Карты

Карты доступа

Карта доступа – это идентификатор пользователя, на котором содержится некая информация – ключ, открывающий дверь или доступ к ресурсам.

При этом «карта» – довольно условное понятие, потому что идентификатор может быть в форме брелока, тэга, метки и т. д. В качестве идентификаторов могут использоваться мобильные телефоны или другие устройства, поддерживающие NFC-технологию.

Именно поэтому вопрос безопасности передачи данных от идентификатора к считывателю как никогда актуален. Степень риска копирования информации с карт и их клонирования увеличивается ежедневно, и это заставляет более осознанно подходить к выбору технологий, обеспечивающих безопасную идентификацию.

Классификация карт доступа

По форме:
Современные карты доступа могут разительно отличаться не только по размеру, но и по форме: начиная от непосредственно пластиковой карты, заканчивая всевозможными брелоками, ключами, таблетками и т.п.

Даже если говорить об обычных пластиковых картах, они бывают тонкие (0,8 мм) и толстые (1,6 мм). Тонкие карты предназначены для печати на них сублимационным принтером, что позволяет наносить на карты любые изображения (фотографии сотрудников, логотипы и т.д.). В случае необходимости, на толстые карты тоже можно наносить изображения, но для этого потребуется ламинатор и наклейки под ламинат.

По принципу действия:
По принципу действия карты доступа бывают контактными и бесконтактными (proximity карты). Бесконтактные дают большее удобство использования (нет необходимости в прямой видимости и определенном положении карты), имеют большее расстояние чтения, как правило, устойчивы к воздействию окружающей среды и имеют больший срок службы. Контактные карты в данный момент отходят на второй план из-за неудобства использования  (в качестве примера можно привести банковские карты, которые перешли от магнитной полосы к чипам, и теперь – к бесконтактным технологиям).

По дальности считывания:
Дальность считывания также находится в достаточно широком диапазоне от 0 (контактные карты доступа) до 300 метров (активные бесконтактные карты).

По технологии идентификации:
штрих-код;
карты использующие магнитную полосу;
RIFD-карты;
смарт-карты;
мультикарты(несколько технологий в одной карте).

Лидирующей в сегменте СКУД технологией является RIFD (Radio Frequency Identification) – радиочастотная идентификация.

Основные форматы бесконтактных карт

EM-Marine (StandProx, ANGstrem, SlimProx, MiniTag)125 КГц
MIFARE от NXP (Classic, Plus, UltraLight, DESFire) (Mifare 1k, 4k) 13,56 МГц
HID производитель HID Corporation(ProxCard II, ISOProx-II, ProxKey II) 125 КГц
iCLASS и iCLASS SE (производитель HID Corporation,) 13,56 МГц
Indala (Motorolla), Nedap, Farpointe, Kantech, UHF (860-960 МГц)

EM-Marine – это самый популярный тип идентификаторов для СКУД в России, является самым незащищенным и легко копируемым.

MIFARE – так же распространенный формат карт для СКУД, но сделать копию сложнее и требуется специальное ПО. Степень защищенности зависит от используемого стандарта карт и криптографической защиты. MIFARE UltraLight — самые простые карты семейства. MIFARE Classic самые распространенные, но используют старую технологию. MIFARE Plus является развитием семейства Classic и поддерживает современные алгоритмы защиты. MIFARE DESFire самые надежные, но и самые дорогие. Они используются в самых защищенных системах контроля доступа.

Остальные виды карт мало распространены, сами карты и считыватели довольно дороги.

Мы советуем использовать в СКУД MIFARE Plus SL3, в которых применяется шифрование закрытых секторов секретным 128-битным ключом в формате AES. Такие карты скопировать невозможно.

 

Использование MIFARE Plus в СКУД в защищенном режиме

  1. Необходимо грамотное участие администратора СКУД в решении вопросов защищенности карт MIFARE Plus (выбор уровня защиты, оборот ключей шифрования, настройка оборудования). Уровень SL3 – самый высокий с точки зрения защиты.
  2. Подготовка новых карт MIFARE Plus. Это фактический перевод карт MIFARE Plus на выбранный уровень безопасности (SL1 или SL3) и закрытие выбранного сектора памяти секретным ключом.
  3. Затем – подготовка считывателей. Каждый считыватель, подключаемый к контроллеру СКУД, должен быть запрограммирован на чтение данных из того же блока памяти и по тому же ключу, что и карта MIFARE Plus.
  4. Далее следует собственно выдача карт доступа, то есть запись идентификатора в выбранный сектор памяти MIFARE Plus. Этот идентификатор будет связан с конкретным работником и будет считываться в защищенном режиме.

Бесконтактные карты MIFARE Plus поддерживают 3 уровня безопасности и могут быть в любой момент переведены с одного уровня на более высокий.

SL0
Карты MIFARE Plus на уровне 0 не предназначены для использования. Заказчик должен проинициализировать чип MIFARE Plus и перевести его на более высокий уровень. Инициализация чипа может производиться по ключам, соответствующим MIFARE Classic с применением криптоалгоритма CRYPTO1, или по ключам AES.

SL1
На этом уровне карты имеют 100%-ную совместимость с MIFARE Classic 1K, MIFARE Classic 4K. Карты MIFARE Plus легко работают в существующих системах вместе с картами MIFARE Classic.

SL2
Аутентификация по AES является обязательной. Для защиты данных используется криптоалгоритм CRYPTO1. (В работе не используется, только для перехода на SL3)

SL3
Аутентификация, обмен данными, работа с памятью только по AES. Скопировать или подделать такую карту MIFARE Plus будет невозможно.

Современные считыватели, поддерживающие работу с MIFARE Plus, имеют различные интерфейсы подключения к контроллерам, в том числе и распространенный – Wiegand. Это позволяет легко и просто переводить действующие СКУД с карт EM-Marine на карты MIFARE Plus. Потребуется только замена считывателей. Контроллеры, программное обеспечение, базы данных сохраняются.