Контакты
Подписка
МЕНЮ
Контакты
Подписка

Под защитой MIFARE

В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Под защитой MIFARE

Бурно развивающаяся отрасль систем безопасности предоставляет пользователям технологии со всевозрастающей степенью защиты, но при этом на многих объектах, оснащенных СКУД, до сих пор применяются системы, плохо защищенные от несанкционированного доступа, например основанные на использовании технологии EM-Marine. Видимо, из-за их низкой стоимости или неосведомленности руководителей предприятий, где зачастую отсутствует служба безопасности. Попробуем разобраться и ответить на вопросы: "Что есть на рынке?, "Как это работает?", "Как используется в СКУД?" и "Как перейти на карты MIFARE?"
Екатерина Собкина
Инженер СКУД "Сфинкс" компании "Промавтоматика"

На рынке присутствует несколько альтернативных решений идентификации, самое распространенное из которых – технология MIFARE, ей и посвящена статья.

Что есть на рынке

Технология MIFARE (MIkron FARE-collection System) Standard 1K была разработана в 1994 г. австрийской фирмой Mikron, она стала основой для создания семейства RFID-устройств с рабочей частотой 13,56 МГц. Появление технологии было обусловлено необходимостью повышения уровня безопасности доступа и защиты карт от подделки и клонирования. Технология MIFARE соответствует требованиям стандарта ISO/IEC 14443 Type A, единственным владельцем торговой марки MIFARE является компания NXP Semiconductors (Нидерланды).

Отличия и защита
Под маркой MIFARE выпускается семейство чипов Smart-карт и устройств для считывания содержащейся в них информации. Взаимодействие карта–считыватель защищено использованием криптоалгоритмов от Crypto-1 до 3DES и AES, что делает его значительно надежнее, чем при использовании EM-Marine.

Микросхема MIFARE довольно мала и может одинаково успешно встраиваться как в пластиковую карточку, так и в брелок, браслет и т.п. Выпускаются также метки MIFARE с клейкой подложкой, позволяющие превратить что угодно в бесконтактную Smart-карту.

Чипы MIFARE дают возможность не только считывать, но и многократно перезаписывать информацию во внутреннюю память, что и является одним из основных их отличий от чипов EM-Marine.


Структура памяти чипа MIFARE имеет фиксированный объем и разделена на некоторое количество секторов, каждый из которых состоит из нескольких блоков данных и одного блока хранения ключей. Блоки данных становятся доступными для чтения или записи только при условии успешной авторизации по ключу. Ключи генерируются пользователем, и каждый сектор может иметь свои ключи доступа. Используя разные ключи, можно организовать разные права доступа к одному и тому же блоку данных. При записи разной информации в разные блоки появляется возможность применения одной и той же MIFARE-карты в разных системах, например в качестве пропуска на территорию, проездного билета и платежного средства одновременно.

Единственной незащищенной информацией этих чипов является их UID (серийный номер), который прошивается на заводе и не подлежит последующему изменению.

Линейка чипов
Компания NXP Semiconductors разработала несколько разновидностей микросхем MIFARE, отличающихся рядом параметров, и активно использует их как в СКУД, так и в системах учета рабочего времени, платного доступа, платежных системах и социальных проектах. Рассмотрим несколько вариантов, наиболее подходящих, на мой взгляд, для использования в СКУД. Карты MIFARE Classic получили наибольшую распространенность в линейке, но из-за невысокой степени защиты криптоалгоритма Crypto-1 существует возможность их подделки. Чипы MIFARE Plus и MIFARE DESFire же используют общепризнанные стойкие шифры AES и 3DES. Поэтому на объектах, где действуют повышенные требования к уровню безопасности, рекомендуется применение карт MIFARE Plus.

Помимо описанных микросхем в линейке MIFARE присутствуют еще несколько решений, ориентированных для использования в качестве идентификатора СКУД, – это MIFARE ID и MIFARE Mini, которые являются по сути урезанным по количеству секторов вариантом MIFARE Classic.

Поддельные чипы
MIFARE является интеллектуальной собственностью и зарегистрированной торговой маркой компанией NXP, поэтому только она имеет право выпускать чипы под этим наименованием. Существуют также производители (в основном китайские), выпускающие поддельные чипы, технически воспроизводящие работу MIFARE, например Fudan, Belling, ISSI, HuaHong и др. Такие карты имеют более низкую стоимость (порядка 10 руб.) и могут отличаться нестабильной работой.

Как это работает

В системах с использованием карт MIFARE идентификация может производиться по UID карты или по защищенному паролем значению, записанному в память карты. В первом варианте память карты не задействуется, и ни о какой защите данных говорить нельзя, поскольку UID MIFARE открыт, легко узнаваем и копируем так же, как и у EM-Marine.

Для настройки защищенного режима нужно, чтобы его поддерживала пара карта–считыватель. Только такая совокупность технических средств обеспечивает должную защиту информации. В случае использования других считывателей, равно как и поддерживающих MIFARE, но не настроенных после покупки, будет задействовано только чтение UID карты. Настройка считывателя включает в себя сообщение ему реквизитов доступа к памяти карты – информации, откуда из памяти читать идентификационные данные, какой ключ (пароль) для этого использовать. В зависимости от марки MIFARE-считывателя данная настройка выполняется либо предъявлением считывателю специальной карты программирования (мастер-карты), либо проводным подключением к компьютеру со специально установленным ПО. Создание мастер-карт, равно как и инициализация (эмиссия) карт доступа, осуществляется с помощью настольного USB-считывателя, подключенного к компьютеру со специальным ПО, позволяющим выполнить тонкую настройку используемых блоков данных и ключей шифрования. Поставка карт MIFARE от производителя осуществляется также с открытыми для чтения/записи блоками памяти и выключенной криптозащитой, поэтому процесс эмиссии является необходимым для работы системы в защищенном режиме.

Унекоторых производителей СКУД реализована глубокая интеграция работы с MIFARE, позволяющая в рамках одного программного интерфейса производить инициализацию мастер-карт и карт доступа без использования стороннего ПО, что исключает дополнительные сложности при работе, а также значительно упрощает схему настройки всей системы в целом. В результате работа с картами MIFARE для пользователя ведется не сложнее, чем с картами EM-Marine, однако уровень результирующей защиты получается значительно выше

Сколько это стоит

Для оценки существующих на рынке считывателей возьмем за основу типы карт, работу с которыми они поддерживают, и глубину работы с MIFARE. Цены приведены из расчета на 1 считыватель на октябрь 2015 г.

  1. Считыватели, работающие только с EM-Marine. Распространены и недороги – их стоимость начинается от 700 рублей.
  2. Считыватели, работающие только с UID MIFARE. По цене сопоставимы с предыдущими, не имеют поддержки защищенного режима с MIFARE. Не рекомендуются к подключению по интерфейсу Wiegand-26, поскольку в этом случае будет передаваться не весь UID, а только 3 байта, что может привести к дублированию номеров карт.
  3. Гибридные считыватели, работающие с EM-Marine и UID MIFARE. Используют два диапазона частот, стоят примерно от 2500 рублей, не имеют поддержки защищенного режима с MIFARE.
  4. Считыватели, работающие с UID MIFARE и MIFARE Classic в защищенном режиме (криптоалгоритм Crypto-1). В зависимости от модели настройка защищенного режима работы производится с помощью мастер-карты либо подключением к компьютеру. Стоимость начинается от 3000 руб.
  5. Считыватели, работающие в защищенном режиме с MIFARE Classic, MIFARE Plus и MIFARE DESFire (криптоалгоритмы Crypto-1, AES, 3DES). На их основе можно выстроить СКУД с очень высокой степенью безопасности. Стоимость начинается от 12 000 руб.
  6. Гибридные считыватели, работающие с EM-Marine и MIFARE Classic в защищенном режиме (криптоалгоритм Crypto-1). Могут использоваться для перехода от EM-Marine к MIFARE Classic. Выбор таких считывателей невелик.

Для расширения функциональности СКУД считыватели, поддерживающие работу с MIFARE-картами, могут дополнительно иметь: поддержку других форматов карт, считыватель биометрического признака, например отпечатка пальца, поддержку NFC или кодонаборную клавиатуру.

Как это используется в СКУД

При помощи специального ПО в сектор карты MIFARE записывается идентификатор. Доступ к этому сектору защищается уникальным ключом, который передается каждому из считывателей, установленных на объекте. В момент поднесения карты дверной считыватель обращается к соответствующему сектору памяти карты, предъявляя уникальный ключ. При совпадении ключей происходит считывание данных из памяти карты. Считанный идентификатор передается в контроллер, который, в свою очередь, принимает решение о предоставлении доступа.

Заводские настройки карт и считывателей необходимо изменить до начала использования на объекте. Известны на практике случаи, когда монтажные организации или производители карт для "удобства" конечного пользователя прошивают MIFARE-карты сами, не сообщая ключ владельцу объекта, что может привести к жесткой привязке пользователя к такой организации

NFC
Компания NXP Semiconductors является одним из основных разработчиков технологии NFC (Near Field Communication), повсеместно используемой в мобильных устройствах – телефонах и планшетах. При установке на устройство специального ПО, поставляемого некоторыми производителями СКУД, можно использовать его в качестве считывателя MIFARE- карты. Это дает возможность организовать мобильное рабочее место, на котором можно просматривать информацию о сотрудниках, фиксировать их проходы.

Биометрия
Применение карты MIFARE позволяет организовать в СКУД, использующих идентификацию по биометрическому признаку, хранение шаблона в памяти самой карты. Например, для дактилоскопических технологий идентификации объем памяти карты MIFARE позволяет хранить шаблоны нескольких отпечатков пальцев, при этом пропадает необходимость хранить шаблоны в памяти считывателя или обращаться за ними к базе данных системы. Монтаж и внедрение таких систем происходят быстрее и проще.

Беспроводные замковые системы
На базе беспроводных замковых систем и карт MIFARE существует возможность организации полноценной беспроводной СКУД. Во внутреннюю память карты записывается информация о правах доступа к конкретной точке, оборудованной беспроводным замком, а при совершении прохода соответствующее событие также записывается в память карты. В комбинированным системах, в которых реализована поддержка беспроводных замков наряду с обычными контроллерами, карты MIFARE будут универсальными идентификаторами для всех типов устройств.

Как перейти на карты MIFARE

Для перехода на использование карт MIFARE не нужно заменять весь комплекс устройств СКУД, замене подлежат только считыватели и карты доступа. При выборе считывателя следует понимать, какой уровень безопасности на объекте нужно организовать и какие карты будут при этом использоваться.

Некоторые производители предлагают в качестве миграционного решения для перехода от EM-Marine к MIFARE гибридные считыватели, однако эта продукция мало распространена и заметно дороже, что в пересчете на весь объект может оказаться экономически невыгодно.


Вывод напрашивается сам собой – технология MIFARE со временем стала распространеннее и доступнее, стоимость карт и считывателей в значительной степени приблизилась к стоимости устройств EM-Marine, а высокий уровень защиты позволяет смело переходить на применение MIFARE.

Для вузов распространенной практикой является переход на СКУД с использованием MIFARE за счет заинтересованной организации, например банка, который оплачивает стоимость карт и считывателей в обмен на использование этих же карт в качестве платежных

Опубликовано: Журнал "Системы безопасности" #5, 2015
Посещений: 15277

  Автор

Екатерина Собкина

Екатерина Собкина

Инженер СКУД "Сфинкс" компании "Промавтоматика"

Всего статей:  1

В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик  |  К списку авторов  |  К списку публикаций