FOKOZOTT BIZTONSÁGI KÖVETELMÉNYSZINTET TELJESÍTŐ RFID RENDSZERESZKÖZÖK Készítette: Filkorn József Seawing termékpaletta •2 Új trendek a rádiófrekvenciás azonosításban EGY PROXIMITY KORSZAK LEZÁRULT Mi változott? • A kártyák kommunikációja nyilvános lett •
Download ReportTranscript FOKOZOTT BIZTONSÁGI KÖVETELMÉNYSZINTET TELJESÍTŐ RFID RENDSZERESZKÖZÖK Készítette: Filkorn József Seawing termékpaletta •2 Új trendek a rádiófrekvenciás azonosításban EGY PROXIMITY KORSZAK LEZÁRULT Mi változott? • A kártyák kommunikációja nyilvános lett •
FOKOZOTT BIZTONSÁGI KÖVETELMÉNYSZINTET TELJESÍTŐ RFID RENDSZERESZKÖZÖK Készítette: Filkorn József Seawing termékpaletta •2 Új trendek a rádiófrekvenciás azonosításban EGY PROXIMITY KORSZAK LEZÁRULT 3 Mi változott? • A kártyák kommunikációja nyilvános lett • A gyártók szigorú felhasználói nyilvántartása és megkülönböztetése megszűnt (az piacról kikerült forgalmazók miatt) • Megjelentek a másodszállítók • Megjelentek a programozható kártyák és a kártyakódolók • Megjelent a fizetőképes igény a másolatokra • A bűnözők „felzárkóztak” a technológiához 4 Nem párbeszédes rendszerek A kártya mindig, bárkinek küldi a kódját • A kártya másolás ellen védhetetlen! (Mobil olvasók!) • A legtöbb ma használt rendszer ilyen (Cotag, HID, Indala, Tiris, EM, UHF, Hyper-X, stb.) Házilag barkácsolt mobil kártyaszám olvasó vásárolható Seawing elemekből 12V 7,2Ah akkumulátor >8 óra üzemidő Vezérlő Több ezer kártyaadat tárolására Laptop táska Nagytávolságú olvasó (70 cm) •Lásd: YouTube oktatófilmek RFID hacking 6 Érvénytelen azonosítók sorszámai a legegyszerűbb SeaKey programunk riasztás menüjében Az olvasott érvénytelen kártyák száma 7 Másolat készítése a kártyaszám alapján • Ez egy kereskedelemben kapható kártyaíró • A programozható kártyák gyártói forgalmaznak kártyaírókat, melyekkel tetszőleges formátum írható 8 Hozzáférés védett rendszerek • Az adatcserét megelőzi egy azonosítási folyamat • Csak összetartozó kártya és olvasó kommunikál egymással (HITAG2, MIFARE, INSIDE, iClass, LEGIC) • A kriptográf kommunikáció, folyamatosan változik, lefigyelt adatfolyam ismétlése hatástalan • Már törtek fel kriptográf rendszereket is! (MIFARE Classic, LEGIC) • Folyamatosan fejlődik a védelem is Mifare CSALÁD ISO 14443 alapon • Classic – Hardver encryption – 1kbyte (16 szektor) és 4 kbyte kapacitás – Kulcsok a fejblokkban • DESFire EV1(2008) – – – – 2,4,8 kbyte kapacitás Mesterkulccsal kezelhető applikációk 14 kulcs Projekt szervezésű • Plus X (2009) – – – – 2-4 kbyte kapacitás (32 vagy 40 szektor) 4 vagy 7 byte egyedi sorszám (random kiválasztás is) Blokk szervezésű A kulcsok külön jogosultsággal írható, de nem olvasható szektorban 10 Miért MIFARE és miért Plus X? • Nyílt, átlátható, dokumentált eljárások, az összes többi zárt rendszer • A kártyák több forrásból beszerezhetőek • Nincsenek licence díjak • A védelme a legmegbízhatóbb • Adatátviteli sebesség gyors (a nagyobb biztonság miatt több a „felesleges” adatforgalom induláskor) • Elegendő memória kapacitás • Egyszerű multiapplikáció kezelés • Titkosított szektorolvasás ~50-100 msec 11 MIFARE Plus X • Nyílt AES titkosítási eljárás, mi az SL3 biztonsági szintet használjuk – (Advanced Encryption Standard, az amerikai titkosítási tender 1999-es nyertese, 2001-től szabvány) – Egyedi tranzakció azonosító, még a folyamatos azonos szektorolvasás is mindig más kommunikációt eredméyez • • • • Olvasási távolság: maximum 10 cm Blokk (16 byte) szervezésű „0” blokk Gyártó adatok, egyedi sorszám, titkosítva olvasható, nem írható Szektorméret: 4 blokk – 1 fej (kulcs hozzáférés joga, adatáramlás) – 3 user blokk • Azonosítás szektoronként, minden szektorhoz 2 db 128 bites kulcs • Az azonos kulccsal rendelkező szektorok összevonhatóak • A felhasználói területhez a kulcsot átadjuk a felhasználónak, melyet átírhat a saját applikációihoz • Támogató programok applikációk készítéséhez 12 MIFARE Plus X kommunikáció 1. Nyílt üzenetváltás • 7x üzenetváltás »»Kártya megszólítás ISO14443-3»» «« Kártya jellemzők«« «» Anticollision szűrés «» «« Egyedi kártyasorszám«« »»Kártya kiválasztás»» • Tranzakciós paraméter egyeztetés 106 kbit/sec 14443-4 szintű adatátvitel 13 MIFARE Plus X kommunikáció 2. Titkosított üzenetváltás »»Parancs, szektor, jelszó»» • Áttér AES titkosításra «« Random kártyasorszám«« • Olvasó visszafejti a kódolt sorszámot »» kártya+olvasó random szám»» • Kártya visszafejti és ellenőrzi a sorszámokat • Szektor hozzáférés engedélyezve «» Adatcsere 128 bites AES titkosítással«» • Hozzáférés az összes szektorhoz, melynek azonos a kulcsa 14 Rossz hír • Minden rendszer nyílt, melynél akár az olvasó, akár a kártya rendeléséhez nem kell egyedi megrendelés, vagy a kapott eszközöket nem kell utólag paraméterezni • A tömegével forgalmazott olcsó proximity rendszerek a leggyengébb védelmet adják (EM) • Mifare olvasók is szinte mind csak sorszám (és nem szektor) olvasók • A jó válasz: le kell cserélni az olvasókat és az azonosítókat 15 Jelszó kezelési eljárások • Meg kell bízni a rendszer szállítójában és kódoltan kell rendelni az olvasókat és azonosítókat • Saját rendszerében a felhasználó maga kezeli a jelszavakat, ő kódolja az olvasókat és az azonosítókat • Seawing támogatás – Jelszóváltó kártyák (mi őrizzük, vagy átadjuk) • Tartalmaznia kell a régi és az új jelszót is • A gyári jelszó lecserélésével védett lesz a rendszer az idegen beavatkozási kísérletektől – Egyedi kártyaszállítás, ha kell megszemélyesítéssel – Kártyakódoló rendszer felhasználó általi jelszókezeléshez 16 OLVASÓCSALÁD 17 SW-MP-400 • Mifare Plus X és DesFire • Egységes formai megjelenés • Megnövelt antennafelület, stabilabb olvasás • Szabotázsvédelem • Kapacitív PIN kód tasztatúra világító gombokkal • Kültéri kivitel is (IP64) • 4 szín kijelzés és hangjelzés • Könnyű szerelhetőség • Szabványos rögzítő furatok 18 Régi rendszerek megújítása • Az olvasó interfész azonos a régi olvasókkal • Elegendő csak az olvasókat és az azonosítókat lecserélni • Az átmunkálás idejére vegyesen is működik a rendszer (a fele régi, a fele új), ha a felhasználói azonosítók új száma megegyezik a régivel • Szabotázs védelem az olvasókra is 19 ÉRINTŐ KÉPERNYŐS TERMINÁL 20 SW-IT-400 Nagy teljesítményű processzor LINUX operációs rendszer 7” kijelző, 800x480 felbontás Kapacitív vagy rezisztív érintő képernyő Beépített olvasó, 4 színjelzés, hangjelzés Szabotázsvédett burkolat Ethernet 2db CAN 2db USB RS485 3 db RS232 6db általános bemenet 2db táphiba bemenet 2db relé kimenet Vízálló kivitel is (IP64) 21 Alkalmazások Munkaidő nyilvántartó terminál Vagyonvédelmi kezelő Információs terminál Vagyonvédelmi rendszerkliens 22 SZEKRÉNYZÁR 23 SW-RFL-400 • Egységes forma • Kényelmes kezelés • Háromféle kiépítés – Beépített elemes off-line – Központi tápellátású off-line – Központi tápellátású on-line 24 Könnyű installálás • Ne legyen balosjobbos változat • Az ajtóban ne legyen huzalozás • Fa- és fémszekrényre is szerelhető 25 Zárba integrált olvasó • Illeszkedjen a használt kártyatípusok hoz • Folyamatos állapotkijelzés 26 Biztonságos használat • • • • Zárás csak azonosítással Retesz érzékelő Ajtónyitás érzékelő Rejthető kábelezés 27 Mechanikai biztonság • A zárószerkezet belül legyen hozzáférhetetlenül, ne lehessen „kipeckelni” • Ne lehessen a csavarokat meglazítani • Lefúrási lehetőség a szekrény sérülése nélkül 28 PROXIMITY AZONOSÍTÓ ÓRA 29 SW-IDW-400 • Kompatibilitás az új azonosítási technikákkal • Formai illeszkedés az új családhoz • A várható környezeti hatásokkal szembeni ellenálló képesség • Multiapplikációs környezet támogatása • Különböző színek 30 Köszönöm a figyelmüket! Elérhetőségeink: 8000 Székesfehérvár, Palánkai u. 5. Telefon: 22 – 510 170 Fax: 22 – 510 171 E-mail: [email protected] WEB: www.seawing.hu