Upload
taylor-owens
View
31
Download
2
Embed Size (px)
DESCRIPTION
FOKOZOTT BIZTONSÁGI KÖVETELMÉNYSZINTET TELJESÍTŐ RFID RENDSZERESZKÖZÖK. Készítette: Filkorn József. Seawing termékpaletta. Új trendek a rádiófrekvenciás azonosításban. Egy Proximity korszak lezárult. Mi változott?. A kártyák kommunikációja nyilvános lett - PowerPoint PPT Presentation
Citation preview
FOKOZOTT BIZTONSÁGI KÖVETELMÉNYSZINTET TELJESÍTŐ
RFID RENDSZERESZKÖZÖK
Készítette: Filkorn József
2
Seawing termékpaletta
EGY PROXIMITY KORSZAK LEZÁRULTÚj trendek a rádiófrekvenciás azonosításban
3
Mi változott?
• A kártyák kommunikációja nyilvános lett• A gyártók szigorú felhasználói nyilvántartása és
megkülönböztetése megszűnt (az piacról kikerült forgalmazók miatt)
• Megjelentek a másodszállítók• Megjelentek a programozható kártyák és a
kártyakódolók• Megjelent a fizetőképes igény a másolatokra• A bűnözők „felzárkóztak” a technológiához
4
Nem párbeszédes rendszerek
• A kártya másolás ellen védhetetlen! (Mobil olvasók!)• A legtöbb ma használt rendszer ilyen
(Cotag, HID, Indala, Tiris, EM, UHF, Hyper-X, stb.)
Az olvasó kódolatlan jelet sugároz
A kártya mindig, bárkinekküldi a kódját
Házilag barkácsolt mobil kártyaszám olvasó vásárolható Seawing elemekből
6
Laptop táska
12V 7,2Ah akkumulátor
>8 óra üzemidő
VezérlőTöbb ezer kártyaadat
tárolására
Nagytávolságú olvasó (70 cm)
• Lásd: YouTube oktatófilmek RFID hacking
Érvénytelen azonosítók sorszámai a legegyszerűbb SeaKey programunk riasztás menüjében
7
Az olvasott érvénytelen kártyák száma
Másolat készítése a kártyaszám alapján
• Ez egy kereskedelemben kapható kártyaíró
• A programozható kártyák gyártói forgalmaznak kártyaírókat, melyekkel tetszőleges formátum írható
8
Hozzáférés védett rendszerek
• Az adatcserét megelőzi egy azonosítási folyamat• Csak összetartozó kártya és olvasó kommunikál egymással (HITAG2,
MIFARE, INSIDE, iClass, LEGIC)• A kriptográf kommunikáció, folyamatosan változik, lefigyelt adatfolyam
ismétlése hatástalan• Már törtek fel kriptográf rendszereket is! (MIFARE Classic, LEGIC)• Folyamatosan fejlődik a védelem is
Az olvasó kódolt jeleket sugároz, csak saját kártyával kommunikál
A kártya csak a saját olvasóval
kommunikál
Mifare CSALÁDISO 14443 alapon• Classic
– Hardver encryption– 1kbyte (16 szektor) és 4 kbyte kapacitás– Kulcsok a fejblokkban
• DESFire EV1(2008)– 2,4,8 kbyte kapacitás– Mesterkulccsal kezelhető applikációk– 14 kulcs– Projekt szervezésű
• Plus X (2009)– 2-4 kbyte kapacitás (32 vagy 40 szektor)– 4 vagy 7 byte egyedi sorszám (random kiválasztás is)– Blokk szervezésű– A kulcsok külön jogosultsággal írható, de nem olvasható szektorban
10
Miért MIFARE és miért Plus X?• Nyílt, átlátható, dokumentált eljárások, az összes többi
zárt rendszer• A kártyák több forrásból beszerezhetőek• Nincsenek licence díjak• A védelme a legmegbízhatóbb• Adatátviteli sebesség gyors (a nagyobb biztonság miatt
több a „felesleges” adatforgalom induláskor)• Elegendő memória kapacitás• Egyszerű multiapplikáció kezelés• Titkosított szektorolvasás ~50-100 msec
11
MIFARE Plus X• Nyílt AES titkosítási eljárás, mi az SL3 biztonsági szintet használjuk
– (Advanced Encryption Standard, az amerikai titkosítási tender 1999-es nyertese, 2001-től szabvány)
– Egyedi tranzakció azonosító, még a folyamatos azonos szektorolvasás is mindig más kommunikációt eredméyez
• Olvasási távolság: maximum 10 cm• Blokk (16 byte) szervezésű• „0” blokk Gyártó adatok, egyedi sorszám, titkosítva olvasható, nem írható• Szektorméret: 4 blokk
– 1 fej (kulcs hozzáférés joga, adatáramlás)– 3 user blokk
• Azonosítás szektoronként, minden szektorhoz 2 db 128 bites kulcs• Az azonos kulccsal rendelkező szektorok összevonhatóak• A felhasználói területhez a kulcsot átadjuk a felhasználónak, melyet átírhat a
saját applikációihoz• Támogató programok applikációk készítéséhez
12
MIFARE Plus X kommunikáció1. Nyílt üzenetváltás
• 7x üzenetváltás»»Kártya megszólítás ISO14443-3»»
«« Kártya jellemzők«««» Anticollision szűrés «»
«« Egyedi kártyasorszám««»»Kártya kiválasztás»»
• Tranzakciós paraméter egyeztetés106 kbit/sec
14443-4 szintű adatátvitel13
»»Parancs, szektor, jelszó»»• Áttér AES titkosításra
«« Random kártyasorszám««• Olvasó visszafejti a kódolt sorszámot
»» kártya+olvasó random szám»»• Kártya visszafejti és ellenőrzi a sorszámokat• Szektor hozzáférés engedélyezve
«» Adatcsere 128 bites AES titkosítással«»• Hozzáférés az összes szektorhoz, melynek
azonos a kulcsa
MIFARE Plus X kommunikáció2. Titkosított üzenetváltás
14
Rossz hír• Minden rendszer nyílt, melynél akár az olvasó, akár
a kártya rendeléséhez nem kell egyedi megrendelés, vagy a kapott eszközöket nem kell utólag paraméterezni
• A tömegével forgalmazott olcsó proximity rendszerek a leggyengébb védelmet adják (EM)
• Mifare olvasók is szinte mind csak sorszám (és nem szektor) olvasók
• A jó válasz: le kell cserélni az olvasókat és az azonosítókat
15
Jelszó kezelési eljárások• Meg kell bízni a rendszer szállítójában és kódoltan kell
rendelni az olvasókat és azonosítókat• Saját rendszerében a felhasználó maga kezeli a
jelszavakat, ő kódolja az olvasókat és az azonosítókat• Seawing támogatás
– Jelszóváltó kártyák (mi őrizzük, vagy átadjuk)• Tartalmaznia kell a régi és az új jelszót is• A gyári jelszó lecserélésével védett lesz a rendszer az idegen
beavatkozási kísérletektől
– Egyedi kártyaszállítás, ha kell megszemélyesítéssel– Kártyakódoló rendszer felhasználó általi jelszókezeléshez
16
OLVASÓCSALÁD
17
SW-MP-400
18
• Mifare Plus X és DesFire• Egységes formai megjelenés• Megnövelt antennafelület,
stabilabb olvasás• Szabotázsvédelem• Kapacitív PIN kód tasztatúra világító
gombokkal• Kültéri kivitel is (IP64)• 4 szín kijelzés és hangjelzés• Könnyű szerelhetőség• Szabványos rögzítő furatok
Régi rendszerek megújítása• Az olvasó interfész azonos a régi olvasókkal• Elegendő csak az olvasókat és az azonosítókat
lecserélni• Az átmunkálás idejére vegyesen is működik a
rendszer (a fele régi, a fele új), ha a felhasználói azonosítók új száma megegyezik a régivel
• Szabotázs védelem az olvasókra is
19
ÉRINTŐ KÉPERNYŐS TERMINÁL
20
SW-IT-400Nagy teljesítményű processzorLINUX operációs rendszer7” kijelző, 800x480 felbontásKapacitív vagy rezisztív érintő képernyő Beépített olvasó, 4 színjelzés, hangjelzésSzabotázsvédett burkolatEthernet2db CAN2db USBRS4853 db RS232
21
6db általános bemenet2db táphiba bemenet2db relé kimenetVízálló kivitel is (IP64)
AlkalmazásokMunkaidő nyilvántartó terminálVagyonvédelmi kezelőInformációs terminálVagyonvédelmi rendszerkliens
22
SZEKRÉNYZÁR
23
SW-RFL-400• Egységes forma• Kényelmes kezelés• Háromféle kiépítés– Beépített elemes
off-line– Központi
tápellátású off-line– Központi
tápellátású on-line
24
Könnyű installálás
• Ne legyen balos-jobbos változat
• Az ajtóban ne legyen huzalozás
• Fa- és fémszekrényre is szerelhető
25
Zárba integrált olvasó
• Illeszkedjen a használt kártyatípusokhoz
• Folyamatos állapotkijelzés
26
Biztonságos használat• Zárás csak azonosítással• Retesz érzékelő• Ajtónyitás érzékelő• Rejthető kábelezés
27
Mechanikai biztonság• A zárószerkezet belül legyen hozzáférhetetlenül,
ne lehessen „kipeckelni”• Ne lehessen a csavarokat meglazítani• Lefúrási lehetőség a szekrény sérülése nélkül
28
PROXIMITY AZONOSÍTÓ ÓRA
29
SW-IDW-400• Kompatibilitás az új azonosítási technikákkal• Formai illeszkedés az új családhoz• A várható környezeti hatásokkal szembeni
ellenálló képesség• Multiapplikációs környezet támogatása• Különböző színek
30
Köszönöm a figyelmüket!
Elérhetőségeink:8000 Székesfehérvár, Palánkai u. 5.Telefon: 22 – 510 170Fax: 22 – 510 171E-mail: [email protected]: www.seawing.hu