СКУД с шифрованием (защищенная идентификация)
Создание СКУД с шифрованием: аутентификация идентификатор-считыватель, создание уровней шифрования
Карта доступа СКУД – это идентификатор пользователя, на котором содержится некая информация – ключ, способный открыть что-либо или доступ к чему либо. Сложно представить современный мир без контактных и бесконтактных технологий идентификации. Использование банковских карт (с магнитной полосой, карты с чипом EMV, бесконтактные платежи PayPass, payWave); RFID-карты для транспорта, сферы развлечений и программ лояльности: и, конечно же, карты физического доступа в помещение или логического доступа к компьютеру и ИТ-ресурсам – наиболее яркие примеры повсеместного применения карт доступа.
При этом «карта» – довольно условное понятие, потому что идентификатор может быть в форме брелока, тэга, метки и т. д. Все большую популярность приобретает использование в качестве идентификаторов мобильных телефонов или других устройств, поддерживающих NFC-технологию. Именно поэтому вопрос безопасности передачи данных от идентификатора к считывателю как никогда актуален. Степень риска копирования информации с карт и их клонирования увеличивается ежедневно, и это заставляет более осознанно подходить к выбору технологий, обеспечивающих безопасную идентификацию.
Около 80% систем контроля доступа работают на низкочастотном стандарте 125 кГц. Повсеместно используются карты доступа Em-Marine с идентификацией по электронному номеру карты. И даже среди более новых HF-систем чаще всего используется все тот же UID. Это происходит ввиду недостаточных знаний технологии подрядной или эксплуатирующей организации, причем оборудование это может поддерживать. Идентификация только по электронному номеру карты небезопасна. После считывания UID ридером соответствующего частотного диапазона возможно создание клона карты с аналогичным номером. Для решения проблемы необходимо использовать современные технологии шифрования, широко применяющиеся в информационной безопасности.
Обеспечение безопасности систем контроля доступа
Одним из самых простых способов защиты является шифрование электронного номера карты. В таком случае UID зашифрован с использованием аппаратно-реализованных алгоритмов шифрования, чаще всего – AES. При этом ключи должны храниться в отдельной области памяти, что не позволит их считать при клонировании. Но важно понимать, что использование криптозащиты только в пропуске бесполезно. Старые СКУД, даже при замене пропусков на самые современные, не поддерживают шифрование между считывателем и идентификатором. В таких системах можно не только клонировать карту, но и перехватить незашифрованный сигнал по воздуху для создания копии пропуска.
Комплексный подход к безопасности обеспечивается только при комплексном применении современных систем контроля доступа, где и считыватель, и идентификатор разработаны с учетом технологий информационной безопасности. К таким решениям относится аутентификация пользователя, когда СКУД проверяет не только UID, даже зашифрованный, но и сам идентификатор. По-настоящему надежная система доступа оснащена пропусками со специальными MAC-подписями. Они гарантируют целостность и аутентичность передаваемых данных и предотвращают попытки взлома карты или перехвата сообщений злоумышленниками.
Проще говоря, процедура создания системы СКУД с шифрованием начинается с подбора Программного обеспечения и его функционала совместно с оценкой технических характеристик контроллеров. Такие контроллеры должны поддерживать определенный протокол подключения считывателей, способный передать необходимую длину кода (шифра). Так, для простейших систем с шифрованием требуется протокол, например, Wiegand 34 и выше. Далее карта доступа определенной разновидности (от которой зависит степень возможного шифрования) шифруется, а параллельно осуществляется аналогичное шифрование считывателей карт доступа. Таким образом, при поднесении зашифрованной карты доступа к считывателю происходит считывание не только уникального заводского UID карты, но и шифра из определенной зоны памяти карты, происходит сравнение шифра между картой и считывателем, а далее осуществляется идентификация. Так, если шифр не совпадает, то и передачи данных в контроллер не будет. Ярким примером применения таких карт являются гостиничный СКУД, когда мало купить идентификатор определенного формата, а его нужно «прошить», иначе он по сути будет невидимым для СКУД. Недостаточно купить систему контроля доступа с возможностью шифрования (по сути, СКУД с оборудованием, работающим с картами MiFare), важно обеспечить установку СКУД с шифрованием, организовать обучение и сопровождение. Важно, что стоимость контроля доступа (СКУД) с шифрованием не намного выше базовых систем на проксимити считывателях, но эффективность такой СКУД в разы выше. Плюсом также является возможность применения идентификации по смартфону.
При этом «карта» – довольно условное понятие, потому что идентификатор может быть в форме брелока, тэга, метки и т. д. Все большую популярность приобретает использование в качестве идентификаторов мобильных телефонов или других устройств, поддерживающих NFC-технологию. Именно поэтому вопрос безопасности передачи данных от идентификатора к считывателю как никогда актуален. Степень риска копирования информации с карт и их клонирования увеличивается ежедневно, и это заставляет более осознанно подходить к выбору технологий, обеспечивающих безопасную идентификацию.
Около 80% систем контроля доступа работают на низкочастотном стандарте 125 кГц. Повсеместно используются карты доступа Em-Marine с идентификацией по электронному номеру карты. И даже среди более новых HF-систем чаще всего используется все тот же UID. Это происходит ввиду недостаточных знаний технологии подрядной или эксплуатирующей организации, причем оборудование это может поддерживать. Идентификация только по электронному номеру карты небезопасна. После считывания UID ридером соответствующего частотного диапазона возможно создание клона карты с аналогичным номером. Для решения проблемы необходимо использовать современные технологии шифрования, широко применяющиеся в информационной безопасности.
Обеспечение безопасности систем контроля доступа
Одним из самых простых способов защиты является шифрование электронного номера карты. В таком случае UID зашифрован с использованием аппаратно-реализованных алгоритмов шифрования, чаще всего – AES. При этом ключи должны храниться в отдельной области памяти, что не позволит их считать при клонировании. Но важно понимать, что использование криптозащиты только в пропуске бесполезно. Старые СКУД, даже при замене пропусков на самые современные, не поддерживают шифрование между считывателем и идентификатором. В таких системах можно не только клонировать карту, но и перехватить незашифрованный сигнал по воздуху для создания копии пропуска.
Комплексный подход к безопасности обеспечивается только при комплексном применении современных систем контроля доступа, где и считыватель, и идентификатор разработаны с учетом технологий информационной безопасности. К таким решениям относится аутентификация пользователя, когда СКУД проверяет не только UID, даже зашифрованный, но и сам идентификатор. По-настоящему надежная система доступа оснащена пропусками со специальными MAC-подписями. Они гарантируют целостность и аутентичность передаваемых данных и предотвращают попытки взлома карты или перехвата сообщений злоумышленниками.
Проще говоря, процедура создания системы СКУД с шифрованием начинается с подбора Программного обеспечения и его функционала совместно с оценкой технических характеристик контроллеров. Такие контроллеры должны поддерживать определенный протокол подключения считывателей, способный передать необходимую длину кода (шифра). Так, для простейших систем с шифрованием требуется протокол, например, Wiegand 34 и выше. Далее карта доступа определенной разновидности (от которой зависит степень возможного шифрования) шифруется, а параллельно осуществляется аналогичное шифрование считывателей карт доступа. Таким образом, при поднесении зашифрованной карты доступа к считывателю происходит считывание не только уникального заводского UID карты, но и шифра из определенной зоны памяти карты, происходит сравнение шифра между картой и считывателем, а далее осуществляется идентификация. Так, если шифр не совпадает, то и передачи данных в контроллер не будет. Ярким примером применения таких карт являются гостиничный СКУД, когда мало купить идентификатор определенного формата, а его нужно «прошить», иначе он по сути будет невидимым для СКУД. Недостаточно купить систему контроля доступа с возможностью шифрования (по сути, СКУД с оборудованием, работающим с картами MiFare), важно обеспечить установку СКУД с шифрованием, организовать обучение и сопровождение. Важно, что стоимость контроля доступа (СКУД) с шифрованием не намного выше базовых систем на проксимити считывателях, но эффективность такой СКУД в разы выше. Плюсом также является возможность применения идентификации по смартфону.
Нужна консультация?
Подробно расскажем о сроках и стоимости услуг
Задать вопрос