Технология MIFARE на сегодняшний день является наиболее защищенным, массовым и проверенным решением, которое помогает системным интеграторам внедрять безопасные системы контроля и управления доступом (СКУД). Эта же технология позволяет организовать гибкие интегрированные сервисы в рамках транспортных, банковских, мобильных и других проектов. Карты MIFARE Plus и MIFARE DESFire, применяемые в современных СКУД, позволяют исключить возможность копирования карты за счет записи идентификатора пользователя в защищенную область памяти. Для заказчиков, внедряющих и эксплуатирующих системы контроля доступа, чрезвычайно важно обеспечить быстрый и безопасный выпуск карт с защитой ключей шифрования.
Карты MIFARE Plus и DESFire успешно прошли независимые исследования безопасности, проведенные ведущими экспертами по криптографии. Благодаря аппаратному шифрованию актуальные серии карт MIFARE Plus EV1/EV2 и DESFire EV2/EV3 имеют высшую сертификацию по безопасности – Common Criteria EAL5+. Это означает, что микросхемы, используемые в этих картах, были протестированы на устойчивость к реверс-инжинирингу с атаками на защищаемые области с помощью анализа потребляемой мощности микроконтроллера, просвечивания электронным микроскопом и многих других. Было установлено, что они способны противостоять этим атакам. Возможности карт MIFARE Plus и DESFire включают шифрование AES с длиной ключа 128 бит, безопасную передачу данных и защищенную аутентификацию для защиты данных. Решения на базе карт и считывателей MIFARE гарантируют надежную защиту и конфиденциальность данных в соответствии с мировыми стандартами, обеспечивая возможность локального управления ключами шифрования.
Одним из важных преимуществ технологии MIFARE является то, что владелец системы контроля и управления доступом или системный интегратор полностью контролируют считыватели на объекте и эмиссию карт путем задания 128-битного ключа шифрования (AES). Без знания этого ключа невозможно выпустить новые карты, работающие на считывателях объекта, или перепрограммировать данные на уже выданных картах. Карты приходят от поставщиков незапрограммированными, а номер карты для использования в СКУД программируется непосредственно при выдаче карты.
Карты MIFARE Plus поддерживают различные уровни безопасности (Security Level) для областей памяти (секторов), используемых для хранения идентификаторов пользователей и другой информации. Уровни безопасности имеют обозначения от SL0 (низкий) до SL3 (высокий). Приложение или считыватель, взаимодействующий с картой, использует тот уровень безопасности, который задан для карты или ее сектора. Используя специальный режим, приложение может переключить карту с одного уровня безопасности на другой, но эта операция является необратимой: нельзя перейти с более высокого уровня безопасности на низкий.
- Уровень безопасности 0 (SL0) — это заводская конфигурация карты Mifare Plus. В этом режиме карта не защищена и не может использоваться для хранения данных. Перед использованием карты необходимо загрузить ключи шифрования, которые будут использоваться на протяжении жизненного цикла карты, и переключить карту на более высокий уровень безопасности (SL1, SL2 или SL3). Ключи шифрования в приложении могут присутствовать в виде открытого текста, поэтому очень важно выполнить этот этап инициализации карты в доверенной и безопасной среде.
- На уровне безопасности 1 (SL1) Mifare Plus эмулирует карты устаревшего и небезопасного формата Mifare Classic. Эта функция предоставляет возможность замены существующих карт Mifare Classic без необходимости замены считывателей. Также данный режим может использоваться для хранения данных, зашифрованных с помощью внешнего приложения, т.е. использовать сектор памяти в качестве "контейнера".
- На уровне безопасности 2 (SL2) карта Mifare Plus использует потоковый шифр CRYPTO1, как и Mifare Classic, но вместо использования статических 6-байтовых ключей, ключи генерируются динамически на основе AES. Данный режим применяется очень редко и также, как SL1, используется для обеспечения обратной совместимости.
- На уровне безопасности 3 (SL3) Mifare Plus использует криптостойкий алгоритм шифрования AES. Этот режим является основным для использования в по-настоящему защищенных системах контроля доступа. Помимо аутентификации и шифрования данных, в этом режиме реализованы дополнительные функции по обеспечению безопасности, например, контроль расстояния от карты до считывателя (Proximity check). Эта дополнительная мера безопасности помогает защититься от атак ретрансляции сигнала, когда злоумышленник пытается удаленно перехватить и перенаправить трафик между картой и считывателем.
Решение от компании АО «Стандарт безопасности» позволяет автоматизировать процесс кодирования карт с помощью специализированного аппаратного кодировщика, обеспечивающего защиту ключей шифрования.
Ключевые особенности решения для пакетного кодирования карт:
- Ключи шифрования для программирования карт загружаются администратором системы в энергонезависимую память платы модуля кодирования и не могут быть извлечены. Это исключает несанкционированный доступ персонала бюро пропусков к ключам шифрования.
- Загрузка 100 карт в лоток (по умолчанию). Возможность установки лотка емкостью 200 карт (опционально).
- Перевод карт MIFARE Plus на уровень безопасности SL3.
- Запись пользовательского ключа шифрования AES128 на карту MIFARE Plus.
- Запись идентификатора пользователя в выбранный защищенный блок памяти.
- Проверка записи идентификатора.
- Отдельный лоток для карт, не прошедших тестирование.
- Возможность импорта идентификаторов пользователей из файла.
- Возможность печати изображения на карте (разрешение 300 точек на дюйм, печать в край, односторонняя или двухсторонняя печать, цветная сублимация или монохромный термоперенос).
- Предлагаются версии ПО для управления кодированием карт под ОС Windows и Linux.
Программное обеспечение выполняет пакетную инициализацию (кодирование) карт, загружаемых в аппаратный кодировщик с помощью встроенного считывателя. После запуска программа ждет появления карт в подающем лотке кодировщика. При наличии карты в подающем лотке карта перемещается к считывателю и инициализируется им. При успешной инициализации и прохождении теста карта перемещается в приемный лоток. При ошибке теста (например, в случае несоответствия типа карты или если карта уже была инициализирована), карта перемещается в лоток брака. При переполнении приемного лотка процесс приостанавливается. Во время работы программа отображает на экране информацию о количестве успешно инициализированных карт, количестве бракованных карт и общее количество обработанных карт. Таким образом, для инициализации произвольного количества карт пользователю достаточно запустить программу, убедиться в ее готовности и добавлять в подающий лоток кодировщика карты до тех пор, пока все подлежащие инициализации карты не будут инициализированы, своевременно убирая готовые карты из приемного лотка и отбракованные карты из лотка брака. Инициализация каждой карты производится специальной программой, предварительно загруженной во встроенный в кодировщик считыватель. Ключи шифрования, используемые при инициализации карты, содержатся только в памяти считывателя и не доступны оператору с ПК.
Резюмируя, стоит отметить, что современные тенденции в развитии СКУД обусловлены не снижающимся уровнем внешних и внутренних угроз, что и в дальнейшем будет являться актуальным трендом на рынке современных средств безопасности. Компания АО «Стандарт Безопасности» является разработчиком и производителем оборудования и программного обеспечения для построения СКУД и комплексных интегрированных систем безопасности, а также поставщиком ведущих мировых фирм-производителей данного оборудования.