Статьи

MIFARE або Em Marin - Вибираємо карту доступу для СКД

  1. MIFARE або Em Marin - Вибираємо карту доступу для СКД [Повернутися в розділ СТАТТІ] О.Биковк.т.н.,...
  2. 2. Em Marin - слабка ланка
  3. 3. MIFARE - надійна карта доступу
  4. 4. Типові помилки при використанні карт доступу MIFARE
  5. 5. Як зберегти Wiegand-26, уникнути дублювання номерів і захисту картки від підробки
  6. Приклад 1. Перехід від Em Marin до MIFARE
  7. Приклад 2. Рішення проблеми дублікатів номерів карт.
  8. MIFARE або Em Marin - Вибираємо карту доступу для СКД
  9. 1. Чи забезпечує СКД збереження матеріальних цінностей
  10. 2. Em Marin - слабка ланка
  11. 3. MIFARE - надійна карта доступу
  12. 4. Типові помилки при використанні карт доступу MIFARE
  13. 5. Як зберегти Wiegand-26, уникнути дублювання номерів і захисту картки від підробки
  14. Приклад 1. Перехід від Em Marin до MIFARE
  15. Приклад 2. Рішення проблеми дублікатів номерів карт.
  16. MIFARE або Em Marin - Вибираємо карту доступу для СКД
  17. 1. Чи забезпечує СКД збереження матеріальних цінностей
  18. 2. Em Marin - слабка ланка
  19. 3. MIFARE - надійна карта доступу
  20. 4. Типові помилки при використанні карт доступу MIFARE
  21. 5. Як зберегти Wiegand-26, уникнути дублювання номерів і захисту картки від підробки
  22. Приклад 1. Перехід від Em Marin до MIFARE
  23. Приклад 2. Рішення проблеми дублікатів номерів карт.

MIFARE або Em Marin - Вибираємо карту доступу для СКД

[Повернутися в розділ СТАТТІ]

О.Биков
к.т.н., компанія NCS

Журнал «ПЛАС», №10 (174) 2011
www.plusworld.ru

1. Чи забезпечує СКД збереження матеріальних цінностей

"Система контролю і управління доступом (СКД) - сукупність апаратних і програмних засобів, спрямованих на обмеження і реєстрацію доступу людей, транспорту та інших об'єктів в (з) приміщення, будівлі, зони і території."

З цього визначення випливає, що СКД виконує два завдання:
- обмеження доступу;
- реєстрація доступу.

Обмеження доступу означає запобігання проникнення небажаних осіб на територію, що охороняється і приміщення.
Реєстрація доступу означає розпізнавання тієї особи, яка отримує доступ і фіксацію часу надання доступу.

Вибирати тип карти доступу слід виходячи з пріоритету тієї чи іншої функції СКД.
Якщо основне завдання - реєстрація, - то досить карти Em Marin.
Якщо основне завдання - обмеження, - то карти типу Em Marin буде недостатньо (не тільки Em Marin, а й інші проксіміті карти - HID, Indala, що працюють на частоті 125 КГц). Чому, - розглянемо далі.

Обмеження доступу має на увазі, що СКД буде забезпечувати:
- захист об'єкта від несанкціонованого доступу;
- збереження матеріальних та інтелектуальних цінностей.

Забезпечує це система доступу за допомогою своїх компонентів або частин, основними з яких є:

  • контролер
  • зчитувач
  • Карта доступу
  • Програмне забезпечення

Надійність будь-якої системи (і СКД зокрема) визначається надійністю її найслабшої елемента. Тому, всі перераховані вище компоненти СКД повинні володіти рівною надійністю і в рівній мірі забезпечувати безпеку об'єкта. Якщо який-небудь один компонент значно ненадійніше інших, то і надійність всієї системи буде на рівні цього слабкого компонента.

Таким ненадійним елементом є карти Em Marin (найбільш популярна версія EM4100 і TK4100).
І, якщо в якості карти доступу обрана карта Em Marin, то треба розуміти, що така карта не захищена від копіювання, і якими б надійними не були контролери та програмне забезпечення, - захищеність усієї СКД буде на низькому рівні.

Em Marin - це той ненадійний компонент, який і визначатиме низький рівень захищеності системи доступу.

2. Em Marin - слабка ланка

У більшості випадків під картою Em Marin розуміється версія EM4100 або TK4100, що має пам'ять 64 біт, доступну тільки для читання.

Пам'ять карти Em Marin (EM4100, TK4100) має обсяг 64 біта, розділених на 5 груп даних. 9 біт відведені під заготовок, завжди "1". Є 10 біт парності по рядах (P0-P9) і 4 біта парності по колонках (PC0-PC3).

Поле даних становить 40 біт (D00-D93), один стоповий біт (S0), - логічний 0.
Біти D00 - D53 визначають фасилити карти (Facility).
Біти D60 - D93 визначають номер карти (два байта).
При використанні інтерфейсу Wiegand-26 з карти Em Marin фасилити зчитується як біти
D40 - D53 (один байт), номер зчитується як біти D60 - D93.
Всього через Wiegand-26 зчитується з карти і передається в контролер 3 байта даних (24 біта).

Пам'ять карти Em Marin відкрита для читання завжди, і немає механізму, щоб закрити цю пам'ять від несанкціонованого зчитування. Прочитавши дані, не складає труднощів виготовити дублікат карти. Для виготовлення дублікатів карт Em Marin в даний час є велика різноманітність технічних засобів. Зробити такий дублікат можна навіть у вуличній майстерні, де пропонують ключі для домофона.

Але є і більш витончені способи копіювання карт доступу. Існують компактні портативні зчитувачі, що дозволяють прочитати карту Em Marin на деякій відстані. Зловмисник, який має в кишені такий зчитувач, легко прочитає карту, перебуваючи недалеко від власника карти (в кабінеті, на вулиці, і т.п.), а потім виготовить її дублікат.

3. MIFARE - надійна карта доступу

Для того, щоб обгрунтовано очікувати від СКД забезпечення збереження матеріальних цінностей, карти доступу повинні бути на такому ж високому рівні надійності, як і інші компоненти системи.
Карти, які неможливо або технічно складно копіювати.
І такі карти є. Вони широко відомі. І стоять вони зовсім недорого.

Найбільш підходящим варіантом такої "захищеної" карти є карта стандарту MIFARE.

Порівняємо характеристики карт стандарту MIFARE і карт Em Marin (EM-4100).

Таким чином, головна відмінність MIFARE - це наявність пам'яті для багаторазової читання-запису і криптозащита цієї пам'яті за операціями читання і запису. Підробити таку карту практично неможливо.

Карта MIFARE може бути таким же рівним по надійності ланкою, як і інші компоненти СКД.

4. Типові помилки при використанні карт доступу MIFARE

Помилка 1. Зчитування серійного номера карти

Але надійність карти доступу MIFARE, співмірна з надійністю інших компонентів СКД, не виникає автоматично. Використання карт MIFARE в СКД вимагає більш ретельної підготовки з боку замовника СКД. Найголовніше, - не можна для ідентифікації працівників зчитувати серійний номер MIFARE (як це прийнято в разі Em Marin). Повернемося до порівняльної таблиці вгорі. У чому карти MIFARE схожі на карти Em Marin. В наявності серійного номера, завжди відкритого для читання. І тільки. За всіма іншими параметрами - відмінність. Тому, якщо в СКД для ідентифікації зчитується серійний номер MIFARE, - це означає роботу на рівні Em Marin, без захисту карти від копіювання.

Щоб правильно використовувати карти MIFARE треба зчитувати Несерійний номер, а дані з деякого блоку пам'яті карти (secure sector), доступ до якого захищений ключами.

Пам'ять карти MIFARE складається з 16 секторів, кожен з яких поділений на 4 блоки.

Рис.1 Структура пам'яті Miare 1K
Спільна пам'ять, об'ємом 1 КБ, розділена на 16 секторів. Кожен сектор розбитий на 4 блоки.

Мал. 2. Структура сектора 0.

У блоці 0 зберігається серійний номер і дані заводу-виготовлювача чіпа. Блок 0 доступний тільки для читання. Блоки 1 та 2 доступні для читання-запису .. Блок 3 зберігає ключі доступу, створювані користувачем. Заводські значення ключів A і B: FFFFFFFFFF. На заводі було встановлено Умови Доступу (Access Condition):. Користувач може змінювати ці значення на свій розсуд.

Серійний номер формується на заводі-виробнику чіпа MIFARE і записується в блок 0 сектора 0. Серійний номер завжди відкритий для читання і не може бути змінений. Закрити серійний номер від зчитування неможливо. Ідентифікувати персонал за серійним номером - значить не використовувати нічого з того, що закладено в карту MIFARE.

Помилка 2. Підключення зчитувача по Wiegand-26.

Ситуація, коли з карти MIFARE зчитується серійний номер, а сам зчитувач підключається до контролера через інтерфейс Wiegand-26, - можна назвати типовою. У багатьох системах застосовується саме Wiegand-26. Але використання інтерфейсу Wiegand-26 для читання серійного номера MIFARE 1K - це помилка, яка призводить до появи в системі дублікатів номерів карт.

Wiegand - простий провідний інтерфейс зв'язку між пристроєм читання карти доступу і контролером, широко застосовуваний в системах контролю доступу (СКД).

Спочатку інтерфейс застосовувався в зчитувача магнітних карт і був максимально оптимізований під найпростіші зчитувачі. По суті це був простий вихід підсилювача читання. Через поширеності магнітних карт цей інтерфейс став стандартним де-факто. Пізніше магнітні картки були витіснені безконтактними картами, однак інтерфейс був збережений незмінним.

Існують такі різновиди інтерфейсу Wiegand:

Wiegand-26.
Wiegand-33.
Wiegand-34.
Wiegand-37.
Wiegand-40.
Wiegand-42 ...

Wiegand-26 - це найпоширеніший інтерфейс в СКД. Складається з 24 біт коду і 2 біт контролю на парність.

24 біта, які передаються по Wiegand-26, - це 3 байта. Довжина серійного номера MIFARE 1K - 4 байта. Легко помітити, що повністю серійний номер карти по інтерфейсу Wirgand-26 передати не можна. Якщо серійні номери йдуть підряд, то по Weigand-26 буде передаватися в контролер одна і та ж частина серійного номера карти, а змінна частина номера зчитуватися не буде. В результаті в системі з'являться однакові номери карт.

Для того, щоб в системі на з'являлися дублікати номерів карт, серійний номер MIFARE 1K слід зчитувати повністю, тобто, все 4 байта, а для цього треба використовувати інтерфейс Wiegand-42.

Звичайно, більш правильно взагалі не зчитувати серійний номер карти (а звертатися до даних в захищеному секторі). Вищенаведена ситуація описана як типова і найпоширеніша помилка при переході на карти MIFARE.

5. Як зберегти Wiegand-26, уникнути дублювання номерів і захисту картки від підробки

Необхідність зберегти інтерфейс Wiegand-26 диктується великою поширеністю контролерів, які застосовуються в системах контролю доступу, в яких реалізований саме Wiegand-26. При переході на карти MIFARE цілком природно спробувати використовувати вже наявні контролери.

Наявні контролери з Wiуgand-26 використовувати можна. Але, для того, щоб в СКД не з'являвся дублікати номерів карт, замість серійного номера слід зчитувати дані з захищеного блоку MIFARE 1K (secure sector). Розглянемо структуру інших 15 секторів MIFARE (крім нульового сектора):

Мал. 3. Структура секторів 1-15. Блоки 0, 1 і 2 доступні для запису-читання. Блок 3 зберігає ключі доступу, створювані користувачем. Кожен сектор може бути захищений своїм ключем. Можна захищати окремо операції читання і запису. Можна захистити як читання, так і запис.

Для того, щоб організувати зчитування даних із захищеного блоку, замовник СКД повинен провести предеміссію карт. На етапі предеміссіі карт в обраний блок карти MIFARE записуються унікальні номери, і, найголовніше, читання даних з цього блоку захищається ключами (як це показано на Рис.4). У зчитувач, також, записується відповідний ключ, який пред'являється для читання обраного блоку.

Мал. 4. У блок 0 сектора 1 записаний номер карти, що використовується в СКД для ідентифікації власника картки. Ключ A змінений. Умова доступу (Access Condition) змінено на захист сектора від читання-запису. Дане значення Умови Доступу означає, що для читання блоку пред'являється тільки ключ A (ключ B не використовується). Прочитати карту можна тільки, знаючи секретний ключ користувача. Записати в блок 0 більше нічого не можна.

В результаті виходить карта, яку неможливо прочитати поза даної СКД, і яку неможливо підробити. Зчитувачі, які читають дані з захищеного блоку, підключаються до контролера по інтерфейсу Wiegand-26 (мається, також, версія інтерфейсу USB), що і дозволяє зберегти наявні контролери, а замінити тільки зчитувачі. Такі зчитувачі (читають дані з захищеного блоку) широко представлені на ринку.

Приклад 1. Перехід від Em Marin до MIFARE

При використанні карт Em Marin через Wiegand-26 передається номер карти як фасилити код карти і номер карти:

Замість наявних зчитувачів карт Em Marin підключаються зчитувачі MIFARE (наприклад, типу "MF Reader" від фірми Prox) з інтерфейсом Wiegand-26, які читають дані з захищеного блоку.
В результаті в системі зберігається прийнята нумерація карток, зберігаються контролери, але карта доступу стає захищеною від підробки та несанкціонованого зчитування.

Приклад 2. Рішення проблеми дублікатів номерів карт.

Нагадаємо, що дублікати номерів карт з'являються, коли зчитувач MIFARE підключається xерез Wiegand-26, а з карти зчитується серійний номер (UID).

Наприклад, серійний номер виглядає, як F0A1D9D5, а в контролер передається тільки частина цього номера в вигляді: ХХХХХХ.

На етапі предеміссі карт в блок 0 сектора 0 (або інший блок за вибором користувача) записується та частина номера, яка раніше потрапляла в контролер.

Замість наявних зчитувачів карт MIFARE (читали UID) підключаються зчитувачі MIFARE (наприклад, типу "MF Reader" від фірми Prox) з інтерфейсом Wiegand-26, які читають дані з захищеного блоку.

В результаті в системі зберігається прийнята нумерація карток, зберігаються контролери, але карта доступу стає захищеною від підробки та несанкціонованого зчитування.

В результаті в системі зберігається прийнята нумерація карток, зберігаються контролери, але карта доступу стає захищеною від підробки та несанкціонованого зчитування

Компанія NCS - офіційний партнер компанії NXP по продуктам MIFARE®

Як партнер NXP, компанія NCS має не тільки статус виробника і постачальника карт MIFARE і зчитувачів, але також і статус консультанта по застосуванню MIFARE (MIFARE Application Consultancy) і статус консультанта за технічними характеристиками MIFARE (MIFARE Technical Consultancy).

MIFARE®, NXP's brand of contactless IC products.
MIFARE® зареєстрована торгова марка, що належить компанії NXP.
MIFARE® є інтелектуальною власністю компанії NXP.

[Повернутися в розділ СТАТТІ]

MIFARE або Em Marin - Вибираємо карту доступу для СКД

[Повернутися в розділ СТАТТІ]

О.Биков
к.т.н., компанія NCS

Журнал «ПЛАС», №10 (174) 2011
www.plusworld.ru

1. Чи забезпечує СКД збереження матеріальних цінностей

"Система контролю і управління доступом (СКД) - сукупність апаратних і програмних засобів, спрямованих на обмеження і реєстрацію доступу людей, транспорту та інших об'єктів в (з) приміщення, будівлі, зони і території."

З цього визначення випливає, що СКД виконує два завдання:
- обмеження доступу;
- реєстрація доступу.

Обмеження доступу означає запобігання проникнення небажаних осіб на територію, що охороняється і приміщення.
Реєстрація доступу означає розпізнавання тієї особи, яка отримує доступ і фіксацію часу надання доступу.

Вибирати тип карти доступу слід виходячи з пріоритету тієї чи іншої функції СКД.
Якщо основне завдання - реєстрація, - то досить карти Em Marin.
Якщо основне завдання - обмеження, - то карти типу Em Marin буде недостатньо (не тільки Em Marin, а й інші проксіміті карти - HID, Indala, що працюють на частоті 125 КГц). Чому, - розглянемо далі.

Обмеження доступу має на увазі, що СКД буде забезпечувати:
- захист об'єкта від несанкціонованого доступу;
- збереження матеріальних та інтелектуальних цінностей.

Забезпечує це система доступу за допомогою своїх компонентів або частин, основними з яких є:

  • контролер
  • зчитувач
  • Карта доступу
  • Програмне забезпечення

Надійність будь-якої системи (і СКД зокрема) визначається надійністю її найслабшої елемента. Тому, всі перераховані вище компоненти СКД повинні володіти рівною надійністю і в рівній мірі забезпечувати безпеку об'єкта. Якщо який-небудь один компонент значно ненадійніше інших, то і надійність всієї системи буде на рівні цього слабкого компонента.

Таким ненадійним елементом є карти Em Marin (найбільш популярна версія EM4100 і TK4100).
І, якщо в якості карти доступу обрана карта Em Marin, то треба розуміти, що така карта не захищена від копіювання, і якими б надійними не були контролери та програмне забезпечення, - захищеність усієї СКД буде на низькому рівні.

Em Marin - це той ненадійний компонент, який і визначатиме низький рівень захищеності системи доступу.

2. Em Marin - слабка ланка

У більшості випадків під картою Em Marin розуміється версія EM4100 або TK4100, що має пам'ять 64 біт, доступну тільки для читання.

Пам'ять карти Em Marin (EM4100, TK4100) має обсяг 64 біта, розділених на 5 груп даних. 9 біт відведені під заготовок, завжди "1". Є 10 біт парності по рядах (P0-P9) і 4 біта парності по колонках (PC0-PC3).

Поле даних становить 40 біт (D00-D93), один стоповий біт (S0), - логічний 0.
Біти D00 - D53 визначають фасилити карти (Facility).
Біти D60 - D93 визначають номер карти (два байта).
При використанні інтерфейсу Wiegand-26 з карти Em Marin фасилити зчитується як біти
D40 - D53 (один байт), номер зчитується як біти D60 - D93.
Всього через Wiegand-26 зчитується з карти і передається в контролер 3 байта даних (24 біта).

Пам'ять карти Em Marin відкрита для читання завжди, і немає механізму, щоб закрити цю пам'ять від несанкціонованого зчитування. Прочитавши дані, не складає труднощів виготовити дублікат карти. Для виготовлення дублікатів карт Em Marin в даний час є велика різноманітність технічних засобів. Зробити такий дублікат можна навіть у вуличній майстерні, де пропонують ключі для домофона.

Але є і більш витончені способи копіювання карт доступу. Існують компактні портативні зчитувачі, що дозволяють прочитати карту Em Marin на деякій відстані. Зловмисник, який має в кишені такий зчитувач, легко прочитає карту, перебуваючи недалеко від власника карти (в кабінеті, на вулиці, і т.п.), а потім виготовить її дублікат.

3. MIFARE - надійна карта доступу

Для того, щоб обгрунтовано очікувати від СКД забезпечення збереження матеріальних цінностей, карти доступу повинні бути на такому ж високому рівні надійності, як і інші компоненти системи.
Карти, які неможливо або технічно складно копіювати.
І такі карти є. Вони широко відомі. І стоять вони зовсім недорого.

Найбільш підходящим варіантом такої "захищеної" карти є карта стандарту MIFARE.

Порівняємо характеристики карт стандарту MIFARE і карт Em Marin (EM-4100).

Таким чином, головна відмінність MIFARE - це наявність пам'яті для багаторазової читання-запису і криптозащита цієї пам'яті за операціями читання і запису. Підробити таку карту практично неможливо.

Карта MIFARE може бути таким же рівним по надійності ланкою, як і інші компоненти СКД.

4. Типові помилки при використанні карт доступу MIFARE

Помилка 1. Зчитування серійного номера карти

Але надійність карти доступу MIFARE, співмірна з надійністю інших компонентів СКД, не виникає автоматично. Використання карт MIFARE в СКД вимагає більш ретельної підготовки з боку замовника СКД. Найголовніше, - не можна для ідентифікації працівників зчитувати серійний номер MIFARE (як це прийнято в разі Em Marin). Повернемося до порівняльної таблиці вгорі. У чому карти MIFARE схожі на карти Em Marin. В наявності серійного номера, завжди відкритого для читання. І тільки. За всіма іншими параметрами - відмінність. Тому, якщо в СКД для ідентифікації зчитується серійний номер MIFARE, - це означає роботу на рівні Em Marin, без захисту карти від копіювання.

Щоб правильно використовувати карти MIFARE треба зчитувати Несерійний номер, а дані з деякого блоку пам'яті карти (secure sector), доступ до якого захищений ключами.

Пам'ять карти MIFARE складається з 16 секторів, кожен з яких поділений на 4 блоки.

Рис.1 Структура пам'яті Miare 1K
Спільна пам'ять, об'ємом 1 КБ, розділена на 16 секторів. Кожен сектор розбитий на 4 блоки.

Рис. 2. Структура сектора 0.

У блоці 0 зберігається серійний номер і дані заводу-виготовлювача чіпа. Блок 0 доступний тільки для читання. Блоки 1 та 2 доступні для читання-запису .. Блок 3 зберігає ключі доступу, створювані користувачем. Заводські значення ключів A і B: FFFFFFFFFF. На заводі було встановлено Умови Доступу (Access Condition):. Користувач може змінювати ці значення на свій розсуд.

Серійний номер формується на заводі-виробнику чіпа MIFARE і записується в блок 0 сектора 0. Серійний номер завжди відкритий для читання і не може бути змінений. Закрити серійний номер від зчитування неможливо. Ідентифікувати персонал за серійним номером - значить не використовувати нічого з того, що закладено в карту MIFARE.

Помилка 2. Підключення зчитувача по Wiegand-26.

Ситуація, коли з карти MIFARE зчитується серійний номер, а сам зчитувач підключається до контролера через інтерфейс Wiegand-26, - можна назвати типовою. У багатьох системах застосовується саме Wiegand-26. Але використання інтерфейсу Wiegand-26 для читання серійного номера MIFARE 1K - це помилка, яка призводить до появи в системі дублікатів номерів карт.

Wiegand - простий провідний інтерфейс зв'язку між пристроєм читання карти доступу і контролером, широко застосовуваний в системах контролю доступу (СКД).

Спочатку інтерфейс застосовувався в зчитувача магнітних карт і був максимально оптимізований під найпростіші зчитувачі. По суті це був простий вихід підсилювача читання. Через поширеності магнітних карт цей інтерфейс став стандартним де-факто. Пізніше магнітні картки були витіснені безконтактними картами, однак інтерфейс був збережений незмінним.

Існують такі різновиди інтерфейсу Wiegand:

Wiegand-26.
Wiegand-33.
Wiegand-34.
Wiegand-37.
Wiegand-40.
Wiegand-42 ...

Wiegand-26 - це найпоширеніший інтерфейс в СКД. Складається з 24 біт коду і 2 біт контролю на парність.

24 біта, які передаються по Wiegand-26, - це 3 байта. Довжина серійного номера MIFARE 1K - 4 байта. Легко помітити, що повністю серійний номер карти по інтерфейсу Wirgand-26 передати не можна. Якщо серійні номери йдуть підряд, то по Weigand-26 буде передаватися в контролер одна і та ж частина серійного номера карти, а змінна частина номера зчитуватися не буде. В результаті в системі з'являться однакові номери карт.

Для того, щоб в системі на з'являлися дублікати номерів карт, серійний номер MIFARE 1K слід зчитувати повністю, тобто, все 4 байта, а для цього треба використовувати інтерфейс Wiegand-42.

Звичайно, більш правильно взагалі не зчитувати серійний номер карти (а звертатися до даних в захищеному секторі). Вищенаведена ситуація описана як типова і найпоширеніша помилка при переході на карти MIFARE.

5. Як зберегти Wiegand-26, уникнути дублювання номерів і захисту картки від підробки

Необхідність зберегти інтерфейс Wiegand-26 диктується великою поширеністю контролерів, які застосовуються в системах контролю доступу, в яких реалізований саме Wiegand-26. При переході на карти MIFARE цілком природно спробувати використовувати вже наявні контролери.

Наявні контролери з Wiуgand-26 використовувати можна. Але, для того, щоб в СКД не з'являвся дублікати номерів карт, замість серійного номера слід зчитувати дані з захищеного блоку MIFARE 1K (secure sector). Розглянемо структуру інших 15 секторів MIFARE (крім нульового сектора):

Рис. 3. Структура секторів 1-15. Блоки 0, 1 і 2 доступні для запису-читання. Блок 3 зберігає ключі доступу, створювані користувачем. Кожен сектор може бути захищений своїм ключем. Можна захищати окремо операції читання і запису. Можна захистити як читання, так і запис.

Для того, щоб організувати зчитування даних із захищеного блоку, замовник СКД повинен провести предеміссію карт. На етапі предеміссіі карт в обраний блок карти MIFARE записуються унікальні номери, і, найголовніше, читання даних з цього блоку захищається ключами (як це показано на Рис.4). У зчитувач, також, записується відповідний ключ, який пред'являється для читання обраного блоку.

Рис. 4. У блок 0 сектора 1 записаний номер карти, що використовується в СКД для ідентифікації власника картки. Ключ A змінений. Умова доступу (Access Condition) змінено на захист сектора від читання-запису. Дане значення Умови Доступу означає, що для читання блоку пред'являється тільки ключ A (ключ B не використовується). Прочитати карту можна тільки, знаючи секретний ключ користувача. Записати в блок 0 більше нічого не можна.

В результаті виходить карта, яку неможливо прочитати поза даної СКД, і яку неможливо підробити. Зчитувачі, які читають дані з захищеного блоку, підключаються до контролера по інтерфейсу Wiegand-26 (мається, також, версія інтерфейсу USB), що і дозволяє зберегти наявні контролери, а замінити тільки зчитувачі. Такі зчитувачі (читають дані з захищеного блоку) широко представлені на ринку.

Приклад 1. Перехід від Em Marin до MIFARE

При використанні карт Em Marin через Wiegand-26 передається номер карти як фасилити код карти і номер карти:

Замість наявних зчитувачів карт Em Marin підключаються зчитувачі MIFARE (наприклад, типу "MF Reader" від фірми Prox) з інтерфейсом Wiegand-26, які читають дані з захищеного блоку.
В результаті в системі зберігається прийнята нумерація карток, зберігаються контролери, але карта доступу стає захищеною від підробки та несанкціонованого зчитування.

Приклад 2. Рішення проблеми дублікатів номерів карт.

Нагадаємо, що дублікати номерів карт з'являються, коли зчитувач MIFARE підключається xерез Wiegand-26, а з карти зчитується серійний номер (UID).

Наприклад, серійний номер виглядає, як F0A1D9D5, а в контролер передається тільки частина цього номера в вигляді: ХХХХХХ.

На етапі предеміссі карт в блок 0 сектора 0 (або інший блок за вибором користувача) записується та частина номера, яка раніше потрапляла в контролер.

Замість наявних зчитувачів карт MIFARE (читали UID) підключаються зчитувачі MIFARE (наприклад, типу "MF Reader" від фірми Prox) з інтерфейсом Wiegand-26, які читають дані з захищеного блоку.

В результаті в системі зберігається прийнята нумерація карток, зберігаються контролери, але карта доступу стає захищеною від підробки та несанкціонованого зчитування.

В результаті в системі зберігається прийнята нумерація карток, зберігаються контролери, але карта доступу стає захищеною від підробки та несанкціонованого зчитування

Компанія NCS - офіційний партнер компанії NXP по продуктам MIFARE®

Як партнер NXP, компанія NCS має не тільки статус виробника і постачальника карт MIFARE і зчитувачів, але також і статус консультанта по застосуванню MIFARE (MIFARE Application Consultancy) і статус консультанта за технічними характеристиками MIFARE (MIFARE Technical Consultancy).

MIFARE®, NXP's brand of contactless IC products.
MIFARE® зареєстрована торгова марка, що належить компанії NXP.
MIFARE® є інтелектуальною власністю компанії NXP.

[Повернутися в розділ СТАТТІ]

MIFARE або Em Marin - Вибираємо карту доступу для СКД

[Повернутися в розділ СТАТТІ]

О.Биков
к.т.н., компанія NCS

Журнал «ПЛАС», №10 (174) 2011
www.plusworld.ru

1. Чи забезпечує СКД збереження матеріальних цінностей

"Система контролю і управління доступом (СКД) - сукупність апаратних і програмних засобів, спрямованих на обмеження і реєстрацію доступу людей, транспорту та інших об'єктів в (з) приміщення, будівлі, зони і території."

З цього визначення випливає, що СКД виконує два завдання:
- обмеження доступу;
- реєстрація доступу.

Обмеження доступу означає запобігання проникнення небажаних осіб на територію, що охороняється і приміщення.
Реєстрація доступу означає розпізнавання тієї особи, яка отримує доступ і фіксацію часу надання доступу.

Вибирати тип карти доступу слід виходячи з пріоритету тієї чи іншої функції СКД.
Якщо основне завдання - реєстрація, - то досить карти Em Marin.
Якщо основне завдання - обмеження, - то карти типу Em Marin буде недостатньо (не тільки Em Marin, а й інші проксіміті карти - HID, Indala, що працюють на частоті 125 КГц). Чому, - розглянемо далі.

Обмеження доступу має на увазі, що СКД буде забезпечувати:
- захист об'єкта від несанкціонованого доступу;
- збереження матеріальних та інтелектуальних цінностей.

Забезпечує це система доступу за допомогою своїх компонентів або частин, основними з яких є:

  • контролер
  • зчитувач
  • Карта доступу
  • Програмне забезпечення

Надійність будь-якої системи (і СКД зокрема) визначається надійністю її найслабшої елемента. Тому, всі перераховані вище компоненти СКД повинні володіти рівною надійністю і в рівній мірі забезпечувати безпеку об'єкта. Якщо який-небудь один компонент значно ненадійніше інших, то і надійність всієї системи буде на рівні цього слабкого компонента.

Таким ненадійним елементом є карти Em Marin (найбільш популярна версія EM4100 і TK4100).
І, якщо в якості карти доступу обрана карта Em Marin, то треба розуміти, що така карта не захищена від копіювання, і якими б надійними не були контролери та програмне забезпечення, - захищеність усієї СКД буде на низькому рівні.

Em Marin - це той ненадійний компонент, який і визначатиме низький рівень захищеності системи доступу.

2. Em Marin - слабка ланка

У більшості випадків під картою Em Marin розуміється версія EM4100 або TK4100, що має пам'ять 64 біт, доступну тільки для читання.

Пам'ять карти Em Marin (EM4100, TK4100) має обсяг 64 біта, розділених на 5 груп даних. 9 біт відведені під заготовок, завжди "1". Є 10 біт парності по рядах (P0-P9) і 4 біта парності по колонках (PC0-PC3).

Поле даних становить 40 біт (D00-D93), один стоповий біт (S0), - логічний 0.
Біти D00 - D53 визначають фасилити карти (Facility).
Біти D60 - D93 визначають номер карти (два байта).
При використанні інтерфейсу Wiegand-26 з карти Em Marin фасилити зчитується як біти
D40 - D53 (один байт), номер зчитується як біти D60 - D93.
Всього через Wiegand-26 зчитується з карти і передається в контролер 3 байта даних (24 біта).

Пам'ять карти Em Marin відкрита для читання завжди, і немає механізму, щоб закрити цю пам'ять від несанкціонованого зчитування. Прочитавши дані, не складає труднощів виготовити дублікат карти. Для виготовлення дублікатів карт Em Marin в даний час є велика різноманітність технічних засобів. Зробити такий дублікат можна навіть у вуличній майстерні, де пропонують ключі для домофона.

Але є і більш витончені способи копіювання карт доступу. Існують компактні портативні зчитувачі, що дозволяють прочитати карту Em Marin на деякій відстані. Зловмисник, який має в кишені такий зчитувач, легко прочитає карту, перебуваючи недалеко від власника карти (в кабінеті, на вулиці, і т.п.), а потім виготовить її дублікат.

3. MIFARE - надійна карта доступу

Для того, щоб обгрунтовано очікувати від СКД забезпечення збереження матеріальних цінностей, карти доступу повинні бути на такому ж високому рівні надійності, як і інші компоненти системи.
Карти, які неможливо або технічно складно копіювати.
І такі карти є. Вони широко відомі. І стоять вони зовсім недорого.

Найбільш підходящим варіантом такої "захищеної" карти є карта стандарту MIFARE.

Порівняємо характеристики карт стандарту MIFARE і карт Em Marin (EM-4100).

Таким чином, головна відмінність MIFARE - це наявність пам'яті для багаторазової читання-запису і криптозащита цієї пам'яті за операціями читання і запису. Підробити таку карту практично неможливо.

Карта MIFARE може бути таким же рівним по надійності ланкою, як і інші компоненти СКД.

4. Типові помилки при використанні карт доступу MIFARE

Помилка 1. Зчитування серійного номера карти

Але надійність карти доступу MIFARE, співмірна з надійністю інших компонентів СКД, не виникає автоматично. Використання карт MIFARE в СКД вимагає більш ретельної підготовки з боку замовника СКД. Найголовніше, - не можна для ідентифікації працівників зчитувати серійний номер MIFARE (як це прийнято в разі Em Marin). Повернемося до порівняльної таблиці вгорі. У чому карти MIFARE схожі на карти Em Marin. В наявності серійного номера, завжди відкритого для читання. І тільки. За всіма іншими параметрами - відмінність. Тому, якщо в СКД для ідентифікації зчитується серійний номер MIFARE, - це означає роботу на рівні Em Marin, без захисту карти від копіювання.

Щоб правильно використовувати карти MIFARE треба зчитувати Несерійний номер, а дані з деякого блоку пам'яті карти (secure sector), доступ до якого захищений ключами.

Пам'ять карти MIFARE складається з 16 секторів, кожен з яких поділений на 4 блоки.

Рис.1 Структура пам'яті Miare 1K
Спільна пам'ять, об'ємом 1 КБ, розділена на 16 секторів. Кожен сектор розбитий на 4 блоки.

Рис. 2. Структура сектора 0.

У блоці 0 зберігається серійний номер і дані заводу-виготовлювача чіпа. Блок 0 доступний тільки для читання. Блоки 1 та 2 доступні для читання-запису .. Блок 3 зберігає ключі доступу, створювані користувачем. Заводські значення ключів A і B: FFFFFFFFFF. На заводі було встановлено Умови Доступу (Access Condition):. Користувач може змінювати ці значення на свій розсуд.

Серійний номер формується на заводі-виробнику чіпа MIFARE і записується в блок 0 сектора 0. Серійний номер завжди відкритий для читання і не може бути змінений. Закрити серійний номер від зчитування неможливо. Ідентифікувати персонал за серійним номером - значить не використовувати нічого з того, що закладено в карту MIFARE.

Помилка 2. Підключення зчитувача по Wiegand-26.

Ситуація, коли з карти MIFARE зчитується серійний номер, а сам зчитувач підключається до контролера через інтерфейс Wiegand-26, - можна назвати типовою. У багатьох системах застосовується саме Wiegand-26. Але використання інтерфейсу Wiegand-26 для читання серійного номера MIFARE 1K - це помилка, яка призводить до появи в системі дублікатів номерів карт.

Wiegand - простий провідний інтерфейс зв'язку між пристроєм читання карти доступу і контролером, широко застосовуваний в системах контролю доступу (СКД).

Спочатку інтерфейс застосовувався в зчитувача магнітних карт і був максимально оптимізований під найпростіші зчитувачі. По суті це був простий вихід підсилювача читання. Через поширеності магнітних карт цей інтерфейс став стандартним де-факто. Пізніше магнітні картки були витіснені безконтактними картами, однак інтерфейс був збережений незмінним.

Існують такі різновиди інтерфейсу Wiegand:

Wiegand-26.
Wiegand-33.
Wiegand-34.
Wiegand-37.
Wiegand-40.
Wiegand-42 ...

Wiegand-26 - це найпоширеніший інтерфейс в СКД. Складається з 24 біт коду і 2 біт контролю на парність.

24 біта, які передаються по Wiegand-26, - це 3 байта. Довжина серійного номера MIFARE 1K - 4 байта. Легко помітити, що повністю серійний номер карти по інтерфейсу Wirgand-26 передати не можна. Якщо серійні номери йдуть підряд, то по Weigand-26 буде передаватися в контролер одна і та ж частина серійного номера карти, а змінна частина номера зчитуватися не буде. В результаті в системі з'являться однакові номери карт.

Для того, щоб в системі на з'являлися дублікати номерів карт, серійний номер MIFARE 1K слід зчитувати повністю, тобто, все 4 байта, а для цього треба використовувати інтерфейс Wiegand-42.

Звичайно, більш правильно взагалі не зчитувати серійний номер карти (а звертатися до даних в захищеному секторі). Вищенаведена ситуація описана як типова і найпоширеніша помилка при переході на карти MIFARE.

5. Як зберегти Wiegand-26, уникнути дублювання номерів і захисту картки від підробки

Необхідність зберегти інтерфейс Wiegand-26 диктується великою поширеністю контролерів, які застосовуються в системах контролю доступу, в яких реалізований саме Wiegand-26. При переході на карти MIFARE цілком природно спробувати використовувати вже наявні контролери.

Наявні контролери з Wiуgand-26 використовувати можна. Але, для того, щоб в СКД не з'являвся дублікати номерів карт, замість серійного номера слід зчитувати дані з захищеного блоку MIFARE 1K (secure sector). Розглянемо структуру інших 15 секторів MIFARE (крім нульового сектора):

Рис. 3. Структура секторів 1-15. Блоки 0, 1 і 2 доступні для запису-читання. Блок 3 зберігає ключі доступу, створювані користувачем. Кожен сектор може бути захищений своїм ключем. Можна захищати окремо операції читання і запису. Можна захистити як читання, так і запис.

Для того, щоб організувати зчитування даних із захищеного блоку, замовник СКД повинен провести предеміссію карт. На етапі предеміссіі карт в обраний блок карти MIFARE записуються унікальні номери, і, найголовніше, читання даних з цього блоку захищається ключами (як це показано на Рис.4). У зчитувач, також, записується відповідний ключ, який пред'являється для читання обраного блоку.

Рис. 4. У блок 0 сектора 1 записаний номер карти, що використовується в СКД для ідентифікації власника картки. Ключ A змінений. Умова доступу (Access Condition) змінено на захист сектора від читання-запису. Дане значення Умови Доступу означає, що для читання блоку пред'являється тільки ключ A (ключ B не використовується). Прочитати карту можна тільки, знаючи секретний ключ користувача. Записати в блок 0 більше нічого не можна.

В результаті виходить карта, яку неможливо прочитати поза даної СКД, і яку неможливо підробити. Зчитувачі, які читають дані з захищеного блоку, підключаються до контролера по інтерфейсу Wiegand-26 (мається, також, версія інтерфейсу USB), що і дозволяє зберегти наявні контролери, а замінити тільки зчитувачі. Такі зчитувачі (читають дані з захищеного блоку) широко представлені на ринку.

Приклад 1. Перехід від Em Marin до MIFARE

При використанні карт Em Marin через Wiegand-26 передається номер карти як фасилити код карти і номер карти:

Замість наявних зчитувачів карт Em Marin підключаються зчитувачі MIFARE (наприклад, типу "MF Reader" від фірми Prox) з інтерфейсом Wiegand-26, які читають дані з захищеного блоку.
В результаті в системі зберігається прийнята нумерація карток, зберігаються контролери, але карта доступу стає захищеною від підробки та несанкціонованого зчитування.

Приклад 2. Рішення проблеми дублікатів номерів карт.

Нагадаємо, що дублікати номерів карт з'являються, коли зчитувач MIFARE підключається xерез Wiegand-26, а з карти зчитується серійний номер (UID).

Наприклад, серійний номер виглядає, як F0A1D9D5, а в контролер передається тільки частина цього номера в вигляді: ХХХХХХ.

На етапі предеміссі карт в блок 0 сектора 0 (або інший блок за вибором користувача) записується та частина номера, яка раніше потрапляла в контролер.

Замість наявних зчитувачів карт MIFARE (читали UID) підключаються зчитувачі MIFARE (наприклад, типу "MF Reader" від фірми Prox) з інтерфейсом Wiegand-26, які читають дані з захищеного блоку.

В результаті в системі зберігається прийнята нумерація карток, зберігаються контролери, але карта доступу стає захищеною від підробки та несанкціонованого зчитування.

В результаті в системі зберігається прийнята нумерація карток, зберігаються контролери, але карта доступу стає захищеною від підробки та несанкціонованого зчитування

Компанія NCS - офіційний партнер компанії NXP по продуктам MIFARE®

Як партнер NXP, компанія NCS має не тільки статус виробника і постачальника карт MIFARE і зчитувачів, але також і статус консультанта по застосуванню MIFARE (MIFARE Application Consultancy) і статус консультанта за технічними характеристиками MIFARE (MIFARE Technical Consultancy).

MIFARE®, NXP's brand of contactless IC products.
MIFARE® зареєстрована торгова марка, що належить компанії NXP.
MIFARE® є інтелектуальною власністю компанії NXP.

[Повернутися в розділ СТАТТІ]

Новости