Bonjour, je m'appelle Andrey et je suis un employé d'une des plus grandes sociétés de gestion du pays. Il semblerait que l'employé d'Habré puisse le dire? Faire fonctionner les bâtiments que le constructeur a construits et rien d'intéressant, mais ce n'est pas le cas.
Le Code criminel a une fonction importante et responsable dans le rôle de construction d'une maison - l'élaboration de spécifications techniques pour la construction. C'est le Code criminel qui énonce les exigences auxquelles un système ACS intégré et prêt à l'emploi répondra.
Dans cet article, je voudrais développer le sujet de la création des conditions techniques pour la construction d'une maison avec un système de contrôle d'accès qui utilise la technologie Mifare Plus de niveau de sécurité SL3 avec cryptage du secteur avec une clé de sécurité que ni le développeur, ni l'entrepreneur, ni le sous-traitant ne connaissent.
Et l'un des plus globaux n'est pas du tout évident à première vue - comment empêcher la fuite du code de cryptage de la carte Mifare Plus sélectionnée pour le cryptage dans la hiérarchie des constructeurs, entrepreneurs, fournisseurs et autres personnes responsables travaillant avec le système de contrôle d'accès à la maison depuis le début de sa construction jusqu'à son fonctionnement dans la période post-garantie.
Les principales technologies de cartes sans contact aujourd'hui:
- EM Marine (StandProx, ANGstrem, SlimProx, MiniTag) 125 kHz
- Mifare par NXP (Classic, Plus, UltraLight, DESfire) (Mifare 1k, 4k) 13,56 MHz
- Fabricant HID HID Corporation (ProxCard II, ISOProx-II, ProxKey II) 125 kHz
- iCLASS et iCLASS SE (fabricant HID Corporation,) 13,56 MHz
- Indala (Motorolla), Nedap, Farpointe, Kantech, UHF (860-960 MHz)
Depuis l'utilisation d'Em-Marine dans les systèmes de contrôle d'accès, beaucoup de choses ont changé et nous sommes récemment passés du format Mifare Classic SL1 au format de cryptage Mifare Plus SL3.
Mifare Plus SL3 utilise le cryptage du secteur privé avec une clé secrète de 16 octets au format AES. À ces fins, le type de puce Mifare Plus est utilisé.
La transition a été effectuée en raison de la présence de vulnérabilités connues dans le format de cryptage SL1. À savoir:
La cryptographie cartographique est bien documentée. La vulnérabilité de l'implémentation de la carte générateur de nombres pseudo aléatoires (PRNG) et la vulnérabilité de l'algorithme CRYPTO1 sont trouvées. En pratique, ces vulnérabilités sont utilisées dans les attaques suivantes:
- Côté obscur - l'attaque exploite la vulnérabilité PRCH. Fonctionne sur les cartes MIFARE Classic jusqu'à la génération EV1 (dans EV1, la vulnérabilité PRNG a déjà été supprimée). Pour une attaque, vous n'avez besoin que d'une carte, vous n'avez pas besoin de connaître les clés.
- Nested - l'attaque exploite la vulnérabilité CRYPTO1. L'attaque est faite sur des autorisations secondaires, donc pour une attaque, vous devez connaître une clé de carte valide. En pratique, pour le secteur zéro, ils utilisent souvent des clés standard pour travailler avec MAD - ils partent de lui. Fonctionne pour toutes les cartes sur CRYPTO1 (MIFARE Classic et son émulation). L'attaque est démontrée dans l'article sur la vulnérabilité de la carte Plantain
- Attaque en écoutant l'échange - l'attaque utilise la vulnérabilité CRYPTO1. Pour attaquer, vous devez espionner l'autorisation principale entre le lecteur et la carte. Cela nécessite un équipement spécial. Fonctionne pour toutes les cartes sur CRYPTO1 (MIFARE Classic et son émulation.
Donc: le cryptage des cartes dans cette usine est le premier moment où le code est utilisé, le deuxième côté est le lecteur. Et nous ne faisons pas confiance aux fabricants du lecteur pour le code de cryptage simplement parce qu'ils ne s'y intéressent pas.
Chaque fabricant dispose d'outils pour saisir le code dans le lecteur. Mais c'est à ce moment qu'apparaît le problème de la prévention des fuites de code vers des tiers en la personne d'entrepreneurs et sous-traitants pour la construction d'un système de contrôle d'accès. Entrez le code en personne?
Il y a des difficultés, car la géographie des maisons opérées est présentée dans diverses régions de la Russie, bien au-delà des frontières de la région de Moscou.
Et toutes ces maisons sont construites selon une norme unique, sur un équipement absolument uniforme.
En utilisant la méthode d'analyse de marché du lecteur de cartes Mifare, je n'ai pas pu trouver un grand nombre d'entreprises travaillant avec des normes modernes qui offrent une protection contre la copie de cartes.
Aujourd'hui, la plupart des fabricants d'équipements fonctionnent en mode de lecture UID, qui peut être copié par n'importe quel téléphone portable moderne compatible NFC.
Certains fabricants prennent en charge un système de sécurité SL1 plus moderne, déjà compromis en 2008.
Et seuls certains fabricants démontrent les meilleures solutions technologiques en termes de rapport qualité / prix pour travailler avec la technologie Mifare en mode SL3, ce qui rend impossible la copie d'une carte et la création de son clone.
Le principal avantage de SL3 dans cette histoire est l'impossibilité de copier des clés. Une telle technologie n'existe pas aujourd'hui.
Par ailleurs, je parlerai des risques liés à l'utilisation de la copie de cartes avec un tirage de plus de 200 000 exemplaires.
- Risques pour les locataires - en confiant la copie de la clé au "maître", la décharge de la clé du locataire entre dans sa base de données, et le "maître" a la possibilité de monter dans l'escalier et d'utiliser le parking ou la place de stationnement du locataire.
- Risques commerciaux: avec un coût de carte au détail de 300 roubles - la perte du marché pour la vente de cartes supplémentaires n'est pas une petite perte. Même si sur un écran LCD apparaît un «Master» sur les clés de copie, les pertes de l'entreprise peuvent atteindre des centaines de milliers et des millions de roubles.
- Last but not least propriétés esthétiques: absolument toutes les copies sont produites sur des disques de mauvaise qualité. Je pense que la qualité de l'original est familière à beaucoup d'entre vous.
En conclusion, je tiens à dire que seule une analyse approfondie du marché de l'équipement et de ses concurrents vous permet de créer des systèmes de contrôle d'accès modernes et sûrs qui répondent aux exigences de 2019, car c'est le système de contrôle d'accès dans un immeuble qui est le seul système à faible courant qu'un résident rencontre plusieurs fois par jour.