Защищенные технологии Mifare в системе контроля доступа U-prox

К концу второго десятилетия 21 века распространение электронных гаджетов набрало настолько массовый характер, что практически во всех доступных сферах жизни можно встретить их использование.

Одной из сфер применения гаджетов — контроль и управление доступом. Системы контроля и управления доступом (СКУД) можно задействовать везде — просто закрыть двери от посторонних лиц или ограничить перемещение персонала и установить временные рамки; от маленького офиса до крупных организаций и госструктур; как локальные так и распределены по большой территории. Сейчас оборудования СКУД стало массово использоваться не только на производственных предприятиях, в офисах или админзданиях, но и в жилых комплексах, как для разграничения доступа, так и для того чтобы обезопасить от доступа посторонних лиц в жилище.

Идентификаторы

Обычно, с чем мы имеем дело в системе контроля доступа, — есть в первую очередь идентификатор и считыватель этого идентификатора. Основным свойством идентификатора — должно быть уникальность его номера и не только в одной системе контроля доступа, а, желательно, и в мире, чтобы была исключена сама возможность повтора и возможности, пусть и гипотетической, использования другого идентификатора в системе с таким же номером. А кроме обеспечения уникальности — должна быть еще и возможность уберечь эту уникальность от попыток копирования номера (UID) или клонирования карты.

Типы идентификаторов определяют какими должны быть считыватели идентификаторов и их аппаратные возможности. Имеющиеся на рынке идентификаторы можно разделить на две группы — обычные и с возможностью защиты от копирования. Широко распространенные идентификаторы форматов ASK (125 кГц рабочая частота, амплитудная модуляция сигнала), представитель — карты Em-Marin, реже формат FSK (125 кГц рабочая частота, частотная модуляция сигнала), представитель — карточки HID, которые являются обычными идентификаторами имеющих ничем не защищенный код (UID), что можно свободно скопировать. Другим типом идентификаторов является Mifare (13,56 МГц рабочая частота), уже не новые на просторах нашего рынка, но приобретают все большую популярность именно благодаря тому, что имеют возможность защиты кода идентификатора (UID).

Бесконтактные карты Mifare имеют внешний идентификатор, который всегда доступен считывателям и внутреннюю память которая поддерживает перезапись и которая используется для дополнительной защиты. Карточки Mifare имеют несколько разновидностей отличающихся степенью защиты, называют «уровнем безопасности» (Security Level, чаще отражают как SL, имеет 4 уровня — SL0-SL3) и работой в протоколах Crypto1, AES, 3DES, в зависимости от уровня SL и производителя микрочипа карточки Mifare.

Использование Proximity-карт

Рассмотрим использование на примере карт — Em-Marin (без защиты), MifareClassic (использующей SL1) и Mifare Plus (использующей SL3). Для теста используем имеющиеся считыватели U-Prox SL mini, U-Prox SE mini, которые могут читать карты Em-Marin, Mifare и работать со смартфоном как «электронной карточкой», и устройство U-Prox Dеsktop — для программирования уровня безопасности Mifare и выпуска защищенных карт. Для работы с устройствами достаточно наличия смартфона, мобильного приложения «U-ProxConfig» для работы с оборудованием и питания 12 В.

Использование в СКУД карточек Em-Marin — простое, быстрое, но никакой защиты от копирования (клонирования), которое сейчас можно выполнить едва ли не в каждом пункте изготовления ключей.

Аналогично Em-Marin, чтение внешнего идентификатора, можно использовать MifareClassic и Mifare Plus в режиме SL0 — то есть без защиты. Эффекта от такого использования не будет, только потраченные деньги, потому что карточки Mifare дороже.

Возможности карт Mifare

Эффективность использования карточек Mifare начинается тогда — когда используется их функционал, а именно работа с внутренней памятью.

Если коротко об основных возможностях такой работы, то:

• Mifare карты имеют память разбитую на сектора (обычно 16 для Classic и 32 для Plus).
• каждый сектор имеет 4 блока, в каждом из которых по 16 байт для данных, последний из блоков содержит пароли и права доступа на сектор, таким образом есть 48 байт для пользовательских данных.
• можно работать как с отдельным сектором, так и с совокупностью секторов, закрывать доступ к сектору своим ключом шифрования, а также записывать в сектор свой номер (UID) идентификатора, к которому, кроме данной системы, никто не будет иметь доступа.
• для различных секторов могут быть свои собственные коды авторизации — для доступа к своему сектору различных систем, а могут быть все сектора закрыты одним ключом авторизации — исключительно для использования в одной системе, чтобы секторы карты не использовались другими.

Карточки MifareClassic работают в режиме SL1, алгоритм CRYPTO1, шифрование секторов выполняется 6-байтный ключом. Уровень защиты карт средний, поскольку уже давно известно уязвимость формата CRYPTO1. Но для большинства задач, не требующих строгой безопасности, этой защиты вполне достаточно. Также необходимо отметить, что на рынке можно найти программно-аппаратные средства за доступные средства, пользуются уязвимостью CRYPTO1 и позволяют клонировать карточки MifareClassic защищены SL1, а также подчеркнуть — что по технологии MifareClassic выпускаются карточки китайскими компаниями.

Карточки MifarePlus могут работать, как и MifareClassic в режиме SL1, но целесообразнее использовать высокий уровень защиты — SL3, который использует алгоритм AES. Шифрование секторов выполняется 16-байтный ключом. Использование SL3 является преимуществом карточек MifarePlus, исключая копирования или клонирования карт. Технологий которые б такое позволяли — сегодня нет.

Каким же образом, на практике, выполняется шифрование Mifare карт и как применяются их преимущества?

Ответ достаточно прост — необходимо выполнить выпуск шифрованных Mifare карт, необходимо в считыватели занести данные о шифрации и указать что должен читать считыватель с карты. Эти действия должен выполнять конечный заказчик, потому что чем больше организаций привлечено к этому процессу, вероятность утечки данных пропорционально увеличивается.

Выпуск карт не является сложным процессом. На указанном ранее оборудовании, используя USB устройство U-Prox
Dеsktop и смартфон со специализированным мобильным приложением U-ProxConfig, необходимо подключиться к U-Prox Dеsktop, выполнить настройки для шифрации MifareClassic или MifarePlus карт, указав SL1 для Classic, или SL3 для Plus и введя собственный код которым будет выполнена шифрация, задать что должно читаться считывателями — внешний код (UID) карты после проверки наличия шифрованных секторов введенным кодом, или свои данные которые будут записаны в шифрованный сектор. После внесения и хранения данных, с этого же приложения переход в меню выпуска карт — выбрать тип карт выпускать (MifareClassic или MifarePlus) и положить «чистую» карточку на U-Prox Dеsktop, дождаться сигнала о завершении выпуска, при этом в приложении будет отражен код этой карты, снять ее, положить следующую. Записи одной карты может занять до 10 секунд.

По завершению выпуска, имея набор готовых карт, необходимо занести в считыватели карт U-Prox SL mini, U-Prox SE mini данные о шифрации и что читать с карты. Для этого, уже упоминавшимся выше приложением, подключиться через радиоинтерфейс 2,4 ГГц к считывателю, занести данные, сохранить шаблон, и размножить на другие считыватели.

После этих действий вы получите закрытую систему, которая будет работать только с вашими шифрованными Mifare карточками. Нешифрованные Mifare карточки, или с другими кодами шифрации — будут проигнорированы считывателями и читаться НЕ БУДУТ.
Если необходимо, то в считывателях U-Prox SL mini, U-Prox SE mini можно отключить чтение других типов карт, оставив только Mifare и радиоинтерфейс 2,4 ГГц. Кстати, с указаными считывателями можно использовать смартфоны как электронную карточку, через радиоинтерфейс 2,4 ГГц или 13,56 МГц, при установке на смартфон приложения «U-Prox ID» и «мобильного идентификатора», уровень защищенности которого — SL3. Эту «карточку» обычно дома не забывают.

Имея на руках карточку MifarePlus с уровнем защиты — SL3, получить доступ к закрытому шифром сектора, без знания этого шифра — невозможно. Копирование (клонирование) внешнего идентификатора (UID) для попытки использования его на целевой системе — не даст результата, такая карточка просто не будет читаться системой.

Сравнительная таблица уровней защиты идентификаторов

Тип карты	Em-Marin	MifareClassic	MifarePlus	Мобильный идентификатор
Рабочая частота	125 кГц	13,56 МГц	13,56 МГц	2,4 ГГц/13,56 МГц
Использование памяти	нет	да	да	да
Уровень безопасности (максимальный)	SL0	SL1	SL3	SL3
Алгоритм шифрации	Отсутствует	CRYPTO1	AES	AES
Защищенность от копирования	Отсутствует	Средняя	Наивысшая	Наивысшая
Дальность считывания	до 15 см	до 5 см	до 5 см	до 15 м/до 5 см

Как создать шифрованную карточку. Примеры

Какие выполнялись настройки для выпуска защищенных карт, и параметры оборудования, рассмотрим в этом разделе.

В СКУД используется максимально возможная защита для каждого типа карт: для MifareClassic — SL1, для MifarePlus — SL3.

Из приложения U-ProxConfig подключиться к USB считывателю U-Prox Desktop, будем видеть основное окно:

Перейти к «НАСТРОЙКИ» и внизу окна видим пункты профили настроек «Mifare Classic», «Mifare Plus» и «Исходный код выпуска карточек».

Последний пункт для указания исходного кода, от которого пойдет отсчет при создании шифрованной карточки и который будет записан в закрытый сектор и доступен только для считывателей с закрытой группы, с аналогичными параметрами чтения шифрованных карт.

Максимальная длина кода — 5 байт.

Отображение кода — шестнадцатеричное (HEX).

После установки, переход в необходимый режим Mifare. На образце выбран профиль MifarePlus.

Поле «Безопасность» — включаем режим шифрования «SL1 16 байт».

Поле «Ключ» — вносим ключ шифрования, которым будет закрыто сектора карты — составляет 32 шестнадцатеричных (HEX) символы, на образце выбран для простоты ввода не сложный вариант: «11111111111111111111111111111111».

Ключ должен составлять именно 32 символа, не менее и не более.

Поле «Использовать сектора» — указывается перечень секторов которые будут использоваться при шифрации.

Для MifareClassic необходимо указывать ВСЕ — 0-15.

Для MifarePlus — можно указать 1 сектор или несколько. При шифрации карточки будет использовано первый доступный из указанных. Например, если есть битые, или занятые другими системами сектора, чтобы гарантированно состоялся выпуск шифрованной карты.

На образце указан перечень из 5 секторов — 0-4.

Следующее поле «Читать», указание что читать — UID карты — выбрать «Код карты» или код записан в сектор — выбрать «По адресу».

Выбрав последний вариант, необходимо в следующем поле «Использовать адрес» указать последовательность байт в секторе, максимум 5 байт, куда будет записан новый закрытый код пользователя.

На образце указано 5 байт, с — 16 до — 20. Поскольку шифрование идет с нулевого сектора, а в нем первые 16 байт (0-15) заняты информацией о карте и не могут быть изменены, поэтому в образце начало идет с гарантированно свободных байтов сектора.

 

 

Окончательный вид этого профиля будет — как на схеме слева.

После внесения данных для шифрации и выпуска карт выйти в предыдущее меню и дальше в основное.

В основном меню сохранить данные в USB считыватель — «СОХРАНИТЬ В ПРИБОР».

 

Далее система предложит сохранить шаблон с ключами шифрования, для возможного дальнейшего использования с этим или другим USB считывателем U-Prox Desktop.

Следующим шагом — выйти из настроек и выполнить новое подключение к USB считывателю.

 

В новом подключении к USB считывателю выбрать пункт «ДАЛЕЕ», перейти на следующую страницу, зайти в меню «ВЫПУСК КАРТ», далее выбрать необходимое действие — тип карт будет выпускаться.

 

 

 

На образце выбрано меню «MIFARE PLUS» и отображено начало выпуска карточек.

Перед началом выпуска карт — индикатор USB считывателя горит фиолетовым и бежит таймер ожидания карточки.

Как только карточку положили — начался выпуск, индикация становится светло-синей.

 

По завершению и удачному выпуску карты USB считыватель дает короткий писк, индикатор светит зеленым и в приложении отражает код шифрованного индикатора.

Убрав с поля выпущенную карточку — таймер начинает новый отсчет ожидания наличии карточки для выпуска.

Если таймер обнулился, или выйти из этого меню — выпуск шифрованных карт прекращается.

 

По окончании процедуры выпуска шифрованных карт — отключиться и выполнить новое подключение к USB считывателю.

 

Будучи в основном меню U-Prox Desktop можно проверить чтение выпущенных карт и просмотреть их код, достаточно поднести карту к USB считывателю.

 

Финальным шагом будет перенос конфигурации шифрования в считыватели карт на объекте. Считыватели U-Prox SL mini, U-Prox SE могут иметь до 5 различных конфигураций шифрования для работы одновременно. Считыватели с шифрованием будут читать ТОЛЬКО шифрованные Mifare карточки с совместимым кодом и настройками. Карточки Mifare НЕ шифрованные или с другой шифрацией будут проигнорированы считывателем — и даже не будут читаться ним.