Статьи рынка безопасности

События

  • Выставка Securika Moscow 16/04/2024

    Москва, МВЦ «Крокус Экспо», павильон 3

Безопасность СКУД: технологии идентификации и форматы карт

  • 25.12.2014
  • 7617
  • Время чтения: 9 минут

Идентификаторы как часть нашей жизни

Сложно представить современный мир без контактных и бесконтактных технологий идентификации. Использование банковских карт (с магнитной полосой, карты с чипом EMV, бесконтактные платежи PayPass, payWave); RFID-карты для транспорта, сферы развлечений и программ лояльности: выдача полисов ОМС и социальных карт москвича, и, конечно же, карты физического доступа и логического доступа к компьютеру и ИТ-ресурсам компании – наиболее яркие примеры повсеместного применения идентификаторов.

Существующие технологии на участке коммуникаций между считывателем и картой

Если взглянуть на историю развития систем контроля доступа, мы увидим, что первые из них, использующие электронно-вычислительную технику, были применены еще в конце XIX века в виде электрических табулирующих систем Hollerith technology, в которых вместо современных считывателей и карт использовались табуляторы и перфокарты.

На сегодняшний день, благодаря естественному прогрессу, на смену огромным машинам (табуляторам) и картону (перфокарта) пришли компактные высокотехнологичные устройства.

Основные технологии:

  • Штрих-код
  • Магнитная полоса
  • Wiegand-карта
  • EM Marine (125 КГц)
  • Prox (производитель HID Global, 125 КГц)
  • Legic (производитель Legic 1992 год)
  • Mifare (производитель Philips, 1994 год)
  • Mifare DESFire (производитель Philips, 2006 год, 13,56 МГц)
  • iCLASS SE (производитель HID Global, 2012 год, 13,56 МГц)

Остановимся на более распространенных радиочастотных технологиях с частотой 125КГц (EM-Marine, HID Prox, Indala) и 13.56 МГц (Mifare DESFire, iCLASS SE)

Уязвимость технологий считывания

В первую очередь, определимся с тем, что карта – это идентификатор пользователя, на котором содержится некая информация – ключ, открывающий дверь или доступ к ресурсам. Именно поэтому вопрос безопасности передачи данных от идентификатора к считывателю как никогда актуален. Степень риска копирования информации с карт и их клонирования увеличивается ежедневно, и это заставляет более осознанно подходить к выбору технологий, обеспечивающих безопасную идентификацию.

Как правило, уязвимость оценивают по трем основным угрозам, выявленным в процессе эксплуатации бесконтактных карт: повторное воспроизведение, клонирование и конфиденциальность данных.

Исходя из таблицы, можно сделать вывод, что среди всех радиочастотных технологий карты 125 КГц наиболее уязвимы с точки зрения уровня безопасности в связи с возможностями:

  • повторного воспроизведения - так как при каждом чтении карты передается одна и та же информация, которую можно перехватить, записать и воспроизвести для получения доступа в помещение;
  • клонирования программатором незаметно для владельца карты;
  • незащищенности конфиденциальных данных - идентификатор хранится в открытом виде и никак не защищён от считывания.

Рассмотрим основные способы защиты от угроз, заложенные в алгоритм работы смарт-карт. Обратная связь между устройствами является ключевым вопросом обеспечения безопасной идентификации в цепочке «карта - считыватель».

Карта, попадая в зону считывания, предоставляет ридеру свой уникальный номер CSN и сгенерированный 16-битный случайный номер. В ответ считыватель, используя Hash- алгоритм, создает диверсификационный ключ, который должен совпасть с ключом, записанным на карте. При совпадении – карта и считыватель обмениваются 32-битными откликами, после чего считыватель «принимает» решение о валидности карты.

Таким образом, защита карт 13,56 МГц от обозначенных выше угроз обеспечивается за счет взаимной аутентификации между картой и считывателем, процесс которой происходит в зашифрованном виде с формированием и подтверждением ключа диверсификации.

Однако, идентификатор сегодня - это больше, чем пропуск в помещение. Сегодня все чаще используется единый идентификатор, который обеспечивает доступ как в здание и служебные помещения, так и к корпоративной информации и управлению ИТ-средой. Это требует от производителя карт дополнительных мер для обеспечения безопасной идентификации.

Среди них следует выделить технологию Secure Identity Object™ (SIO), которая обеспечивает многоуровневую защиту данных и представляет собой электронный контейнер для хранения данных в любом из форматов карт.

Вкратце о технологии: во время кодирования карты происходит привязка к уникальному идентификатору носителя UID с последующим заверением записанной информации электронной подписью. Присвоение UID и наличие электронной подписи исключают возможность копирования информации и взлома защиты карты.

Определяемся с форматом карт

Формат бесконтактной карты доступа определяет количество бит и способ их комбинирования, к примеру, карта формата EM4100 (EM Marine) работает на частоте 125 КГц и содержит уникальный номер длиною в 40 бит, который присваивается в дальнейшем пользователю.

Все старательно избегают этого вопроса, хотя ответ
на него имеет первостепенную важность
при выборе и программировании любых средств доступа.

Немаловажным критерием безопасности карт, как носителей информации, является культура их производства, отношение владельца технологии к организации процесса выпуска.

В отличие от EM4100, представленные на рынке смарт-карты могут содержать несколько областей памяти, серийный номер CSN, номер и серию (или Фасилити код), а также другую служебную информацию. Так, корпорация HID Global предлагает различные форматы карт, на каждом из которых могут содержаться различные технологии безопасности:

Выбор формата имеет серьезное значение как для работы системы, так и для ее безопасности.

Что такое формат?
Формат – это структура данных, хранящихся в памяти средства доступа. По своей сути
это набор двоичных цифр (бит), в определенном порядке образующих двоичное число,
которое система контроля преобразует в код доступа. Количество единиц и нулей и
способ их комбинирования определяют формат, в котором зашифрован код доступа.

Так 26-битный открытый формат H10301 допускает 255 кодов объекта (Фасилити кодов), в каждом из которых возможны 65535 комбинаций номеров карт. При этом производитель не контролирует и не ограничивает производство карт данного формата, что увеличивает риск их дублирования.

В отличие от формата H10301, формат H10304 имеет 37-битную длину кода и позволяет задавать 65535 кодов объектов и более 500000 номеров карт для каждого кода объекта, что существенно увеличивает диапазон карт. Помимо этого, производитель отслеживает производство этих карт.

Формат Corporate 1000 представляет собой 35-битный формат, разработанный как собственный закрытый формат для крупных компаний.

Таким образом, при выборе технологии идентификации для организации системы СКУД, рекомендуем обратить внимание на форматы карт. Выбор и использование того или иного формата также оказывает влияние на общий уровень безопасности системы.

Преемственность и совместимость технологий

Под преемственностью технологий принято понимать поддержку со стороны производителя ранее выпущенных продуктов и возможность работы «старых» и «новых» технологий в рамках одной системы.

Все преимущества преемственности технологий проявляются во время модернизации или масштабирование точек доступа или функционала системы . При этом в рамках СКУД стоит рассматривать преемственность как со стороны аппаратной части (поддержка или перепрошивка считывателей и контроллеров, одновременное использование карт), так и программного обеспечения.

Как правило, в процессе модернизации или расширения систем контроля доступа применимы одна из схем: полная или частичная замена оборудования/ полная или частичная замена программной части. При частичной замене оборудования, как правило, используют мультиформатные (комбинированные считыватели) и/или мультиформатные карты доступа. Таким образом, преемственность технологий обеспечивает оптимальный способ последующего апгрейда системы без полной замены аппаратной части системы.

Совместимость технологий разных производителей позволяет использовать различные технологии и форматы идентификаторов в рамках одной системы. Как правило, это оптимальное решение для объектов, на которых уже используются определённые технологии, функционирует система, и процесс миграции на новые технологии осуществляется поэтапно без остановки процессов на предприятии.

Резюме

Идентификаторы в системе в СКУД сегодня - это больше, чем «таблетки» Touch Memory и proximity карты. Вопрос защищенности технологий идентификации не менее актуален, чем анализ и оценка функционала и возможностей системы на уровне ПО.

Помимо традиционных способов защиты карт: взаимной аутентификации устройств, шифрования данных и использования ключей диверсификации, на рынке представлены решения, обеспечивающие дополнительный уровень безопасности при передаче данных от идентификатора к считывателю. Одно из решений- платформа SIO, получившая распространение в устройствах iClass SE.

Дополнительным критерием выбора технологии идентификации является формат карты. Отдельным вопросом является защищенность формата производителем, а также культура производства карт.

Преемственность технологий, которую обеспечивает производитель в процессе эволюции своих решений, и совместимость технологий разных производителей, которую можно организовать в рамках одной системы, это концептуальные вещи, которые необходимо учитывать как при выборе и монтаже системы СКУД с нуля, так и для организации процессов модернизации действующих систем контроля доступа, их расширения и встраивания в бизнес-процессы компании.

Владимир Нарожный,
руководитель направления брендинга и интегрированных маркетинговых коммуникаций

Юрий Кондратьев,
менеджер по системам безопасности TerraLink

Опубликовано в журнале «Технологии Защиты», #4, 2014

Поделиться:

Все права защищены
© ООО АДВ Секьюрити,
2003—2024
Яндекс.Метрика
Метрика cайта: новости: 8222 | компании: 528 | бренды: 423 | статьи: 1150

О проекте / Контакты / Политика конфиденциальности и защиты информации

Techportal.ru в соц. сетях