Перейти на Sec.Ru
Sec.Ru Интернет портал по безопасности
Мой Sec.Ru
Логин
или e-mail
Пароль
Забыли пароль?
Рейтинг@Mail.ru
Форум по безопасности на Sec.Ru


Популярные темы

О форуме
Регламент

Как пользоваться

Форум / Отзывы / Отзывы на статьи / К публикации "Перевод СКУД с карт EM MARIN на карты MIFARE®. Полезные сведения для владельца объекта СКД"
К публикации "Перевод СКУД с карт EM MARIN на карты MIFARE®. Полезные сведения для владельца объекта СКД"

подписаться · отослать другу
Прочитать публикацию

1
Озеров Евгений (ozerovevgeniy) 12.01.2015 15:41
Ответить Написать личное сообщение Сообщить модератору

Добрый день!
Хорошая и полезная статья. Одно замечание: по технологии Mifare в отрытых источниках проходила информация о компрометации криптографической защиты как минимум Mifare Classic 1k, не говоря уже о том, что дешевые Mifare Ultralight не имеет никакой криптографии вообще. Так что имеет смысл присмотреться либо к iCLASS® Seos™ / MIFARE DESFire EV1, либо чуть хуже по безопасности, но дешевле - iCLASS SE / MIFARE Plus. Так что совет Заказчикам - Mifare Classic брать не стоит, будет все равно дорого, а "параноидальную" степень защиты так и не обеспечивает. И да - все описанное в статье - должно быть по-умолчанию сделано, не делайте глупых ошибок из параграфа I данной статьи.
2
Рыжов Александр (Alex R) 12.01.2015 22:16
Ответить Написать личное сообщение Сообщить модератору

Почему же Plus хуже DESFire по безопасности? Вовсе не хуже, а дешевле существенно.

Другое дело что я не знаю ни одного дешевого считывателя под Plus. А также ни одного российского считывателя под Plus или DESFire с поддержкой криптографии. Если кто-нибудь знает - скажите, будет интересно посмотреть.

Также и Classic массово копировать будут еще не скоро. Считаю что по прежнему можно знать меру и баланс, и использовать Classic. В конце концов, как правило, можно считыватель отломать, и долбануть туда электрошокером, или можно перелезть через турникет, или выкрасть карту или еще что угодно. Что кто-то разберется как копировать Classic - не самая вероятная угроза еще много лет.
3
Озеров Евгений (ozerovevgeniy) 13.01.2015 10:55
Ответить Написать личное сообщение Сообщить модератору

Добрый день! Александр, с большим уважением отношусь к "Сфинкс"-у и, возможно, Вы правы в данном случае. Но есть уточнение: Plus имеет 4 уровня безопасности (0, 1, 2, 3). Уровни 2 и 3 поддерживают AES. MIFARE Plus EV1 поддерживает 3DES (Triple DES). Advanced Encryption Standard (AES или Rijndael) вроде как посовременнее, работает существенно производительнее 3DES. С другой стороны, теоретическая криптостойкость у AES ниже, чем у 3DES. Так что, по-моему, если брать Plus - то использовать только с уровнем безопасности 2 или 3 (0 и 1 - для постепенной миграции с Classic). А так да - примерно равнозначны.
4
Рыжов Александр (Alex R) 13.01.2015 20:33
Ответить Написать личное сообщение Сообщить модератору

Никогда ничего не слышал про Plus EV1 а также про поддержку 3DES в Plus, думаю вы путаете с DESFire EV1. Но это все важно.
Про стойкость непонятно как вы решили что у 3DES она лучше, если вы просто сравниваете длину ключа, то не делайте это. Но это тоже не важно, в любом случае и AES и 3DES выше крыши хватает для наших задач на дольше времени чем нам осталось жить. А пока мы с вами про это все рассуждаем тут, 90% новых внедрений в России продолжают делать на EM Marine :)
5
не злобствующий 13.01.2015 22:26
Ответить Сообщить модератору

:) Статья очень пользительна в плане сложившейся экономической ситуации. Мифаер уже вынес мозг домофоноводам, спасибо айронлоджик, теперь время за жирными кабанчиками что поставили СКУД на утильных 125 kHz... Пришло время = менятЬся...)))
6
Бухаров Андрей (Бухаров) 14.01.2015 11:50
Ответить Написать личное сообщение Сообщить модератору

2 не злобствующий
"...Мифаер уже вынес мозг домофоноводам..."
А в чем там проблема?
7
Озеров Евгений (ozerovevgeniy) 14.01.2015 12:37
Ответить Написать личное сообщение Сообщить модератору

Про MIFARE Plus EV1 - это "очепятка", речь была о DESFire EV1.
Про 3DES в Plus - да моя ошибка, путаница возникла из-за "очепятки", все верно AES в Plus, 3DES в DESFire EV1: ссылка http://www.mifare.net/ru/products/mifare-smartcard-ic-s/mifare-desfire-ev1/
Про стойкость - ориентируюсь просто на открытые данные (я, разумеется, не специалист, могу только доверять или нет чужому мнению на данный счёт) - ссылка https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard (понимаю, что моветон ссылаться на wiki, но за незнанием лучшего источника приходится)
Про 90% на EM Marine - это вопросы о компетенции службы Заказчика. Нет штатных специалистов - нанимайте консультантов ИМХО (и это кстати не фантастика, сам в своё время участвовал в консультации одной частной компании по договору на эту деятельность - результат - согласованное ТЗ + помощь в оценке конкурсной документации + надзор за победителем конкурса). Опять же нужно понимать задачи, решаемые СКД (они могут быть разными). Если задача - автоматизация не критически важных для безопасности функций по упорядочиванию пропуска сотрудников и гостей (с пониманием что система не рассчитана на предотвращение несанкционированного доступа злоумышленников, а лишь на автоматизацию бюро пропусков и системы учёта времени сотрудников/ доступа в помещения) - то почему не HID Prox, Indala, EM Marin (низкочастотные технологии, 125 кГц). Просто Заказчик должен быть в курсе возможностей применяемых в проекте технологий на понятийном уровне (без деталей) - какие задачи выполнимы, а какие нет. Какие есть риски. Если риски перевешивают для конкретного Заказчика цену оборудования СКД на HID iCLASS, Mifare или DESFire (высокочастотные технологии, 13,56 МГц) - то ok, если нет - ставим дешевое объясняя все их недостатки. Все ИМХО, естественно.
Редактировали: Озеров Евгений И. (ozerovevgeniy) (14.01.2015 13:59), Озеров Евгений И. (ozerovevgeniy) (14.01.2015 14:04)
8
Быков Олег (Быков О. С.) 14.01.2015 13:47
Ответить Написать личное сообщение Сообщить модератору

Коллеги, здравствуйте.
К вопросу о криптозащите.
В чипе Mifare 1K/4K используется криптографический алгоритм CRYPTO-1, разработанный компанией NXP. В 2008 году некоторые научно-исследовательские организации обнаружили слабые места в алгоритме CRYPTO-1. Данный факт побудил компанию NXP разработать линейку новых продуктов – Mifare Plus, в которых используется AES (DES, 3DES не используется).
Что касается потенциальных подделок Mifare Classic 1K/4K. Скопировать серийный номер чипа (UID) не составляет проблемы (будь то 4-байтный номер чипа или 7-байтный UID). Поэтому-то и рекомендуется в СКУД работать с защищенной памятью Mifare. Если в проекте задействована крипто-защита, то копирование или подделка карт становятся крайне затруднительными. Вскрыть CRYPTO-1 на данный момент могут единицы, о подобных случаях в РФ информации нет.
Как уже сказали выше, чипа Mifare Plus EV1 не существует. Есть Mifare Plus S2K/4K, Mifare Plus X 2K/4K и Mifare DESFire EV1.
9
Озеров Евгений (ozerovevgeniy) 14.01.2015 13:56
Ответить Написать личное сообщение Сообщить модератору

Добрый день!
Олег, спасибо а статью, очень полезна, особенно конечным Заказчикам. В целом по криптозащите согласен и с Вами, и с Александром. Считаю только, что объяснить возможные риски Заказчику всё же нужно, даже если они маловероятны. Решение всё равно должен принять Заказчик, но на основе полных данных.
Редактировали: Озеров Евгений И. (ozerovevgeniy) (14.01.2015 14:00), Озеров Евгений И. (ozerovevgeniy) (14.01.2015 14:09)
10
не злобствующий 14.01.2015 14:18
Ответить Сообщить модератору

:) Вне всякого сомнения считыватель CP-Z-2MF лучшее решение для домофона в настоящее время, как по деньгам так и по защищённости от клонов ключей.
11
К Максим (Dvapyatdesyat) 06.02.2015 10:11
Ответить Написать личное сообщение Сообщить модератору

В статье написано "Ошибка в подключении считок Mifare® по интерфейсу Wiegand-26 (для чтения серийного номера) заключается в том, что номер UID Mifare® будет передаваться не полностью. Длина серийного номера Mifare®1K - 4 байта. А по Wiegand-26 передается только 3 байта. Эта ошибка приводит к появлению в системе дубликатов номеров карт.
Для того, чтобы полностью считывать UID Mifare®, надо подключать считыватели по интерфейсу Wiegand-42 (который позволяет передать в контроллер все 4 байта серийного номера Mifare®)."

В то же время в инструкции к считывателю Parsec Pr-p03e


"В режиме Wiegand или Parsec считыватель непрерывно проверяет наличие карты в зоне считывания. При попадании карты в эту зону считыватель проверяет корректность кода карты и однократно выдает его на выход Wiegand 26 (три младших байта серийного номера) или Parsec (четыре байта серийного номера).

Защищенный режим предусмотрен только для карт Mifare Classic 1/4K и может быть реализован при подключении считывателя в обоих режимах: Parsec или Wiegand 26.
"

Проясните этот момент пожалуйста. И как быть с ТМ, по которому вроде 8 байт передается?
Редактировали: К Максим А. (Dvapyatdesyat) (06.02.2015 10:12), К Максим А. (Dvapyatdesyat) (06.02.2015 10:13)
12
Рыжов Александр (Alex R) 06.02.2015 10:44
Ответить Написать личное сообщение Сообщить модератору

Не понял где вы нашли противоречие.
Что в любом случае надо понимать, это что в "защищенном режиме" на контроллер обычно передается уже не UID, а данные, прочитанные из памяти карты. Поэтому все вещи про длину UID и потенциальную неуникальность обрезанного UID - не применимы к "защищенному режиму".
13
Рыжов Александр (Alex R) 06.02.2015 10:47
Ответить Написать личное сообщение Сообщить модератору

Также в исходном тексте есть неточности.
"Wiegand-42 (который позволяет передать в контроллер все 4 байта серийного номера Mifare®)"
Это правда. Но Wiegand-42 позволяет передать 5 байт, для 4 байт достаточно Wiegand-34.
Ну, и если позанудствовать, UID Mifare может быть не только 4 байта, может быть 7.
14
К Максим (Dvapyatdesyat) 06.02.2015 11:00
Ответить Написать личное сообщение Сообщить модератору

Все, прочитал внимательнее и до меня дошло...а я то думал, что передается комбинация UID + данные из памяти карты.
Хорошо, т.е при подключении через ТМ можно передавать и UID и данные из памяти?
15
Рыжов Александр (Alex R) 06.02.2015 11:04
Ответить Написать личное сообщение Сообщить модератору

Я никогда не встречал считывателя, который бы передавал UID + данные из памяти. И смысл этого не ясен.

Про TM - Зачем вам вообще TM? Используйте Wiegand, он с большей вероятностью вообще будет работать сам по себе и на большую дальность.
Я также не уверен что есть вообще считыватели под "защищенный режим" с TM, может и есть, но это в целом это нафиг никому не надо по-моему.

16
К Максим (Dvapyatdesyat) 06.02.2015 11:05
Ответить Написать личное сообщение Сообщить модератору

"Это правда. Но Wiegand-42 позволяет передать 5 байт, для 4 байт достаточно Wiegand-34."
Вот это непонятно))
ведь:
"
  • Wiegand-26. Самый распространенный. Состоит из 24 бит кода и 2 бит контроля на четность.
  • Wiegand-33. Состоит из 32 бит кода и 1 бита контроля на четность.
  • Wiegand-34. Состоит из 32 бит кода и 2 бит контроля на четность.
  • Wiegand-37. Состоит из 35 бит кода и 2 бит контроля на четность.
  • Wiegand-40. Состоит из 40 бит кода, контроля на четность нет.
  • Wiegand-42. Состоит из 40 бит кода и 2 бит контроля на четность."

  • 17
    Рыжов Александр (Alex R) 06.02.2015 11:08
    Ответить Написать личное сообщение Сообщить модератору

    В байте 8 бит, окей?
    А чтобы понять сколько чего-то помещается в что-то другое мы используем операцию деления.
    Теперь сложное - применим эти два знания одновременно: 40/8=5. 32/8=4.
    18
    К Максим (Dvapyatdesyat) 06.02.2015 11:08
    Ответить Написать личное сообщение Сообщить модератору

    http://www.parsec.ru/pr-p05 например
    19
    К Максим (Dvapyatdesyat) 06.02.2015 11:09
    Ответить Написать личное сообщение Сообщить модератору

    Точно..прошу прощения

    Новости
    Найден принципиально новый метод компрометации данных в компьютерах под управлением Windows

    Московская фирма «Самурай24» начинает экспортировать в Европу средства ИБ

    Российские компании разработали типовой Микро-ЦОД


     
    --{ team void }-- Rambler's Top100 Рейтинг@Mail.ru