Czytniki OSDP z odczytem szyfrowanych kart. Każdy system jest tak bezpieczny jak jego najsłabsze ogniwo

Szczegóły
Nadrzędna kategoria: Zabezpieczenia
Kategoria: SKD

mmadeZwykło się mówić, że najsłabszym ogniwem jest człowiek. Nawet jeśli to prawda, to nie usprawiedliwia to lekceważenia słabości innych elementów systemu. Poszczególne elementy systemu kontroli dostępu muszą się ze sobą komunikować. Każda taka komunikacja jest narażona na atak i w związku z tym powinna być odpowiednio zabezpieczona. W tym artykule zajmiemy się przekazaniem informacji z identyfikatora do kontrolera, czyli odczyt identyfikatorów przez czytnik oraz połączenia czytniki–kontroler. Za bezpieczeństwo połączenia czytnik–kontroler odpowiada protokół OSPD, natomiast system MmSID (MicroMade Secure Identification) ma za zadanie zapewnić bezpieczną, odporną na ataki komunikację między czytnikami a identyfikatorami RFID.

Protokół OSDP

Jeszcze niedawno czytniki były często dołączone do kontrolerów po interfejsie Wiegand. Protokół Wiegand powstał w 1980 roku i nie spełnia on żadnych współczesnych norm bezpieczeństwa. Dlatego w wielu firmach były opracowywane własne protokoły transmisji, w większości oparte o przemysłowy standard RS485 – komunikacja do wielu urządzeń po 2 drutach. Jednym z takich protokołów jest OSDP (Open Supervised Device Protokol).

Początkowo nie był to najlepszy wybór, ponieważ transmisja nie była szyfrowana. Dopiero druga wersja protokołu wprowadziła szyfrowanie transmisji oparte o algorytm AES128. W 2020 roku OSDP został przyjęty jako norma europejska EN IEC 60839-11-5:2020 i od tej pory staje się standardem w nowych systemach kontroli dostępu. Prawidłowo zaimplementowany protokół OSDP (z wykorzystaniem szyfrowania) zapewnia odpowiedni poziom bezpieczeństwa komunikacji czytników z kontrolerami. Protokół OSDP ma też swoje wady.

Wszystkie czytniki OSDP przed rozpoczęciem pracy w systemie kontroli dostępu muszą mieć nadane indywidualne adresy oraz powinny być ustawione na tę samą prędkość transmisji. Taka wstępna konfiguracja jest standardowo wykonywana poprzez dołączenie kolejnych czytników pojedynczo do komputera. Dopiero tak przygotowany czytnik może być zainstalowany w miejscu zgodnym z nadanym adresem. Taka procedura jest dość uciążliwa dla instalatorów. Każdy czytnik musi przejść przez ręce kogoś, kto ustali te dane. Następnie trzeba zadbać o to, aby każdy został powieszony w odpowiednim miejscu.

W obecnej wersji OSDP definiuje szyfrowanie komunikacji RS485, ale nie precyzuje sposobu zabezpieczenia komunikacji z kartą zbliżeniową. To trzeba zdefiniować samemu korzystając z możliwości rozszerzeń standardu. W celu zapewnienia bezpiecznego odczytu karty RFID oraz ułatwienia procesu instalacji czytników OSDP został zaprojektowany system MmSID.

MmSID – System Bezpiecznej Identyfikacji MicroMade

System MmSID (MicroMade Secure Identification) dla protokołu OSDP został zaprojektowany, aby zapewnić najwyższy możliwy poziom bezpieczeństwa przy identyfikacji kartami typu Mifare®.

Szyfrowane karty to podstawowy identyfikator systemu MmSID. Używane są wyłącznie karty MIFARE® DESFire® (EV1, EV2, EV3). Karty te, po zaprogramowaniu w danej instalacji, zapewniają najwyższy poziom bezpieczeństwa. Karty MIFARE® DESFire® w systemie MmSID są zabezpieczone przed nieautoryzowaną modyfikacją i kopiowaniem.

Podstawą bezpieczeństwa systemu MmSID jest klucz kryptograficzny „Master Instalacji” generowany lokalnie w czasie konfiguracji instalacji. Klucz ten po wygenerowaniu jest zapisywany w KeySafe, czyli w sejfie wykonanym w postaci wtyczki USB-A. Po zakończeniu instalacji KeySafe powinien być przechowywany w bezpiecznym miejscu.

Dla bezpieczeństwa system umożliwia wykonanie zaszyfrowanej kopii klucza ‘Master Instalacji’ na karcie DESFire®. W przypadku uszkodzenia KeySafe będzie możliwość wgrania klucza „Master Instalacji” w nowym KeySafe, ale tylko we współpracy z czytnikami danej instalacji.

KeySafe nigdy nie udostępnia klucza „Master Instalacji”. Wszystkie klucze kryptograficzne użyte w instalacji MmSID powstają z tego klucza w procesie jego dywersyfikacji. KeySafe, po przygotowaniu potrzebnego klucza, przesyła go do odpowiedniego urządzenia w postaci szyfrowanego certyfikatu. W ten sposób wytwarzane są klucze:

  •  do programowania kart,
  •  do uwierzytelnienia/odczytu danych z kart,
  •  do szyfrowania i podpisywania danych na karcie. 

Dla każdej karty użyte są inne klucze. Dane z karty mogą być odczytane dopiero po uwierzytelnieniu się czytnika z wykorzystaniem indywidualnych kluczy danej karty. Dodatkowo, dane zapisane na karcie są podpisane i zaszyfrowane innymi kluczami (również indywidualnymi dla danej karty). W systemie MmSID karty programowane są w taki sposób, aby uzyskać możliwie najwyższy poziom bezpieczeństwa:

  • karta identyfikuje się losowym ID,
  • wykorzystywany jest tylko algorytm AES128 (nie są wykorzystywane algorytmy DES),
  • klucze kryptograficzne do uwierzytelnienia/ odczytu danych z karty są dywersyfikowane – dla każdej karty użyte są inne klucze,
  • dane na karcie są podpisane i zaszyfrowane z wykorzystaniem trybu CMAC_CTR z algorytmem AES128.

Proces odczytu identyfikatora RFID

Odczyt identyfikatora następuje przed uzyskaniem dostępu, a więc odbywa się poza strefą chronioną. Należy więc przyjąć, że odbywa się w środowisku narażonym na atak. Jest to komunikacja wykorzystująca pole elektromagnetyczne, a każda taka komunikacja, nawet gdy odbywa się na dystansie zaledwie kilku cm, może być ‘podsłuchana’ ze znacznie większej odległości. Dlatego każdy odczyt identyfikatorów, który dałby się powtórzyć, nie zapewnia bezpieczeństwa tego połączenia.

W systemie MmSID wykorzystano karty MIFARE® DESFire®, które pozwalają na szyfrowaną, niepowtarzalną komunikację czytnika z kartą (i w ten sposób są używane).

Po zbliżeniu karty do czytnika karta przedstawia się swoim identyfikatorem. Poznanie identyfikatora karty (nawet bez odczytu danych z karty co wymaga posiadania odpowiednich kluczy kryptograficznych) pozwala zdalnie i jednoznacznie identyfikować daną osobę. Dlatego karty w systemie MmSID są ustawiane w tryb przedstawiania się za każdym razem innym, losowym identyfikatorem. Dzięki temu, osobie bez znajomości kluczy instalacji, karta nie udostępnia absolutnie żadnych informacji.

Dopiero nawiązanie z kartą szyfrowanej sesji za pomocą klucza danej instalacji pozwala odczytać jej niepowtarzalny identyfikator (UID). UID karty umożliwia czytnikowi ustalenie indywidualnych kluczy niezbędne do uwierzytelnienia do aplikacji MmSID na karcie. Po uwierzytelnieniu możliwy jest odczyt zaszyfrowanego pliku z danymi. Odszyfrowanie pliku i sprawdzenie podpisu wymaga użycia innych kluczy, również indywidualnych dla danej karty.

Jedną z danych zapisywanych w tym pliku jest UID karty. Dopiero zgodność UIDa odszyfrowanego z pliku z UIDem karty jest potwierdzeniem dla czytnika, że cały odczyt jest prawidłowy. Zależnie od konfiguracji czytnik przesyła po łączu OSDP odpowiednie dane z pliku do kontrolera. Zadaniem kontrolera jest ustalić, czy danej osobie należy udzielić w tym momencie dostępu.

Zawsze należy zakładać, że atakujący może wejść w posiadanie karty z danego systemu (zgubienie, kradzież). Ryzyko jej użycia jest ograniczone w czasie – po zgłoszeniu karta zostanie zablokowana w systemie. Większym ryzykiem jest próba wydobycia z karty zapisanych tam kluczy. Takie klucze mogłyby pozwolić na zapisanie na innej karcie ustalonych przez siebie danych. W systemie MmSID jest to wykluczone:

  • na każdej karcie są inne klucze uzyskiwane poprzez dywersyfikację kryptograficzną funkcją jednokierunkową z klucza głównego (jak z samej nazwy wynika, nie da się z kluczy zapisanych na karcie odtworzyć klucza głównego),
  • na karcie nie ma kluczy do zaszyfrowania i podpisania pliku z danymi (jak było napisane wyżej, te klucze też są indywidualne dla karty – więc plik skopiowany na inną kartę nie będzie możliwy do odszyfrowania).

Czytniki RFID

Integralną częścią instalacji MmSID jest programator MM-A70:

  • przechowuje klucze do programowania kart otrzymane z KeySafe,
  • dywersyfikuje klucze dla każdej karty,
  • programuje karty MIFARE® DESFire® zapisując w bezpiecznej, szyfrowanej strefie karty dane potrzebne do identyfikacji. 

Do odczytu kart przygotowano różnorodne czytniki OSDP serii MM-R7x. Istnieją zarówno czytniki odporne na warunki atmosferyczne, czytniki z klawiaturą, eleganckie czytniki z frontem szklanym (z dowolną grafiką), czytniki z wyświetlaczem oraz czytniki bezprzewodowe.

W przeciwieństwie do standardowych czytników OSDP, czytniki serii MM-R7x można konfigurować do pracy już po ich dołączeniu do magistrali OSDP. Kolejność jest następująca:

  • montaż czytników w docelowym miejscu i dołączenie do magistrali OSDP,
  • konfiguracja czytników,
    – nadania adresów niezbędnych na szynie OSDP,
    – ustalenie prędkości transmisji wymaganej przez kontroler,
    – wgranie kluczy potrzebnych do odczytu kart danej instalacji.

Konfiguracja czytników dołączonych do szyny OSDP jest możliwa dzięki zarządcy szyny. MmSID Manager potrafi wyszukać czytniki serii MM-R7x na magistrali OSDP. Nie ma znaczenia jakie mają adresy, czy na jakiej prędkości pracują. Wszystkie zostaną wyszukane i możliwa będzie ich konfiguracja. Przed nadaniem właściwego adresu możliwa jest identyfikacja czytników – wskazany czytnik przez chwilę brzęczy i mruga diodami LED.

Menedżer pozwala również na przetestowanie poprawności odczytu kart, działania tamperów itp.

System Bezpiecznej Identyfikacji MicroMade (MmSID) dla protokołu OSDP charakteryzuje się następującymi właściwościami:

  • może współpracować z dowolnym kontrolerem obsługującym czytniki wykorzystując protokół OSDP (PN-EN 60839-11-5);
  • umożliwia budowanie systemu kontroli dostępu w 4 stopniu zabezpieczeń (najwyższym), zgodnie z normą PN-EN 60839-11-1;
    – szyfrowana komunikacja OSDP między kontrolerem a czytnikami,
    – obopólne uwierzytelnienie czytnik-karta z wykorzystaniem algorytmu AES128,
    – komunikacja z kartą w szyfrowanej sesji,
    – karty zabezpieczone przed nieautoryzowaną modyfikacją i kopiowaniem;
  • klucze kryptograficzne zapewniające bezpieczeństwo systemu generowane lokalnie przez administratora instalacji.

Nie istnieje żadna kopia kluczy instalacji MmSID w firmie MicroMade ani w żadnej „chmurze”.

System MmSID zapewnia bezpieczeństwo identyfikacji osób w systemach kontroli dostępu, a jednocześnie umożliwia wygodną instalację systemu opartego o protokół OSDP.

micromade

Artykuł firmy ifTer 
www.micromade.pl 

 

Pin It

Wyszukiwarka

Najnowsze wydanie

Wydanie 02-2026 2026-04-03

pfr 350px

Facebook

Wydanie specjalne

Wydanie specjalne - securitech c5 20240614

Patronaty

PROTEGA GRAFIKI

  
SECURITECH konf szkol

Poradnik Ochrona1

Partnerzy

 

logo PPBW
OB pl

Forum Więziennictwa winieta 

logo sochaczew

 

pi