legic карта что это
Безопасность СКУД: технологии идентификации и форматы карт
Одним из ключевых критериев оценки СКУД является безопасность на всех уровнях цепочки идентификатор – считыватель – контроллер – сервер – удаленное рабочее место. В данной статье мы рассмотрим наиболее актуальный вопрос – безопасность передачи данных от идентификатора к считывателю.
Идентификаторы как часть нашей жизни
Сложно представить современный мир без контактных и бесконтактных технологий идентификации. Использование банковских карт (с магнитной полосой, карты с чипом EMV, бесконтактные платежи PayPass, payWave); RFID-карты для транспорта, сферы развлечений и программ лояльности: выдача полисов ОМС и социальных карт москвича и, конечно же, карты физического доступа и логического доступа к компьютеру и ИТ-ресурсам компании – наиболее яркие примеры повсеместного применения идентификаторов
Существующие технологии на участке коммуникаций между считывателем и картой
Если взглянуть на историю развития систем контроля доступа, мы увидим, что первые из них, использующие электронно-вычислительную технику, были применены еще в конце XIX века в виде электрических табулирующих систем Hollerith technology, в которых вместо современных считывателей и карт использовались табуляторы и перфокарты.
На сегодняшний день благодаря естественному прогрессу на смену огромным машинам (табуляторам) и картону (перфокарта) пришли компактные высокотехнологичные устройства.
Остановимся на более распространенных радиочастотных технологиях с частотой 125 КГц (EM Marine, HID Prox, Indala) и 13,56 МГц (Mifare DESFire, iCLASS SE)
Уязвимость технологий считывания
Как правило, уязвимость оценивают по трем основным угрозам, выявленным в процессе эксплуатации бесконтактных карт: повторное воспроизведение, клонирование и конфиденциальность данных. Cм. таб. 1.
Исходя из таблицы, можно сделать вывод, что среди всех радиочастотных технологий карты 125 кГц наиболее уязвимы с точки зрения уровня безопасности в связи с возможностями:
Рассмотрим основные способы защиты от угроз, заложенные в алгоритм работы смарт-карт. Обратная связь между устройствами является ключевым вопросом обеспечения безопасной идентификации в цепочке карта – считыватель.
| Угроза безопасности | ||||
| Повторное воспроизведение | Клонирование | Конфиденциальность данных | Дополнительный уровень безопасности | |
| Защита от угроз | ||||
| Взаимная аутентификация | Диверсификация ключа | Шифрование DES, 3DES, AES | Привязка к UID/CSN, CMAC 96 | |
| Технология RFID | ||||
| EM Marine | Нет | Нет | Нет | Нет |
| Mifare | Да, но открытая | Нет | Нет | Нет |
| DESFire EV1 | Да | Да | Да | Нет данных |
| iCLASS SE | Да | Да | Да | Да |
Карта, попадая в зону считывания, предоставляет ридеру свой уникальный номер CSN и сгенерированный 16-битный случайный номер. В ответ считыватель, используя Hashалгоритм, создает диверсификационный ключ, который должен совпасть с ключом, записанным на карте. При совпадении карта и считыватель обмениваются 32-битными откликами, после чего считыватель «принимает» решение о валидности карты.
Таким образом, защита карт 13,56 МГц от обозначенных выше угроз обеспечивается за счет взаимной аутентификации между картой и считывателем, процесс которой происходит в зашифрованном виде с формированием и подтверждением ключа диверсификации.
Однако идентификатор сегодня – это больше, чем пропуск в помещение. Сегодня все чаще используется единый идентификатор, который обеспечивает доступ как в здание и служебные помещения, так и к корпоративной информации и управлению ИТ-средой. Это требует от производителя карт дополнительных мер для обеспечения безопасной идентификации.
Среди них следует выделить технологию Secure Identity Object™ (SIO), которая обеспечивает многоуровневую защиту данных и представляет собой электронный контейнер для хранения данных в любом из форматов карт.
Вкратце о технологии: во время кодирования карты происходит привязка к уникальному идентификатору носителя UID с последующим заверением записанной информации электронной подписью. Присвоение UID и наличие электронной подписи исключают возможность копирования информации и взлома защиты карты.
Определяемся с форматом карт
Формат бесконтактной карты доступа определяет количество бит и способ их комбинирования, к примеру, карта формата EM4100 (EM Marine) работает на частоте 125 кГц и содержит уникальный номер длиной в 40 бит, который присваивается в дальнейшем пользователю.
Все старательно избегают этого вопроса, хотя ответ на него имеет первостепенную важность при выборе и программировании любых средств доступа.
Немаловажным критерием безопасности карт как носителей информации является культура их производства, отношение владельца технологии к организации процесса выпуска.
В отличие от EM4100 представленные на рынке смарт-карты могут содержать несколько областей памяти, серийный номер CSN, номер и серию (или фасилити код), а также другую служебную информацию. Так, корпорация HID Global предлагает различные форматы карт, на каждом из которых могут содержаться различные технологии безопасности. См. таб. 2.
Выбор формата имеет серьезное значение как для работы системы, так и для ее безопасности. Что такое формат?
Формат – это структура данных, хранящихся в памяти средства доступа. По своей сути это набор двоичных цифр (бит), в определенном порядке образующих двоичное число, которое система контроля преобразует в код доступа. Количество единиц и нулей и способ их комбинирования определяют формат, в котором зашифрован код доступа.
Так, 26-битный открытый формат H10301 допускает 255 кодов объекта (фасилити кодов), в каждом из которых возможны 65 535 комбинаций номеров карт. При этом производитель не контролирует и не ограничивает производство карт данного формата, что увеличивает риск их дублирования.
В отличие от формата H10301 формат H10304 имеет 37-битную длину кода и позволяет задавать 65 535 кодов объектов и более 500 000 номеров карт для каждого кода объекта, что существенно увеличивает диапазон карт. Помимо этого производитель отслеживает производство этих карт.
Формат Corporate 1000 представляет собой 35-битный формат, разработанный как собственный закрытый формат для крупных компаний.
Таким образом, при выборе технологии идентификации для организации системы СКУД рекомендуем обратить внимание на форматы карт. Выбор и использование того или иного формата также оказывает влияние на общий уровень безопасности системы.
| Формат | ||||
| Технология RFID | H10301 | H10302 | H10304 | Corporate 1000 |
| Prox | √ | √ | √ | √ |
| Indala | √ | √ | √ | √ |
| iCLASS | √ | √ | √ | √ |
| iCLASS SE | √ | √ | √ | √ |
| SeoS | √ | √ | √ | √ |
Преемственность и совместимость технологий
Под преемственностью технологий принято понимать поддержку со стороны производителя ранее выпущенных продуктов и возможность работы старых и новых технологий в рамках одной системы.
Все преимущества преемственности технологий проявляются во время модернизации или масштабирования точек доступа или функционала системы. При этом в рамках СКУД стоит рассматривать преемственность как со стороны аппаратной части (поддержка или перепрошивка считывателей и контроллеров, одновременное использование карт), так и программного обеспечения.
Как правило, в процессе модернизации или расширения систем контроля доступа применима одна из схем: полная или частичная замена оборудования, полная или частичная замена программной части. При частичной замене оборудования, как правило, используют мультиформатные (комбинированные считыватели) и/или мультиформатные карты доступа. Таким образом, преемственность технологий обеспечивает оптимальный способ последующего апгрейда системы без полной замены аппаратной части системы.
Совместимость технологий разных производителей позволяет использовать различные технологии и форматы идентификаторов в рамках одной системы. Как правило, это оптимальное решение для объектов, на которых уже используются определенные технологии, функционирует система, и процесс миграции на новые технологии осуществляется поэтапно без остановки процессов на предприятии.
Резюме
Идентификаторы в системе в СКУД сегодня – это больше чем «таблетки» Touch Memory и proximity карты. Вопрос защищенности технологий идентификации не менее актуален, чем анализ и оценка функционала и возможностей системы на уровне ПО.
Помимо традиционных способов защиты карт – взаимной аутентификации устройств, шифрования данных и использования ключей диверсификации – на рынке представлены решения, обеспечивающие дополнительный уровень безопасности при передаче данных от идентификатора к считывателю. Одно из решений – платформа SIO, получившая распространение в устройствах iClass SE.
Дополнительным критерием выбора технологии идентификации является формат карты. Отдельным вопросом является защищенность формата производителем, а также культура производства карт.
Преемственность технологий, которую обеспечивает производитель в процессе эволюции своих решений, и совместимость технологий разных производителей, которую можно организовать в рамках одной системы, – это концептуальные вещи, которые необходимо учитывать как при выборе и монтаже системы СКУД с нуля, так и для организации процессов модернизации действующих систем контроля доступа, их расширения и встраивания в бизнес-процессы компании.
Владимир Нарожный,
руководитель направления брендинга и интегрированных маркетинговых коммуникаций
Юрий Кондратьев,
менеджер по системам безопасности TerraLink
Безопасность СКУД: технологии идентификации и форматы карт
Одним из ключевых критериев оценки СКУД является безопасность на всех уровнях цепочки идентификатор – считыватель – контроллер – сервер – удаленное рабочее место. В данной статье мы рассмотрим наиболее актуальный вопрос – безопасность передачи данных от идентификатора к считывателю.
Идентификаторы как часть нашей жизни
Сложно представить современный мир без контактных и бесконтактных технологий идентификации. Использование банковских карт (с магнитной полосой, карты с чипом EMV, бесконтактные платежи PayPass, payWave); RFID-карты для транспорта, сферы развлечений и программ лояльности: выдача полисов ОМС и социальных карт москвича и, конечно же, карты физического доступа и логического доступа к компьютеру и ИТ-ресурсам компании – наиболее яркие примеры повсеместного применения идентификаторов
Существующие технологии на участке коммуникаций между считывателем и картой
Если взглянуть на историю развития систем, мы увидим, что первые из них, использующие электронно-вычислительную технику, были применены еще в конце XIX века в виде электрических табулирующих систем Hollerith technology, в которых вместо современных считывателей и карт использовались табуляторы и перфокарты.
На сегодняшний день благодаря естественному прогрессу на смену огромным машинам (табуляторам) и картону (перфокарта) пришли компактные высокотехнологичные устройства.
Остановимся на более распространенных радиочастотных технологиях с частотой 125 КГц (EM Marine, HID Prox, Indala) и 13,56 МГц (Mifare DESFire, iCLASS SE)
Уязвимость технологий считывания
Как правило, уязвимость оценивают по трем основным угрозам, выявленным в процессе эксплуатации бесконтактных карт: повторное воспроизведение, клонирование и конфиденциальность данных. Cм. таб. 1.
Исходя из таблицы, можно сделать вывод, что среди всех радиочастотных технологий карты 125 кГц наиболее уязвимы с точки зрения уровня безопасности в связи с возможностями:
Рассмотрим основные способы защиты от угроз, заложенные в алгоритм работы смарт-карт. Обратная связь между устройствами является ключевым вопросом обеспечения безопасной идентификации в цепочке карта – считыватель.
| Угроза безопасности | ||||
| Повторное воспроизведение | Клонирование | Конфиденциальность данных | Дополнительный уровень безопасности | |
| Защита от угроз | ||||
| Взаимная аутентификация | Диверсификация ключа | Шифрование DES, 3DES, AES | Привязка к UID/CSN, CMAC 96 | |
| Технология RFID | ||||
| EM Marine | Нет | Нет | Нет | Нет |
| Mifare | Да, но открытая | Нет | Нет | Нет |
| DESFire EV1 | Да | Да | Да | Нет данных |
| iCLASS SE | Да | Да | Да | Да |
Карта, попадая в зону считывания, предоставляет ридеру свой уникальный номер CSN и сгенерированный 16-битный случайный номер. В ответ считыватель, используя Hashалгоритм, создает диверсификационный ключ, который должен совпасть с ключом, записанным на карте. При совпадении карта и считыватель обмениваются 32-битными откликами, после чего считыватель «принимает» решение о валидности карты.
Таким образом, защита карт 13,56 МГц от обозначенных выше угроз обеспечивается за счет взаимной аутентификации между картой и считывателем, процесс которой происходит в зашифрованном виде с формированием и подтверждением ключа диверсификации.
Однако идентификатор сегодня – это больше, чем пропуск в помещение. Сегодня все чаще используется единый идентификатор, который обеспечивает доступ как в здание и служебные помещения, так и к корпоративной информации и управлению ИТ-средой. Это требует от производителя карт дополнительных мер для обеспечения безопасной идентификации.
Среди них следует выделить технологию Secure Identity Object™ (SIO), которая обеспечивает многоуровневую защиту данных и представляет собой электронный контейнер для хранения данных в любом из форматов карт.
Вкратце о технологии: во время кодирования карты происходит привязка к уникальному идентификатору носителя UID с последующим заверением записанной информации электронной подписью. Присвоение UID и наличие электронной подписи исключают возможность копирования информации и взлома защиты карты.
Определяемся с форматом карт
Формат бесконтактной карты доступа определяет количество бит и способ их комбинирования, к примеру, карта формата EM4100 (EM Marine) работает на частоте 125 кГц и содержит уникальный номер длиной в 40 бит, который присваивается в дальнейшем пользователю.
Все старательно избегают этого вопроса, хотя ответ на него имеет первостепенную важность при выборе и программировании любых средств доступа.
Немаловажным критерием безопасности карт как носителей информации является культура их производства, отношение владельца технологии к организации процесса выпуска.
В отличие от EM4100 представленные на рынке смарт-карты могут содержать несколько областей памяти, серийный номер CSN, номер и серию (или фасилити код), а также другую служебную информацию. Так, корпорация HID Global предлагает различные форматы карт, на каждом из которых могут содержаться различные технологии безопасности. См. таб. 2.
Выбор формата имеет серьезное значение как для работы системы, так и для ее безопасности. Что такое формат?
Формат – это структура данных, хранящихся в памяти средства доступа. По своей сути это набор двоичных цифр (бит), в определенном порядке образующих двоичное число, которое система контроля преобразует в код доступа. Количество единиц и нулей и способ их комбинирования определяют формат, в котором зашифрован код доступа.
Так, 26-битный открытый формат H10301 допускает 255 кодов объекта (фасилити кодов), в каждом из которых возможны 65 535 комбинаций номеров карт. При этом производитель не контролирует и не ограничивает производство карт данного формата, что увеличивает риск их дублирования.
В отличие от формата H10301 формат H10304 имеет 37-битную длину кода и позволяет задавать 65 535 кодов объектов и более 500 000 номеров карт для каждого кода объекта, что существенно увеличивает диапазон карт. Помимо этого производитель отслеживает производство этих карт.
Формат Corporate 1000 представляет собой 35-битный формат, разработанный как собственный закрытый формат для крупных компаний.
Таким образом, при выборе технологии идентификации для организации системы СКУД рекомендуем обратить внимание на форматы карт. Выбор и использование того или иного формата также оказывает влияние на общий уровень безопасности системы.
| Формат | ||||
| Технология RFID | H10301 | H10302 | H10304 | Corporate 1000 |
| Prox | √ | √ | √ | √ |
| Indala | √ | √ | √ | √ |
| iCLASS | √ | √ | √ | √ |
| iCLASS SE | √ | √ | √ | √ |
| SeoS | √ | √ | √ | √ |
Преемственность и совместимость технологий
Под преемственностью технологий принято понимать поддержку со стороны производителя ранее выпущенных продуктов и возможность работы старых и новых технологий в рамках одной системы.
Все преимущества преемственности технологий проявляются во время модернизации или масштабирования точек доступа или функционала системы. При этом в рамках СКУД стоит рассматривать преемственность как со стороны аппаратной части (поддержка или перепрошивка считывателей и контроллеров, одновременное использование карт), так и программного обеспечения.
Как правило, в процессе модернизации или расширения систем контроля доступа применима одна из схем: полная или частичная замена оборудования, полная или частичная замена программной части. При частичной замене оборудования, как правило, используют мультиформатные (комбинированные считыватели) и/или мультиформатные карты доступа. Таким образом, преемственность технологий обеспечивает оптимальный способ последующего апгрейда системы без полной замены аппаратной части системы.
Совместимость технологий разных производителей позволяет использовать различные технологии и форматы идентификаторов в рамках одной системы. Как правило, это оптимальное решение для объектов, на которых уже используются определенные технологии, функционирует система, и процесс миграции на новые технологии осуществляется поэтапно без остановки процессов на предприятии.
Резюме
Идентификаторы в системе в СКУД сегодня – это больше чем «таблетки» Touch Memory и proximity карты. Вопрос защищенности технологий идентификации не менее актуален, чем анализ и оценка функционала и возможностей системы на уровне ПО.
Помимо традиционных способов защиты карт – взаимной аутентификации устройств, шифрования данных и использования ключей диверсификации – на рынке представлены решения, обеспечивающие дополнительный уровень безопасности при передаче данных от идентификатора к считывателю. Одно из решений – платформа SIO, получившая распространение в устройствах iClass SE.
Дополнительным критерием выбора технологии идентификации является формат карты. Отдельным вопросом является защищенность формата производителем, а также культура производства карт.
Преемственность технологий, которую обеспечивает производитель в процессе эволюции своих решений, и совместимость технологий разных производителей, которую можно организовать в рамках одной системы, – это концептуальные вещи, которые необходимо учитывать как при выборе и монтаже системы СКУД с нуля, так и для организации процессов модернизации действующих систем контроля доступа, их расширения и встраивания в бизнес-процессы компании.
Владимир Нарожный,
руководитель направления брендинга и интегрированных маркетинговых коммуникаций
Юрий Кондратьев,
менеджер по системам безопасности TerraLink
RFID-карты: типы и виды идентификаторов
RFID является технологией радиочастотной идентификации объектов с помощью радиоволн. RFID-чип состоит из двух частей: микрочипа, который хранит и обрабатывает информацию и антенны для приема и передачи сигнала. Тег содержит конкретный уникальный серийный номер для одного конкретного объекта.
На таком чипе может храниться, практически любая информация, например ФИО владельца, время посещения тех или иных заведений или же информация о товаре (размер, цвет, цена и т.д). Большой диапазон считывания делает RFID-метки идеальным решением для многих компаний.
История создания технологии RFID
История создания технологии радиочастотной идентификации может быть прослежена до 1940-х годов. В 1945 году шотландский физик сэр Роберт Александр Уотсон-Ватт создал технологию «Радар», одну из первых технологий, использующих радиочастоту. Радар использовался во Второй мировой войне для отслеживания самолетов, возвращающихся на базу. Проблема с Радаром заключалась в том, что не было способа определить, какие самолеты представляли угрозу, а какие были дружественными. Методом проб и ошибок Уотсон-Уотт создал систему Identity Friend или Foe. (IFF) Этот метод позволял самолетам посылать сигнал, который доказывал, что они являлись дружественными.
Первая презентация RFID-чипов, похожих на сегодняшние экземпляры была произведена в 1973 году. Это было только началом использования RFID-чипов, сейчас эта технология продолжают активно развиваться.
Сферы применения универсальных карт с RFID-чипом
Сфера применения универсальных карт с RFID-чипом сегодня разнообразна. Все мы используем такие карты почти каждый день. Рассмотрим основные места, где применена RFID-технология.
Иные сферы использования RFID-технологий
RFID-технологий используются в компаниях, крупных ритейлерах, магазинах одежды, спортивных и дисконтных магазинах для учета товаров и инвентаря. Осуществляется учет товаров с помощью RFID-меток, которые прикрепляются к каждой единице товара и каждая единица товара становится в итоге уникальной. На такой RFID-метки записывается вся необходимая информация о товаре, например размер, цвет и даже его изображение.
RFID-технологий заметно сокращают время затрачиваемое на проведение стандартных и каждодневных операций таких как прием или отправка товара, а также способны снизить или даже исключить ошибки вызванные человеческим фактором.
Стандарты RFID-карт и как определить их тип
Международной Организацией по Стандартизации (ISO) при участии International Electrotechnical Commission (Международная Электротехническая Комиссия) устанавливаются стандарты для магнитных RFID-карт. Существует большое количество разнообразных RFID-карт, все они конечно, соответствуют всем необходимым стандартам. Рассмотрим самые распространенные виды карт:
Двухчиповые пластиковые RFID-карты
Самые распространенные чипы, работающие на низкой частоте (low frequency, 125KHz), например такие как:
Чипы, работающие на высокой частоте (high frequency, 13,56MHz):
Чипы, работающие на сверх высокой частоте (ultra high frequency, 868MHz):
Для чего необходимы двухчиповые карты
В некоторых организациях, которые располагаются в разных зданиях, установлены разные считыватели, например в одном здании установлены считыватели Em Marin, а в другом здании — считыватели MIFARE. В таком случае, чтобы у работников на руках не были две разные карты и не возникали ситуации, при которых постоянно происходила путаница с картами, для них создается одна универсальная карта для доступа в два разных здания.
Также в некоторых компаниях на проходной установлен свободный пропускной режим, однако есть помещения, в которые доступ предоставлен только определенным сотрудникам компании, для таких случаем выпускается карта доступа с двумя чипами UHF + MIFARE.
Другой пример, — в горнолыжном комплексе для проезда на парковку необходимо использовать карту Em Marin, а для пропуска на подъемники карту I Code SLIX. В такой случае выпускается комби-карта Em Marin + I Code SLI X.
На объектах, имеющих помещения с очень высокий уровнем защищенности, карты доступа реализованы на микрочипе MIFARE DESFire EV1. А помещения, которые не требуют высокой степени защиты оснащены старыми считывателями HID Prox. В этом случае выпускается комби-карта MIFARE DESFire EV1 + HID Prox.
Какой частоты существуют RFID-карты и как ее узнать
Метка RFID может считываться на расстоянии до нескольких метров, в зависимости от частот, на которых она работает. Наиболее распространены такие виды частот как:
Дальность действия примерно от 2 до 10 м, скорость передачи информации — 128 кбит/сек.
Как узнать частоту RFID-карты
Информацию о частоте RFID-карты можно узнать в описании товара, либо на самом чипе. Также данную информацию можно узнать у производителя данной карты. Если использовать карты с разными ридерами, то также можно определить их частоту, однако этот способ может быть не всегда недостоверным.
Телефон вместо банковской RFID-карты
NFC технология способна в ближайшем будущем заменить RFID-карты. Уже сейчас мы все больше используем в качестве оплаты товаров в магазинах NFC технологию с помощью наших телефонов, вместо привычных пластиковых карт с RFID чипом. Большинство выпускаемых смартфонов имеют встроенные чипы NFC, которые превращают ваш телефон в цифровой кошелек. Прикоснитесь телефоном к терминалу проверки NFC, и чип NFC автоматически перейдет в режим карты.
Одним касанием можно оплатить свои покупки, использовать электронные купоны или собирать очки лояльности. Это называется бесконтактным платежом. Другими словами, ваш телефон заменяет все эти кредитные, лояльные и подарочные карты, что делает оплату быстрее и удобнее. Это очень удобно, тем более мобильный телефон всегда находится под рукой, а вот пластиковую карту есть возможность просто забыть.
В чем же разница между технологиями RFID и NFC
Можно заметить, что NFC как-будто дублирует умение RFID, также читая смарт-теги, благодаря своему режиму чтения / записи. Однако в дополнение к возможностям чтения / записи, NFC имеет два других режима, оба из которых включают динамическую двустороннюю связь: режим оплаты картой и режим связи для обмена данными P2P.
Системы NFC работают на той же частоте, что и системы HF RFID (13,56 МГц). Следовательно, существуют только ограничения по дальности считывания.
Заключение
RFID-технологии применимы практически во всех сферах нашей жизни, будь-то проезд в общественном транспорте или же покупка товаров в продуктовых или же магазинах одежды. Существует несколько типов RFID-карт, например двухчиповые карты, в которых есть две антенны и два чипа, работающих на разных частотах и используемых в условиях доступа в помещение с разным видами доступа. Технология NFC является более новой и более отточенная версия RFID, которая активно используется для бесконтактных платежей и уже сейчас может конкурировать с технологией RFID.