Карты СКУД: в чем состоит их уязвимость и как защитить данные

Карта доступа – это идентификатор или ключ-карта, с его помощью можно попасть в помещение или к ресурсам т.д. Проход должен регулироваться с помощью специальной системы, которая будет пропускать только владельцев таких идентификаторов. К картам доступа относятся идентификационные, транспортные, карты систем лояльности, медицинские полисы и т.д.

Идентификаторы, обеспечивающие доступ человека на объект, могут иметь совершенно разный формат: карта, браслет, брелок, метка, устройства с NFC технологией (например, телефон) и т.д. Поскольку карты доступа часто используются в современном мире, возникает проблема: как защитить данные при передаче их между идентификатором и считывателем.  Именно уровень безопасности карты играет важную роль при ее выборе.

Уязвимость идентификаторов

Так как есть риск, что доступ в помещение или к ресурсам может получить совершенно чужой человек, при выборе карт доступа необходимо учитывать все технологии, обеспечивающие безопасность передачи данных. Обычно выделяют 3 опасности, возникающих при эксплуатации карт: 

• Незащищенность персональных данных несет угрозу для всей системы. Такая ситуация может возникать из-за того, что данные на карте находятся в открытом доступе. А значит, считать их сумеет любой человек. При этом он узнает информацию о держателе карты и сможет попасть на объект, доступ к которому ограничен. Чтобы решить эту проблему, необходимо использовать алгоритмы шифрования: DES, 3DES, AES.
  
  
• Повторное использование карты возможно, если занесенные на карту данные, были перехвачены и записаны. Затем их можно воспроизвести и пройти на закрытый объект. Такая угроза возникает из-за того, что каждый раз карта и считыватель передают друг другу одни и те же данные. Защитить идентификатор можно при помощи взаимной аутентификации карты и считывателя.
  
• Копирование карт (клонирование) – пожалуй, самая распространенная опасность. При помощи небольшого прибора – дубликатора – злоумышленники незаметно считывают карты. При приближении к карте этот прибор имитирует сигнал считывателя, получает от идентификатора ответный сигнал с данными и записывает их. Остается только перенести информацию на шаблон карты. Защититься от копирования сложно, но все-таки возможно. Нужно разграничить доступ в различные помещения. Тогда получить доступ в зоны с повышенной защитой будет сложнее.  

Защита карт доступа

Среди всех идентификаторов наиболее уязвимыми считаются карты, работающие на низких частотах (125 кГц). Высокочастотные (13, 56 МГц) идентификаторы уже более безопасны, однако и они могут быть уязвимыми. Повысить защиту при использовании карт доступа можно несколькими способами.

• Алгоритмы шифрования

 Принцип работы алгоритмов DES, 3DES и AES схож. Здесь для шифрования данных и их дешифровки используется одинаковый ключ.

DES:  длина ключа – 56 бит, 8 из них отвечают за контроль четности. Размер всего блока – 64 бита.

3DES (Triple DES) обеспечивает шифрование с 2 или 3 разными ключами. Длина каждого из них – 56 бит. При использовании этого алгоритма уровень безопасности значительно выше. Однако производительность снижается.

AES – новый стандарт США, который пришел на замену алгоритму DES в 2000 году. Длина ключа может быть различной: 128, 192 и 256 бит. Этот алгоритм одновременно обеспечивает необходимый уровень безопасности и высокую производительность. При этом он прост в применении.

Эти алгоритмы обеспечивают необходимую защиту персональных данных от злоумышленников.

• Взаимная аутентификация

 Чтобы защитить карту доступа от повторного воспроизведения информации необходимо использовать взаимную аутентификацию. Принцип ее работы заключается в том, что считыватель получает уникальный CSN номер идентификатора, а также номер длиной 16 бит, который случайным образом генерирует идентификатор. Ключ идентификатора и считывателя (он генерирует его на основе данных с помощью специального алгоритма). Если ключи совпадают, то происходит обмен откликами. На основе предыдущих операций считыватель определяет соответствие карты.

• Диверсификация ключа

Если уровень защиты Ваших идентификаторов не достаточен, и угроза копирования все еще есть, необходимо использовать диверсификацию ключа. Это значит, что доступ в различные зоны нужно разграничить.  Сделать это можно несколькими способами: 

Ограничение доступа в некоторые зоны. Можно разделить объект на несколько разных зон. Одни из них будут доступны всему персоналу, в другие могут входить лишь определенные сотрудники. Данные этих людей будут храниться в отдельной базе. Преступник, скопировавший карту любого другого сотрудника, сможет попасть только туда, куда разрешен доступ владельцу карты.

Ограничение доступа по времени. Никто не сможет попасть в здание по окончании рабочего дня, даже сотрудник объекта. Доступ закрыт в праздничные и выходные дни.

Повторное использование идентификатора. Как только сотрудник приходит на объект, по его карте (или копии карты) никто уже не сможет войти. Злоумышленник не пройдет по карте этого человека. А сотрудник не сможет использовать свою карту, чтобы провести постороннего.

Ограничение входа и выхода. Может случиться так, что посторонний человек смог пройти на объект без идентификации, например, сразу за сотрудником. Однако у него не получится выйти, если сотрудник, чей идентификатор он скопировал, уже ушел со своего рабочего места.

• Дополнительная защита

Можно настроить и повышенную безопасность. Например, технология SIO (Secure Identity Object), которая создает многоуровневую защиту. Это некий электронный контейнер, где хранится вся информация, занесенная на идентификатор. Во время записи она привязывается к UID карты. Внесенная информация подтверждается с помощью электронной подписи владельца карты. Благодаря этому карту невозможно скопировать и взломать.