用帶有 AES 格式秘密 16 字節密鑰的私營部門加密。 為此,使用 Mifare Plus 芯片類型。
該轉換是由於 SL1 加密格式中的已知漏洞而進行的。 即:
該卡的密碼學已得到充分研究。 我們發現了地圖偽隨機數生成器 (PRNG) 實現中的漏洞以及 CRYPTO1 算法中的漏洞。 實際上,這些漏洞被用於以下攻擊:
- 黑暗面——攻擊利用了 PRNG 漏洞。 適用於 EV1 代之前的 MIFARE Classic 卡(在 EV1 中,PRNG 漏洞已得到修復)。 攻擊時,你只需要一張地圖,不需要知道鑰匙。
- 嵌套 - 攻擊利用 CRYPTO1 漏洞。 該攻擊是針對二級授權進行的,因此對於攻擊,您需要知道一個有效的卡密鑰。 在實踐中,對於零扇區,標準密鑰通常用於 MAD 操作 - 他們從它開始。 適用於 CRYPTO1 上的任何卡(MIFARE Classic 及其仿真)。 有關車前草卡漏洞的文章中演示了該攻擊
- 監聽攻擊 - 該攻擊利用 CRYPTO1 漏洞。 要進行攻擊,您需要竊聽讀卡器和卡之間的主要授權。 這需要特殊的設備。 適用於任何基於 CRYPTO1(MIFARE Classic 及其仿真)的卡。
所以:卡在工廠的加密首先是使用代碼,其次才是讀卡器。 我們不再信任讀卡器製造商提供加密代碼,僅僅是因為他們對此不感興趣。
每個製造商都有用於將代碼輸入閱讀器的工具。 但正是在這個時候,面對ACS系統建設的承包商和分包商,防止代碼洩露給第三方的問題就出現了。 親自輸入代碼嗎?
這裡存在一些困難,因為經營房屋的地理位置分佈在俄羅斯的各個地區,遠遠超出了莫斯科地區。
所有這些房屋都是按照單一標準、使用完全相同的設備建造的。
通過分析 Mifare 讀卡器市場,我無法找到大量採用現代標準提供卡複製保護的公司。
如今,大多數硬件製造商都在 UID 讀取模式下工作,任何具有 NFC 功能的現代手機都可以復制該模式。
一些製造商支持更現代的 SL1 安全系統,該系統早在 2008 年就已經受到損害。
而且只有少數製造商展示了在 SL3 模式下使用 Mifare 技術的最佳性價比技術解決方案,這使得複制卡並創建其克隆變得不可能。
在這個故事中,SL3 的主要優勢是無法複製密鑰。 如今這樣的技術還不存在。
我單獨講一下發行量超過200萬張的複印卡的風險。
- 租戶方面的風險 - 信任“主人”複製鑰匙,租戶鑰匙的轉儲進入他的數據庫,“主人”有機會走到入口處,甚至使用租戶的停車場或停車位。
- 商業風險:如果該卡的零售價為300盧布,則附屬卡銷售市場的損失是不小的損失。 即使一台液晶顯示屏上出現複製鑰匙的“大師”,該公司的損失也可能達到數十萬、數百萬盧布。
- 最後但並非最不重要的一點是美學特性:絕對所有副本都是在低質量光盤上製作的。 我想你們很多人都熟悉原版的質量。
總之,我想說,只有對設備市場和競爭對手進行深入分析,才能創建滿足 2019 年要求的現代化、安全的 ACS 系統,因為公寓樓中的 ACS 系統是唯一低能耗的。居民一天會遇到幾次當前的系統。
來源: www.habr.com