FOKOZOTT BIZTONSÁGI KÖVETELMÉNYSZINTET TELJESÍTŐ RFID RENDSZERESZKÖZÖK

Az előadások a következő témára: "FOKOZOTT BIZTONSÁGI KÖVETELMÉNYSZINTET TELJESÍTŐ RFID RENDSZERESZKÖZÖK"— Előadás másolata:

1 FOKOZOTT BIZTONSÁGI KÖVETELMÉNYSZINTET TELJESÍTŐ RFID RENDSZERESZKÖZÖK
Készítette: Filkorn József

2 Seawing termékpaletta

3 Egy Proximity korszak lezárult
Új trendek a rádiófrekvenciás azonosításban Egy Proximity korszak lezárult

4 Mi változott? A kártyák kommunikációja nyilvános lett
A gyártók szigorú felhasználói nyilvántartása és megkülönböztetése megszűnt (az piacról kikerült forgalmazók miatt) Megjelentek a másodszállítók Megjelentek a programozható kártyák és a kártyakódolók Megjelent a fizetőképes igény a másolatokra A bűnözők „felzárkóztak” a technológiához

5 Nem párbeszédes rendszerek
Az olvasó kódolatlan jelet sugároz A kártya mindig, bárkinek küldi a kódját A kártya másolás ellen védhetetlen! (Mobil olvasók!) A legtöbb ma használt rendszer ilyen (Cotag, HID, Indala, Tiris, EM, UHF, Hyper-X, stb.) Sokan EM (Electro Marin) olvasót adnak a legkülönbözőbb fantázianeveken

6 Házilag barkácsolt mobil kártyaszám olvasó vásárolható Seawing elemekből
Vezérlő Több ezer kártyaadat tárolására 12V 7,2Ah akkumulátor >8 óra üzemidő Laptop táska Nagytávolságú olvasó (70 cm) Lásd: YouTube oktatófilmek RFID hacking

7 Az olvasott érvénytelen kártyák száma
Érvénytelen azonosítók sorszámai a legegyszerűbb SeaKey programunk riasztás menüjében Az olvasott érvénytelen kártyák száma

8 Másolat készítése a kártyaszám alapján
Ez egy kereskedelemben kapható kártyaíró A programozható kártyák gyártói forgalmaznak kártyaírókat, melyekkel tetszőleges formátum írható

9 Hozzáférés védett rendszerek
Az olvasó kódolt jeleket sugároz, csak saját kártyával kommunikál A kártya csak a saját olvasóval kommunikál Az adatcserét megelőzi egy azonosítási folyamat Csak összetartozó kártya és olvasó kommunikál egymással (HITAG2, MIFARE, INSIDE, iClass, LEGIC) A kriptográf kommunikáció, folyamatosan változik, lefigyelt adatfolyam ismétlése hatástalan Már törtek fel kriptográf rendszereket is! (MIFARE Classic, LEGIC) Folyamatosan fejlődik a védelem is A Seawing a HITAG2 különböző üzemmódjait preferálja

10 Mifare CSALÁD ISO 14443 alapon Classic DESFire EV1(2008) Plus X (2009)
Hardver encryption 1kbyte (16 szektor) és 4 kbyte kapacitás Kulcsok a fejblokkban DESFire EV1(2008) 2,4,8 kbyte kapacitás Mesterkulccsal kezelhető applikációk 14 kulcs Projekt szervezésű Plus X (2009) 2-4 kbyte kapacitás (32 vagy 40 szektor) 4 vagy 7 byte egyedi sorszám (random kiválasztás is) Blokk szervezésű A kulcsok külön jogosultsággal írható, de nem olvasható szektorban

11 Miért MIFARE és miért Plus X?
Nyílt, átlátható, dokumentált eljárások, az összes többi zárt rendszer A kártyák több forrásból beszerezhetőek Nincsenek licence díjak A védelme a legmegbízhatóbb Adatátviteli sebesség gyors (a nagyobb biztonság miatt több a „felesleges” adatforgalom induláskor) Elegendő memória kapacitás Egyszerű multiapplikáció kezelés Titkosított szektorolvasás ~ msec

12 MIFARE Plus X Nyílt AES titkosítási eljárás, mi az SL3 biztonsági szintet használjuk (Advanced Encryption Standard, az amerikai titkosítási tender 1999-es nyertese, 2001-től szabvány) Egyedi tranzakció azonosító, még a folyamatos azonos szektorolvasás is mindig más kommunikációt eredméyez Olvasási távolság: maximum 10 cm Blokk (16 byte) szervezésű „0” blokk Gyártó adatok, egyedi sorszám, titkosítva olvasható, nem írható Szektorméret: 4 blokk 1 fej (kulcs hozzáférés joga, adatáramlás) 3 user blokk Azonosítás szektoronként, minden szektorhoz 2 db 128 bites kulcs Az azonos kulccsal rendelkező szektorok összevonhatóak A felhasználói területhez a kulcsot átadjuk a felhasználónak, melyet átírhat a saját applikációihoz Támogató programok applikációk készítéséhez

13 MIFARE Plus X kommunikáció 1. Nyílt üzenetváltás
7x üzenetváltás »»Kártya megszólítás ISO »» «« Kártya jellemzők«« «» Anticollision szűrés «» «« Egyedi kártyasorszám«« »»Kártya kiválasztás»» Tranzakciós paraméter egyeztetés 106 kbit/sec szintű adatátvitel

14 MIFARE Plus X kommunikáció 2. Titkosított üzenetváltás
»»Parancs, szektor, jelszó»» Áttér AES titkosításra «« Random kártyasorszám«« Olvasó visszafejti a kódolt sorszámot »» kártya+olvasó random szám»» Kártya visszafejti és ellenőrzi a sorszámokat Szektor hozzáférés engedélyezve «» Adatcsere 128 bites AES titkosítással«» Hozzáférés az összes szektorhoz, melynek azonos a kulcsa

15 Rossz hír Minden rendszer nyílt, melynél akár az olvasó, akár a kártya rendeléséhez nem kell egyedi megrendelés, vagy a kapott eszközöket nem kell utólag paraméterezni A tömegével forgalmazott olcsó proximity rendszerek a leggyengébb védelmet adják (EM) Mifare olvasók is szinte mind csak sorszám (és nem szektor) olvasók A jó válasz: le kell cserélni az olvasókat és az azonosítókat

16 Jelszó kezelési eljárások
Meg kell bízni a rendszer szállítójában és kódoltan kell rendelni az olvasókat és azonosítókat Saját rendszerében a felhasználó maga kezeli a jelszavakat, ő kódolja az olvasókat és az azonosítókat Seawing támogatás Jelszóváltó kártyák (mi őrizzük, vagy átadjuk) Tartalmaznia kell a régi és az új jelszót is A gyári jelszó lecserélésével védett lesz a rendszer az idegen beavatkozási kísérletektől Egyedi kártyaszállítás, ha kell megszemélyesítéssel Kártyakódoló rendszer felhasználó általi jelszókezeléshez

17 olvasócsalád

18 SW-MP-400 Mifare Plus X és DesFire Egységes formai megjelenés
Megnövelt antennafelület, stabilabb olvasás Szabotázsvédelem Kapacitív PIN kód tasztatúra világító gombokkal Kültéri kivitel is (IP64) 4 szín kijelzés és hangjelzés Könnyű szerelhetőség Szabványos rögzítő furatok

19 Régi rendszerek megújítása
Az olvasó interfész azonos a régi olvasókkal Elegendő csak az olvasókat és az azonosítókat lecserélni Az átmunkálás idejére vegyesen is működik a rendszer (a fele régi, a fele új), ha a felhasználói azonosítók új száma megegyezik a régivel Szabotázs védelem az olvasókra is

20 Érintő képernyős terminál

21 SW-IT-400 Nagy teljesítményű processzor LINUX operációs rendszer
7” kijelző, 800x480 felbontás Kapacitív vagy rezisztív érintő képernyő Beépített olvasó, 4 színjelzés, hangjelzés Szabotázsvédett burkolat Ethernet 2db CAN 2db USB RS485 3 db RS232 6db általános bemenet 2db táphiba bemenet 2db relé kimenet Vízálló kivitel is (IP64)

22 Alkalmazások Munkaidő nyilvántartó terminál Vagyonvédelmi kezelő
Információs terminál Vagyonvédelmi rendszerkliens

23 Szekrényzár

24 SW-RFL-400 Egységes forma Kényelmes kezelés Háromféle kiépítés
Beépített elemes off-line Központi tápellátású off-line Központi tápellátású on-line

25 Könnyű installálás Ne legyen balos-jobbos változat
Az ajtóban ne legyen huzalozás Fa- és fémszekrényre is szerelhető

26 Zárba integrált olvasó
Illeszkedjen a használt kártyatípusokhoz Folyamatos állapotkijelzés

27 Biztonságos használat
Zárás csak azonosítással Retesz érzékelő Ajtónyitás érzékelő Rejthető kábelezés

28 Mechanikai biztonság A zárószerkezet belül legyen hozzáférhetetlenül, ne lehessen „kipeckelni” Ne lehessen a csavarokat meglazítani Lefúrási lehetőség a szekrény sérülése nélkül

29 Proximity azonosító óra

30 SW-IDW-400 Kompatibilitás az új azonosítási technikákkal
Formai illeszkedés az új családhoz A várható környezeti hatásokkal szembeni ellenálló képesség Multiapplikációs környezet támogatása Különböző színek

31 Köszönöm a figyelmüket!
Elérhetőségeink: 8000 Székesfehérvár, Palánkai u. 5. Telefon: 22 – Fax: 22 – WEB: