Идентификация по картам MIFARE с защитой от копирования

Идентификация по картам MIFARE с защитой от копирования

MIFARE – торговая марка одной из самых распространенных технологий изготовления бесконтактных смарт-карт. Карты MIFARE имеют ряд преимуществ, за счет чего использование защищенной области их памяти становится все более распространённым решением в системах контроля доступа.


История развития идентификации

Своими корнями радиочастотная идентификация уходит еще во времена Второй Мировой Войны. Немецкие пилоты в полете изменяли крен самолёта, чтобы радары получали немного изменённый сигнал, что позволяло операторам радиолокационной станции отличать самолёты Люфтваффе от самолетов противника. Позже сэр Роберт Александр Уотсон-Уатт была разработал систему IFF («свой-чужой»), позволявшую осуществлять идентификацию самолётов без опасных манёвров со стороны пилотов.

Эволюция радиочастотной идентификации позволила применять ее и в других сферах. В 1969 году американский изобретатель Марио Кардулло представил бизнес-план для инвесторов касательно системы RFID и сфер ее применения. 23 Января 1973 года он получил патент на прообраз современной RFID системы. В том же году Чарльз Уолтон получил патент на пассивный транспондер, который использовался для открытия двери без ключа. Уолтон запатентовал эту технологию для производителя замков Schlage и некоторых других компаний.


Идентификация сегодня

Сегодня на рынке максимально распространены два формата карт: карты EM4100 производства компании EM Microelectronic-Marin, работающие в диапазоне 125 kHZ, и карты, производящиеся компаниями NXP Semiconductors и HID, работающие в диапазоне 13.56 MHz.

На российском рынке наиболее распространены карты формата EM-Marin – во многом благодаря доступной цене. Использование карт данного формата имеет один недостаток - их легко подделать. Копирование осуществляется посредством записи известного номера на новую карту с опцией перезаписи номера (UID, Unique Identifier). Сейчас на рынке доступны инструменты для создания любых дубликатов карт, работающих на частоте 125 kHZ.

Именно факт незащищенности карт, работающих на данной частоте, и послужил главным стимулом к широкому распространению карт формата MIFARE - особенно семейств Plus и DESFire, имеющих максимальную защиту от взлома.


Смарт-карты MIFARE с защитой от копирования

Главное отличие формата карт MIFARE – наличие внутренней памяти. Доступ к памяти может быть ограничен ключом. К примеру, для карт MIFARE DESFire длина ключа составляет 32 символа. Для данного вида карт к ключу применен алгоритм шифрования AES/3DES, что исключает любую возможность получения доступа к приложению.

Все карты MIFARE имеют встроенную структуру памяти – EEPROM. Помимо этого, каждой карте присвоен уникальный идентификатор UID (Unique Identifier). UID не является защищенной областью, его можно считать на любом устройстве. В некоторых случаях UID наносят на карту. До недавнего времени для идентификации в СКУД использовали только UID карт MIFARE . Однако сегодня такой способ не обеспечивает полноценную защиту от взлома. Можно приобрести карты, позволяющие записать известный UID на новую карту MIFARE и использовать ее в качестве дубликата. Для этого используют карты, работающие на частоте 13.56 MHz, с возможностью перезаписи UID (например, карты MIFARE ZERO, выпускаемые компаниями на территории КНР). Поэтому для идентификации пользователей в системах контроля доступа сегодня все чаще используется внутренняя память карт MIFARE или, другими словами, EEPROM.

EEPROM (Electrically Erasable Programmable Read-Only Memory) – электрически стираемое перепрограммируемое постоянно запоминающее устройство (ПЗУ). Обычно EEPROM состоит из 16 или 40 секторов, и именно в эти сектора и записывается идентификатор доступа, который потом используется для идентификации в СКУД. Сектора EEPROM защищаются ключом.


Ассортиментный ряд карт MIFARE

Ассортиментный ряд карт MIFARE насчитывает несколько семейств карт, отличающихся между собой степенью защиты, структурой памяти, скоростью передачи данных и объемом хранимой информации.


Семейство MIFARE® Ultralight

Карты данного семейства представляют собой начальный уровень защиты. Наиболее распространённая область применения - использование в качестве билетов на общественный транспорт или на массовые мероприятия. Карты семейства Ultralight отличаются размером памяти (Ultralight® Nano: 40 байт, Ultralight® C: 144 байта, Ultralight® EV1: 384-1024 байта) и имеют возможность запрета перезаписи.


Семейство MIFARE® Classic

Данные карты имеют расширенный объем памяти, увеличенную скорость передачи данных и возможность криптозащиты. Основные области применения: контроль доступа, платёжные системы, карты для кампусов/ID карты, карты программ лояльности. В 2007 году сотрудники Университетского Колледжа Лондона, Великобритания и Университета Неймегена, Нидерланды, обнаружили серьезную уязвимость таких карт. Примечательно, что компания NXP пыталась в судебном порядке остановить публикации статей, посвящённых взлому MIFARE Classic. Суд отклонил их запрос, аргументируя решение тем, что "В демократическом обществе публикации исследований в области информационной безопасности имеют огромный вес, так как информируют общество о серьёзных недоработках в существующих технологиях и позволяют избежать больших рисков".

С 2008 года было предложено множество способов взлома этого типа карт. Большинство из них основаны на уязвимости внутреннего генератора псевдослучайных чисел карты. Несмотря на это, карты MIFARE® Classic активно используются в системах СКУД, так как часто они функционируют в системе совместно с другими методами идентификации, например, совместно с идентификацией по биометрическим данным.


Факт взлома карт семейства Classic побудил компанию NXP к разработке более защищенных семейств карт: Plus и DESFire.


Семейство MIFARE® Plus и MIFARE® DESFire

Обновленные семейства карт MIFARE® Plus и MIFARE® DESFire являются самыми современными картами производителя NXP. Применяются они там же, что и карты MIFARE® Classic. На картах этих семейств возможна установка отдельных приложений. Главная особенность – применение алгоритма шифрования AES/3DES, который считается неуязвимым для взлома данных.


Считывающие устройства для работы с защищенными картами

Для эффективной реализации мер по защите карт от копирования принципиально важно, чтобы считыватели системы контроля доступа поддерживали режим чтения идентификаторов с защищенной области. Стандартные версии считывателей такой возможности не имеют.

Алгоритм организации СКУД с идентификацией по картам MIFARE c защитой от копирования

Сектор 01...N...12131415 Блок 12...N...1212


Конфигурация

На данном этапе осуществляется выбор формата карт на объекте, определение раздела памяти карты*, куда будет записан идентификатор для каждого пользователя, задание ключей защиты доступа.

*Структура памяти всех карт MIFARE различна. Для карт Ultralight деление осуществляется на страницы, для карт Classic и карт Plus – на сектора и блоки, для карт DesFire – на приложения.


В случае выбора карт Classic 1 KB необходимо определить номер сектора и блока для записи идентификатора и задать ключ аутентификации.

Фактически в каждом секторе карты MIFARE Classic 1 KB содержится по 4 блока, где 0-ой блок нулевого сектора хранит данные (UID), блок №1-2 используется для хранения данных, а 4-ый блок (блок №3) называется «трейлер», он содержит по 2 ключа доступа к каждому блоку и условия доступа.


Вывод

Сегодня наибольшее распространение в СКУД получили карты формата EM-Marin, работающие на частоте 125 kHZ. Такие идентификаторы не обладают защитой от копирования, на рынке доступно достаточное количество инструментов для создания любых дубликатов данного вида карт.

Использование в системах СКУД карт формата MIFARE позволяет исключить возможность копирования карты. Обязательное условие – запись идентификаторов в защищенную крипто-алгоритмом область карт и применение считывателей (в том числе контрольных считывателей), которые обращаются к внутренней памяти карт MIFARE по заданным крипто-ключам. Только в этом случае возможна корректная инициализация карт пользователей и дальнейшее считывание идентификаторов.