FOKOZOTT BIZTONSÁGI KÖVETELMÉNYSZINTET TELJESÍTŐ

RFID RENDSZERESZKÖZÖK

Készítette: Filkorn József

2

Seawing termékpaletta

EGY PROXIMITY KORSZAK LEZÁRULTÚj trendek a rádiófrekvenciás azonosításban

3

Mi változott?

• A kártyák kommunikációja nyilvános lett• A gyártók szigorú felhasználói nyilvántartása és

megkülönböztetése megszűnt (az piacról kikerült forgalmazók miatt)

• Megjelentek a másodszállítók• Megjelentek a programozható kártyák és a

kártyakódolók• Megjelent a fizetőképes igény a másolatokra• A bűnözők „felzárkóztak” a technológiához

4

Nem párbeszédes rendszerek

• A kártya másolás ellen védhetetlen! (Mobil olvasók!)• A legtöbb ma használt rendszer ilyen

(Cotag, HID, Indala, Tiris, EM, UHF, Hyper-X, stb.)

Az olvasó kódolatlan jelet sugároz

A kártya mindig, bárkinekküldi a kódját

Házilag barkácsolt mobil kártyaszám olvasó vásárolható Seawing elemekből

6

Laptop táska

12V 7,2Ah akkumulátor

>8 óra üzemidő

VezérlőTöbb ezer kártyaadat

tárolására

Nagytávolságú olvasó (70 cm)

• Lásd: YouTube oktatófilmek RFID hacking

Érvénytelen azonosítók sorszámai a legegyszerűbb SeaKey programunk riasztás menüjében

7

Az olvasott érvénytelen kártyák száma

Másolat készítése a kártyaszám alapján

• Ez egy kereskedelemben kapható kártyaíró

• A programozható kártyák gyártói forgalmaznak kártyaírókat, melyekkel tetszőleges formátum írható

8

Hozzáférés védett rendszerek

• Az adatcserét megelőzi egy azonosítási folyamat• Csak összetartozó kártya és olvasó kommunikál egymással (HITAG2,

MIFARE, INSIDE, iClass, LEGIC)• A kriptográf kommunikáció, folyamatosan változik, lefigyelt adatfolyam

ismétlése hatástalan• Már törtek fel kriptográf rendszereket is! (MIFARE Classic, LEGIC)• Folyamatosan fejlődik a védelem is

Az olvasó kódolt jeleket sugároz, csak saját kártyával kommunikál

A kártya csak a saját olvasóval

kommunikál

Mifare CSALÁDISO 14443 alapon• Classic

– Hardver encryption– 1kbyte (16 szektor) és 4 kbyte kapacitás– Kulcsok a fejblokkban

• DESFire EV1(2008)– 2,4,8 kbyte kapacitás– Mesterkulccsal kezelhető applikációk– 14 kulcs– Projekt szervezésű

• Plus X (2009)– 2-4 kbyte kapacitás (32 vagy 40 szektor)– 4 vagy 7 byte egyedi sorszám (random kiválasztás is)– Blokk szervezésű– A kulcsok külön jogosultsággal írható, de nem olvasható szektorban

10

Miért MIFARE és miért Plus X?• Nyílt, átlátható, dokumentált eljárások, az összes többi

zárt rendszer• A kártyák több forrásból beszerezhetőek• Nincsenek licence díjak• A védelme a legmegbízhatóbb• Adatátviteli sebesség gyors (a nagyobb biztonság miatt

több a „felesleges” adatforgalom induláskor)• Elegendő memória kapacitás• Egyszerű multiapplikáció kezelés• Titkosított szektorolvasás ~50-100 msec

11

MIFARE Plus X• Nyílt AES titkosítási eljárás, mi az SL3 biztonsági szintet használjuk

– (Advanced Encryption Standard, az amerikai titkosítási tender 1999-es nyertese, 2001-től szabvány)

– Egyedi tranzakció azonosító, még a folyamatos azonos szektorolvasás is mindig más kommunikációt eredméyez

• Olvasási távolság: maximum 10 cm• Blokk (16 byte) szervezésű• „0” blokk Gyártó adatok, egyedi sorszám, titkosítva olvasható, nem írható• Szektorméret: 4 blokk

– 1 fej (kulcs hozzáférés joga, adatáramlás)– 3 user blokk

• Azonosítás szektoronként, minden szektorhoz 2 db 128 bites kulcs• Az azonos kulccsal rendelkező szektorok összevonhatóak• A felhasználói területhez a kulcsot átadjuk a felhasználónak, melyet átírhat a

saját applikációihoz• Támogató programok applikációk készítéséhez

12

MIFARE Plus X kommunikáció1. Nyílt üzenetváltás

• 7x üzenetváltás»»Kártya megszólítás ISO14443-3»»

«« Kártya jellemzők«««» Anticollision szűrés «»

«« Egyedi kártyasorszám««»»Kártya kiválasztás»»

• Tranzakciós paraméter egyeztetés106 kbit/sec

14443-4 szintű adatátvitel13

»»Parancs, szektor, jelszó»»• Áttér AES titkosításra

«« Random kártyasorszám««• Olvasó visszafejti a kódolt sorszámot

»» kártya+olvasó random szám»»• Kártya visszafejti és ellenőrzi a sorszámokat• Szektor hozzáférés engedélyezve

«» Adatcsere 128 bites AES titkosítással«»• Hozzáférés az összes szektorhoz, melynek

azonos a kulcsa

MIFARE Plus X kommunikáció2. Titkosított üzenetváltás

14

Rossz hír• Minden rendszer nyílt, melynél akár az olvasó, akár

a kártya rendeléséhez nem kell egyedi megrendelés, vagy a kapott eszközöket nem kell utólag paraméterezni

• A tömegével forgalmazott olcsó proximity rendszerek a leggyengébb védelmet adják (EM)

• Mifare olvasók is szinte mind csak sorszám (és nem szektor) olvasók

• A jó válasz: le kell cserélni az olvasókat és az azonosítókat

15

Jelszó kezelési eljárások• Meg kell bízni a rendszer szállítójában és kódoltan kell

rendelni az olvasókat és azonosítókat• Saját rendszerében a felhasználó maga kezeli a

jelszavakat, ő kódolja az olvasókat és az azonosítókat• Seawing támogatás

– Jelszóváltó kártyák (mi őrizzük, vagy átadjuk)• Tartalmaznia kell a régi és az új jelszót is• A gyári jelszó lecserélésével védett lesz a rendszer az idegen

beavatkozási kísérletektől

– Egyedi kártyaszállítás, ha kell megszemélyesítéssel– Kártyakódoló rendszer felhasználó általi jelszókezeléshez

16

OLVASÓCSALÁD

17

SW-MP-400

18

• Mifare Plus X és DesFire• Egységes formai megjelenés• Megnövelt antennafelület,

stabilabb olvasás• Szabotázsvédelem• Kapacitív PIN kód tasztatúra világító

gombokkal• Kültéri kivitel is (IP64)• 4 szín kijelzés és hangjelzés• Könnyű szerelhetőség• Szabványos rögzítő furatok

Régi rendszerek megújítása• Az olvasó interfész azonos a régi olvasókkal• Elegendő csak az olvasókat és az azonosítókat

lecserélni• Az átmunkálás idejére vegyesen is működik a

rendszer (a fele régi, a fele új), ha a felhasználói azonosítók új száma megegyezik a régivel

• Szabotázs védelem az olvasókra is

19

ÉRINTŐ KÉPERNYŐS TERMINÁL

20

SW-IT-400Nagy teljesítményű processzorLINUX operációs rendszer7” kijelző, 800x480 felbontásKapacitív vagy rezisztív érintő képernyő Beépített olvasó, 4 színjelzés, hangjelzésSzabotázsvédett burkolatEthernet2db CAN2db USBRS4853 db RS232

21

6db általános bemenet2db táphiba bemenet2db relé kimenetVízálló kivitel is (IP64)

AlkalmazásokMunkaidő nyilvántartó terminálVagyonvédelmi kezelőInformációs terminálVagyonvédelmi rendszerkliens

22

SZEKRÉNYZÁR

23

SW-RFL-400• Egységes forma• Kényelmes kezelés• Háromféle kiépítés– Beépített elemes

off-line– Központi

tápellátású off-line– Központi

tápellátású on-line

24

Könnyű installálás

• Ne legyen balos-jobbos változat

• Az ajtóban ne legyen huzalozás

• Fa- és fémszekrényre is szerelhető

25

Zárba integrált olvasó

• Illeszkedjen a használt kártyatípusokhoz

• Folyamatos állapotkijelzés

26

Biztonságos használat• Zárás csak azonosítással• Retesz érzékelő• Ajtónyitás érzékelő• Rejthető kábelezés

27

Mechanikai biztonság• A zárószerkezet belül legyen hozzáférhetetlenül,

ne lehessen „kipeckelni”• Ne lehessen a csavarokat meglazítani• Lefúrási lehetőség a szekrény sérülése nélkül

28

PROXIMITY AZONOSÍTÓ ÓRA

29

SW-IDW-400• Kompatibilitás az új azonosítási technikákkal• Formai illeszkedés az új családhoz• A várható környezeti hatásokkal szembeni

ellenálló képesség• Multiapplikációs környezet támogatása• Különböző színek

30

Köszönöm a figyelmüket!

Elérhetőségeink:8000 Székesfehérvár, Palánkai u. 5.Telefon: 22 – 510 170Fax: 22 – 510 171E-mail: sales@seawing.huWEB: www.seawing.hu