DESFire w twoim systemie identyfikacji

Jedna z najbezpieczniejszych technologii RFID, DESFire, wymaga wprawdzie specjalistycznej wiedzy, ale wynagradza to najwyższym poziomem bezpieczeństwa oraz możliwościami rozbudowy systemu w przyszłości. Poniżej o zaletach DESFire EV1 oraz plusach jego wdrożenia.

Jarosław Gołębiewski
ACTE

Rodzaj RFID ma znaczenie

Projektowanie lub rozbudowę istniejącego systemu identyfikacji RFID warto rozpocząć od analizy czytników oraz urządzeń sterujących. Przez wiele lat identyfikacja RFID w systemach kontroli dostępu opierała się na kartach (transponderach) i ich numerach seryjnych. Można je było odczytywać na dowolnym czytniku, byle był kompatybilny z transponderem, co zawsze powodowało zagrożenie w postaci możliwości sklonowania poświadczeń. Nawet dziś w wielu obiektach stosuje się najprostsze, nie w pełni bezpieczne rozwiązania. Wraz z rosnącą świadomością dotyczącą możliwości duplikowania transponderów wykorzystujących wyłącznie UID, coraz częściej wybiera się rozwiązania, w których wszelkie informacje chronią klucze szyfrujące, powodujące, że nieautoryzowany odczyt karty jest niemożliwy.

Oczywiste, że różnica między identyfikacją wykorzystującą wyłącznie niechronione numery karty, tzw. UID, a identyfikacją poświadczeń zabezpieczonych jest ogromna. Oznacza to, że wybór odpowiedniej techniki RFID podczas projektowania systemu jest bardzo istotny. DESFire spełnia wszystkie wymagania w tym zakresie. Dzięki programowalnym sektorom, transpondery DESFire mogą realizować znacznie więcej funkcji niż tylko zapewniać bezpieczeństwo na najwyższym poziomie.

Czytniki IDESCO
Czytniki IDESCO serii 8CD 2.0 – typy obudów

Co to jest DESFire? Jak działa?

DESFire to otwarty standard technologii MIFARE. Otwarta technologia oznacza, że MIFARE zarządza standardem DESFire, ale każdy dostawca może produkować urządzenia i transpondery, wykorzystując ten standard. Dzięki otwartej technologii, integratorzy systemów mogą dowolnie wybierać urządzenia różnych producentów, ponieważ są one kompatybilne.

DESFire zapewnienia bardzo wysoki poziom bezpieczeństwa. Wykorzystuje najbezpieczniejsze, 128-bitowe szyfrowanie AES. Większa pamięć umożliwia kompleksowe uwierzytelnianie z wykorzystaniem licznych kluczy szyfrujących, aby chronić dane transponderów. Struktura pamięci transponderów DESFire znacząco różni się od pamięci transponderów niskiej częstotliwości (125 kHz) z fabrycznie zakodowanymi numerami.

AESCO z zastosowaniem modułu deszyfrującego
AESCO z zastosowaniem modułu deszyfrującego

AESCO – protokoły deszyfrujące zainstalowane w kontrolerze
AESCO – protokoły deszyfrujące zainstalowane w kontrolerze

Pamięć transpondera DESFire EV1 zawiera do 28 aplikacji, z których każda może zawierać do 32 plików, co oznacza, że mogą się w niej znajdować aż 32 potencjalne lokalizacje do przechowywania danych w każdej z tych 28 aplikacji. Pliki są chronione przez ciągi 32 znaków, zwanych kluczami aplikacji. Każda aplikacja może przechowywać łącznie 16 kluczy i tylko czytniki skonfigurowane z odpowiednimi kluczami zapewniają dostęp do informacji zapisanych w tych plikach.
Stacja migracyjna

Transponder DESFire może mieć również klucz główny (Master Key), zabezpieczający cały nośnik danych. Oznacza to, że można mieć transpondery podwójnie zabezpieczone, tzn. czytnik najpierw uwierzytelnia klucz główny bezpośrednio z transponderem, a dopiero potem dopuszcza odczyt danych z poszczególnych aplikacji.

Przykład konfiguracji interfejsów komunikacyjnych
Przykład konfiguracji interfejsów komunikacyjnych

Przykład struktury aplikacji i plików
Przykład struktury aplikacji i plików

Przykład przypisywania kluczy szyfrujących
Przykład przypisywania kluczy szyfrujących

Przykład programowania kart użytkownika
Przykład programowania kart użytkownika

Co z danymi przechowywanymi w systemie?

DESFire przesyła dane z karty do czytnika, stosując zaszyfrowaną transmisję. Tylko czytniki i transpondery zaprogramowane do komunikowania się ze sobą, tj. dysponujące tymi samymi kluczami szyfrującymi, mogą współpracować. A jak wygląda transfer danych wewnątrz systemu, tzn. od czytnika do kontrolera? Bardzo często czytnik z DESFire musi konwertować zaszyfrowane dane z transponderów, tak aby były zrozumiałe dla kontrolerów systemowych, czyli przekształcić je w transmisję nieszyfrowaną, np. Wiegand. Niezaszyfrowane dane w pewnych warunkach mogą zostać przechwycone przez osoby nieuprawnione.

Firma Idesco jako pierwsza opracowała rozwiązanie, które zapewnia przesyłanie zaszyfrowanych danych z czytnika do kontrolera przy użyciu metody kodowania danych AES. Istnieje kilka sposobów na wprowadzenie rozwiązania Idesco AESCO. Można zastosować czytnik Idesco 8 CD 2.0 AES. Instalowany w pobliżu kontrolera moduł AESCO odkodowuje dane, aby były zrozumiałe dla systemu.

Innym rozwiązaniem jest zastosowanie czytnika Idesco 8 CD 2.0 AES – protokoły deszyfrujące są zainstalowane w kontrolerze. Ta opcja wymaga dodatkowego dostosowania oprogramowania oraz urządzeń konkretnego systemu.

Powyższe rozwiązania mogą być zrealizowane również w istniejących systemach opartych na MIFARE.

O DESFire

Stosowanie DESFire wiąże się z zarządzaniem kluczami bezpieczeństwa. To zasadnicza cecha tego standardu. Wielu integratorów oraz instalatorów samodzielnie zarządza kluczami szyfrującymi, jak również programuje czytniki i transpondery. Dla tych, którzy chcą zadbać o bezpieczeństwo, Idesco ma rozwiązanie o nazwie DESCoder. Jest to narzędzie do programowania kart konfiguracyjnych DESFire dla czytników 8 CD 2.0 oraz kompatybilnych transponderów.

Dzięki karcie konfiguracyjnej można łatwo przeprogramować czytniki, dostosowując je do różnorodnych wymagań systemowych w zakresie interfejsu oraz zmienić takie funkcje czytnika, jak brzęczyk lub sygnalizacja diod LED. DESCoder pozwala także odczytywać, analizować oraz formatować transpondery MIFARE Classic oraz DESFire, a następnie zakodować je zgodnie ze specyficznymi wymaganiami (kluczami) klienta. Kluczy DESFire EV1 można również użyć do zapisywania plików aplikacji i certyfikatów, dodatkowo zabezpieczając w ten sposób transpondery DESFire.

DESFire zamiast MIFARE

Czytniki Idesco 8 CD 2.0 DESFire są wstecznie kompatybilne ze starymi czytnikami MIFARE UID, mogą wiec być instalowane w istniejących systemach MIFARE. Można stopniowo modernizować system, wprowadzając wyższy poziom bezpieczeństwa. Wystarczy zaktualizować czytniki kartą konfiguracyjną, co można zrobić bez ich odinstalowywania. Do przeniesienia bieżących identyfikatorów do DESFire służy narzędzie Idesco – stacja migracyjna. Odczytuje ona identyfikatory w starej technologii, tworzy nowe, bardzo bezpieczne transpondery DESFire, zachowując kompatybilność z istniejącym systemem.

Idesco – 27 lat doswiadczen w RFID

Firma Idesco powstała w 1989 roku w technologicznym sercu Finlandii – mieście Oulu. Idesco dostarcza bezpieczne i skalowalne rozwiązania identyfikacyjne RFID związane z kontrolą dostępu, z automatyczną identyfikacją pojazdów oraz do zastosowań przemysłowych i logistycznych. W portfolio firmy są i najprostsze urządzenia pracujące na częstotliwości 125 kHz, takie jak Unique oraz HIDProx, i bardziej zaawansowane rozwiązania 13,56 MHz wykorzystujące UID różnych typów transponderów Mifare, i najbardziej zaawansowane MIFARE DESFire EV1, EV2 oraz Legic. Uzupełnieniem są czytniki dalekiego zasięgu UHF, pracujące w standardzie EPC GEN2.
Więcej na http://www.idesco.fi oraz http://www.acte.pl

Słowniczek:
UID: Unique Serial Number – unikatowy numer seryjny transpondera.
RFID: Radio-Frequency IDenti_cation – identyfikacja za pomocą fal radiowych.
AES: Advanced Encryption Standard – zaawansowany standard szyfrowania.
AESCO: rozwiązanie firmy IDESCO, wykorzystujące standard AES.
Mifare DESFire: technologia RFID, 13,56 MHz, opracowana przez firmę NXP.
Wiegand: protokół wykorzystywany w systemach kontroli dostępu, transmisja jednokierunkowa, nieszyfrowana.
Transponder: nośnik danych RFID.

Oto krótka prezentacja na temat RFID:
prezentacja qrcode

Autorem tekstu jest Jarosław Gołębiewski - ACTE. Tekst ukazał się w czasopiśmie TWIERDZA http://www.twierdza.info/