IC karte pret ID karti: kā izvēlēties pareizo piekļuves karti savai sistēmai

Šajā rakstā ir aprakstītas patiesās atšķirības starp IC kartēm un ID kartēm — ne tikai specifikāciju lapas versija, bet arī atšķirības, kas faktiski ietekmē jūsu lēmumu par iepirkumu, sistēmas drošību un kopējās īpašumtiesību izmaksas.

 

IC karte un ID karte: galvenā atšķirība 30 sekundēs

ID karte

 

(125 kHz, piemēram, EM4100/TK4100): saglabā tikai fiksētu sērijas numuru. Karte pārraida šo numuru jebkuram diapazonā esošajam lasītājam. Nav šifrēšanas, nav rakstīšanas iespēju, nav autentifikācijas rokasspiediena. Lasītājs vienkārši pārbauda, ​​vai numurs atbilst datu bāzes ierakstam.

IC karte

 

(13,56 MHz, piemēram, MIFARE Classic/DESFire): satur mikroprocesora mikroshēmu ar lasāmu un rakstāmu atmiņu, kas sadalīta neatkarīgos sektoros. Atbalsta šifrēšanu, savstarpēju autentifikāciju starp karti un lasītāju un vairāku{4}}lietojumprogrammu izmantošanu vienā kartē.

Tā ir mācību grāmatas atbilde. Bet, ja jūs novērtējat tos reālai izvietošanai, mācību grāmatā nav norādīts, kas patiesībā noiet greizi vai kas patiesībā ir svarīgi jūsu budžetam.

 

 

Piecas atšķirības iepirkuma specifikācijās jums neteiks

 

1

Piekļuves karšu drošība nav bināra - Tas ir spektrs

 

Visizplatītākā kļūda piekļuves karšu iegādē: pieņemot, ka "IC karte=droša, ID karte=nav droša." Realitāte ir daudz slāņaināka.

 

ID kartēm nav šifrēšanas. Jebkurš 125 kHz lasītājs vai 15 $ rokas klonētājs nolasa un dublē sērijas numuru. Kartes līmenī to nevar novērst, jo kartei nav autentifikācijas mehānisma.

 

IC kartes ir drošākas, taču tas, cik daudz vairāk, ir pilnībā atkarīgs no izvēlētās mikroshēmas. MIFARE Classic, pasaulē visplašāk izmantotā IC mikroshēma, izmanto šifrēšanas shēmu ar nosaukumu CRYPTO1, ko pilnībā apgrieztā{2}}projektēja Radboudas universitātes pētnieki 2008. gadā. Mūsdienās tādi rīki kā Flipper Zero var atgūt MIFARE Classic atslēgas un klonēt kartes bez specializēta aprīkojuma.

 

2024. gada augustā situācija pasliktinājās: Quarkslab pētnieki atklāja aparatūras aizmugures durvis Fudan FM11RF08S mikroshēmās, plaši izmantotā MIFARE Classic{3}}saderīgā mikroshēmā no Shanghai Fudan Microelectronics. Šīs aizmugures durvis ļauj ikvienam, kam ir zināšanas par vienu universālo atslēgu, dažu minūšu laikā kompromitēt visas lietotāja{5}}definētās atslēgas šajās kartēs. Ietekmētās mikroshēmas tiek izvietotas viesnīcās, birojos un tranzīta sistēmās visā ASV, Eiropā, Ķīnā un Indijā.

Drošības līmenis	Mikroshēmu piemēri	Šifrēšana	Piemērots
Nav	EM4100, TK4100 (ID kartes)	Nav	Autostāvvieta, apmeklētāju temp biļetes
Mantojums (kompromitēts)	MIFARE Classic 1K/4K	CRYPTO1 (salauzts)	Zems-apsardzes laika apmeklējums
Vidējs{0}}līmenis	MIFARE Plus (SL3 režīms)	AES-128	Biroja piekļuve, universitātes pilsētiņas kartes
Augsts	MIFARE DESFire EV2/EV3 (EAL5+ sertificēts)	AES-128, savstarpēja aut	Datu centri, finanšu iespējas
Augstākais	CPU kartes (Java karte)	PKI-var	Valdība, militārpersona

 

Viena detaļa, ko tabulā nevar parādīt: MIFARE Plus ir trīs drošības līmeņi (SL1, SL2, SL3), taču daudzi integratori izvieto Plus kartes SL1 režīmā, lai nodrošinātu atpakaļsaderību ar esošajiem Classic lasītājiem. SL1 režīmā kartes drošība būtībā ir tāda pati kā standarta MIFARE Classic. Šis ir izplatīts scenārijs "specifikācijas jaunināšana uz papīra, praksē nav jaunināšanas". Vienmēr pārbaudiet, kurš drošības līmenis ir faktiski aktivizēts, nevis tikai tas, kurš mikroshēmas modelis ir uzdrukāts pasūtījuma apstiprinājumā.

 

Syntek piegādā piekļuves kartes visos piecos iepriekš uzskaitītajos līmeņos, sākot noEM4100/TK4100 ID kartesizmantojot MIFARE DESFire EV2/EV3 unCPU kartes augstas{0}}drošības piekļuves kontrolei. Katra IC karte tiek piegādāta ar mikroshēmas modeli, kas uzdrukāts uz piegādes pavadzīmes, jo karte bez dokumentētas mikroshēmas specifikācijas ir karte, kuru nevar pārbaudīt.

 

 

 

Par 0,08–0,15 USD par vienību EM4100 ID kartēm, salīdzinot ar USD 0,30–0,60 par MIFARE DESFire, ietaupījumi uz vienu -karti, pasūtot 5000- kartes, izskatās reāli. Bet vienas kartes cena ir tikai viena rindiņa kopējo izmaksu lapā.

 

ID karšu sistēmas uzglabā nulles datus pašā kartē. Katrs piekļuves lēmums liek lasītājam reāllaikā veikt vaicājumus centrālajā datubāzē. Tas nozīmē, ka katram lasītājam ir nepieciešams tīkla savienojums (vairāk kabeļu, vairāk atteices punktu), sistēmas paplašināšana nozīmē jaunu lasītāju vadu pievienošanu atpakaļ serverim, un bezsaistes darbība nenotiek: ja tīkls pazūd, durvis vai nu paliek bloķētas, vai pēc noklusējuma tiek atvērtas.

 

IC karšu sistēmas saglabā atļaujas kartē. Lasītāji var pieņemt lēmumus par piekļuvi lokāli. Sistēmas paplašināšana nozīmē lasītāja izvietošanu un karšu sektoru konfigurēšanu, nav nepieciešami jauni kabeļi uz serveri.

 

Nekustamā īpašuma pārvaldības uzņēmums Šeņdžeņā to uzzināja pēc tam, kad iekšējā auditā tika konstatēts, ka viņu autostāvvieta izsniedz vairāk ikmēneša caurlaides, nekā sistēma bija reģistrēta. Izmeklēšanā tika konstatēta atšķirība, jo darbinieki dublēja 125 kHz ID kartes, izmantojot tukšas kartes no Taobao. Tā kā kartēm nebija šifrēšanas, nebija nekādu tehnisku šķēršļu: ikviens, kam ir 15 USD klonētājs, varēja izveidot darba kopiju. Uzņēmums likvidēja visu ID karšu sistēmu un no jauna{5}}izvietoja ar šifrētām IC kartēm, maksājot divreiz par to, kas būtu bijis jādara vienu reizi.

 

 

Sešpadsmit neatkarīgas nozares. To nodrošina standarta MIFARE Classic 1K IC karte, un katrs sektors var apkalpot citu lietojumprogrammu ar savām šifrēšanas atslēgām: piekļuves kontrole 1. sektorā, laika apmeklējums 2. sektorā, kafejnīcas maksājums 3. sektorā.

 

ID kartes to nevar izdarīt. Viena karte, viens sērijas numurs, viena funkcija. Ja vēlaties savai piekļuves sistēmai pievienot kafejnīcas maksājumu, izsniedziet otru karti vai nomainiet visu infrastruktūru.

 

Campus un industriālo parku izvietošanai, kur "viena-karte-par-visam" ir mērķis, jo tas vien izslēdz 125 kHz ID kartes. Syntek ražo vairāku-lietotņu IC kartes un divu-frekvenču kompozītkartes, kas apvieno 125 kHz mikroshēmu un 13,56 MHz mikroshēmu vienā kartes korpusā, un tas ir arī veids, kā darbojas lielākā daļa pakāpenisko migrāciju.

 

 

 

Jūsu darbinieku viedtālruņi darbojas ar NFC ar 13,56 MHz, tādu pašu frekvenci kā IC kartes. Tas nozīmē, ka IC kartes akreditācijas datus var nodrošināt tālruņos, nodrošinot NFC{2}}bīstamu mobilo piekļuvi bez fiziskām kartēm.

 

ID kartes 125 kHz ir pilnībā neredzamas tālruņa NFC aparatūrai. Nav risinājums. Ja jūsu iestādes ceļvedī ir iekļauta mobilā piekļuve nākamo trīs līdz piecu gadu laikā, 125 kHz ID karšu sistēma ir strupceļš. Lai uzzinātu vairāk par to, kā NFC darbojas piekļuves kontroles ekosistēmās, skatiet vietni Syntekievads RFID piekļuves kontroles sistēmās.

 

 

Ja pašlaik izmantojat 125 kHz ID karšu sistēmu un drošības nepilnības jūs uztrauc, pilnīga sistēmas nomaiņa nav vienīgā iespēja. Divfrekvenču lasītāji var vienlaikus apstrādāt gan 125 kHz, gan 13,56 MHz kartes. Apvienojumā ar divu-frekvenču saliktajām kartēm (viena karte, kurā ir iestrādāts gan ID, gan IC mikroshēma), varat migrēt lietotājus pa posmiem: nav vienas-dienas pārtraukuma, nav pakalpojumu traucējumu.

 

Divu{0}}frekvenču migrācijas ilgums ir atkarīgs no piekļuves punktu skaita, darbinieku mainības līmeņa un tā, vai jūsu aizmugurprogrammatūra ir jāatjaunina. 20-durvju biroju ēka varētu tikt pabeigta trīs mēnešu laikā. Vairāku ēku industriālais parks ar ārpakalpojumu darbiniekiem un lielu mainību var aizņemt vairāk nekā gadu, lai tikai izņemtu pēdējo veco karšu partiju. Kopīgais pavediens ir tāds, ka divu frekvenču pieeja ļauj sadalīt kapitālizdevumus pa budžeta cikliem, nevis absorbēt tos kā vienu vienreizēju maksājumu.

Kā pārbaudīt, ko jūs patiesībā saņemat

 

Pirms lielapjoma piekļuves kartes pasūtījuma veikšanas ar piegādātāju apstipriniet trīs lietas: