Mitä on RFID-tietoturva?

Dec 10, 2025

Jätä viesti

Mitä on RFID-tietoturva?

 

Viime vuonna asiakas soitti meille raivoissaan. Heidän kulunvalvontakortinsa oli "hakkeroitu". Kävi ilmi, että he käyttivät edelleen 125 kHz:n läheisyyskortteja kymmenen vuoden takaa. Joku ohitti työntekijän metrossa puhelimen-kokoisella laitteella, ja seuraavana aamuna tuntematon osapuoli pääsi heidän varastoonsa kloonatun kortin avulla.

 

Olemme valmistaneet RFID-tuotteita SYNTEKillä lähes 20 vuoden ajan. Tällaiset tarinat eivät ole harvinaisia. Olemme nähneet yritysten kuluttavan miljoonia omaisuuden seurantajärjestelmiin, mutta huomattuaan, että jokainen 30 dollarin AliExpressin lukija voi kirjoittaa tunnisteitaan uudelleen. Olemme nähneet, että läsnäolojärjestelmät pelaavat päällekkäisillä korteilla-sama korttinumero näkyvän kolmessa eri kaupungissa kerralla.

"RFID-tietosuoja kuulostaa monimutkaiselta, mutta ydinongelma on kuolleen yksinkertainen: langattomat signaalit voidaan siepata. Hankala osa? Useimmat ostajat eivät tiedä, minkä suojaustason he todella saavat."

Tässä on asia, josta kukaan ei puhu

 

RFID on avoin langaton järjestelmä. Tagisi ja lukijasi kommunikoivat radioaaltojen kautta. Jokainen, jolla on oikeat varusteet, voi kuunnella.

 

RFID system principles

Langaton viestintä tapahtuu ulkoilmassa, jolloin kuuntelu on mahdollista ilman fyysistä kosketusta.

 

Ongelma alkoi aikaisin. Kun valmistajat suunnittelivat nämä sirut ensimmäisen kerran, he keskittyivät "Voimmeko lukea sen?" ei "pitäisikö meidän antaa sinun lukea se?" Monilla siruilla ei ole todennusta. Lukija kysyy "kuka sinä olet?" ja tagi vain... vastaa. Ei väliä, onko se laillinen laite vai joku kaveri, jolla on Proxmark repussa.

Kuvittele, että kävelet kadulla ja ilmoitat äänekkäästi sosiaaliturvatunnuksesi kenelle tahansa, joka kysyy. Pohjimmiltaan monet RFID-kortit toimivat näin.

Miksi 125 kHz:n kortit ovat turvallisuusvitsi

 

Tässä on jotain, jota teollisuus ei mainosta: valtava osa edelleen käytössä olevista pääsykorteista toimii 1990-luvun tekniikalla.Why 125kHz Cards Are A Security Joke

Nämä kortit toimivat 125 kHz:llä. Sirumalli on yleensä EM4100 tai TK4100. Miten ne toimivat? Virta päälle, lähetystunnus, valmis. Ei salausta. Ei todennusta. Vain sirulle tallennettu kiinteä numero.

 

 

Maksaako sellaisen kloonaaminen? Ehkä 20 dollaria lukijalle-kirjoittajille Amazonista, toinen 5 dollaria tyhjistä korteista. Kolme minuuttia työtä.

Asiakkaat kysyvät meiltä joskus: "Voitko tehdä salatun 125 kHz kortin?"

Lyhyt vastaus: ei. Protokolla itsessään ei tue vakavaa turvallisuutta. Jos haluat suojan, siirryt 13,56 MHz:n korkeaan taajuuteen tai UHF:iin siruilla, kuten MIFARE DESFire tai ICODE DNA, jotka todella tukevat AES-salausta.

 

Miltä hyökkäykset oikeasti näyttävät

 

Asiakkaidemme kanssa käytyjen keskustelujen perusteella RFID-suojaus epäonnistuu käytännössä:

Pääsykortin kloonaus

 

Hyökkääjän ei tarvitse koskea korttiasi. Lähettilaukkuun piilotettu korkean -lukeman lukija, joka seisoo takanasi muutaman sekunnin ajan hississä tai lounasjonossa,-joka riittää keräämään tiedot. Kirjoita se tyhjälle kortille, ja nyt heillä on pääsy.

 

Eräs kiinteistöyhtiö kertoi meille murtautumisesta- heidän asuinkompleksiinsa. Poliisi sai lopulta selville, että murtovaras oli kloonannut asukkaiden pääsykortteja. Rakennuksen sisääntulolokit? Kaikki näyttivät uhrien omat korttinumerot. Ei jälkeäkään todellisesta tunkeutujasta.

Tietojen peukalointi

 

Jos RFID-järjestelmäsi seuraa varastoa tai omaisuutta, tunnisteet tallentavat todellista tietoa, eivät vain tunnuksia. Siellä asiat menevät sekaisin.

 

Kirjoitettavat tunnisteet on suunniteltu päivityksiä{0}}hyödyllisiä ominaisuuksia varten. Mutta ilman kirjoitussuojausta kuka tahansa voi tehdä muutoksia. Joku toimitusketjussa vaihtaa "standardiluokan" arvoksi "premium" tunnistetiedoissa tai siirtää valmistuspäivää kuusi kuukautta eteenpäin. Se tapahtuu.

Toista hyökkäykset

 

Tämä on ovela. Hyökkääjän ei tarvitse purkaa mitään. He vain tallentavat keskustelun tunnisteen ja lukijan välillä ja toistavat sen myöhemmin.

 

Ajattele sitä näin: avaat oven pyyhkäisemällä korttiasi, ja joku lähistöllä tallentaa koko radiovaihdon. Seuraavalla kerralla he osoittavat laitteensa lukijaan ja painavat toistoa. Ovi avautuu. Lukija luulee nähneensä korttisi uudelleen.

 

Tämän estämiseksi järjestelmät tarvitsevat haaste{0}}vastausprotokollat-periaatteessa kertaluonteiset{2}}salasanat. Jokainen todennus on erilainen, joten tallennuksista tulee hyödyttömiä.

Kustannus vs. tietoturva (ja miksi se ei ole yksinkertaista)

 

Asiakkaat kysyvät meiltä jatkuvasti: merkitsevätkö kalliimmat sirut parempaa turvallisuutta?

Suunnilleen kyllä, mutta se ei ole lineaarista.

 

Sirun tyyppi Hinta noin Turvallisuustila
125kHz EM4100 $0.10 Ei mitään
13,56 MHz MIFARE Classic ~$0.40 Kompromitoitu (2008)
MIFARE DESFire EV3 $1-2 AES-128 / korkea

 

125 kHz EM4100 -kortti voi maksaa 0,10 dollaria. Nouse 13,56 MHz:n MIFARE Classiciin, ja hintasi on ehkä 0,40 dollaria, mutta turvallisuus ei ole paljon parempi (tämän sirun salaus murrettiin vuonna 2008). Siirry MIFARE DESFire EV3:een, jossa on AES-128 ja keskinäinen todennus, hinta on 1–2 dollaria korttia kohden, mutta julkisia hyväksikäyttöjä ei ole olemassa.

 

Kysymys kuuluu: tarvitsetko todella sitä tasoa?

Jos seuraat jakoavaimia tehtaalla, avaimen menettäminen tarkoittaa uuden tilausta. Jos hallitset pääsyä pankkiholviin, kloonattu kortti tarkoittaa jotain aivan muuta.

 

Neuvomme asiakkaille: aloita "mikä on pahin tapaus, jos tämä vaarantuu?" työskentele sitten taaksepäin. Puolet ajasta se ei ole tekninen ongelma, se on havaintoongelma.

 

Mitä voit tehdä vaihtamatta kaikkea

 

Joissakin tilanteissa todella tarvitaan halpoja tunnisteita-tapahtumarannekkeita,{1}}suuren volyymin logistiikkatarroja. Premium-sirut kaikkeen eivät ole realistisia. Mutta sinulla on muita vaihtoehtoja:

Rajoita lukualuetta

Pidempi lukuetäisyys ei ole aina parempi. NFC on suunniteltu muutaman senttimetrin mittaiseksi,{1}}sinun on periaatteessa kosketettava lukijaa. Tekee kaukoselaamisesta paljon vaikeampaa.

 

Jotkut korkean{0}}turvatason asiakkaat, joiden kanssa työskentelemme, asentavat lukijat suljettuihin koteloihin. Kortti on asetettava kokonaan sisään rekisteröintiä varten. Estää fyysisesti sivu-kanavahyökkäykset.

RFID-suojaus

Faradayn häkkiperiaate. Kääri tunniste johtavaan materiaaliin, radioaallot eivät pääse sisään tai ulos. Sitä RFID{2}}estoholkit ja lompakot tekevät. Valmistamme myös suojatuotteita-tarkista sivustomme "RFID-signaalin esto"-osio.

 

Kun et käytä korttia, se on kotelossa. Kukaan ei voi skannata sitä. Kun tarvitset sitä, vedä se ulos. Yksinkertaista, tehokasta, halpaa.

Erillinen tunnus tiedoista

Toinen lähestymistapa: tallenna tagiin vain satunnainen, merkityksetön tunnus. Pidä todelliset arkaluontoiset tiedot taustatietokannassasi. Vaikka joku kloonaa tunnisteen, he saavat hyödyttömän merkkijonon. Ilman vastaavia taustatietueita se on roskaa.

 

Tämä siirtää riskin tunnisteesta palvelininfrastruktuuriin. Mutta se pitää merkintäkustannukset kurissa.

Keskinäinen todennus{0}}ymmärryksen arvoinen

 

Mainittu haaste{0}}vastaus aiemmin. Sallikaa minun laajentaa tätä, koska se ymmärretään usein väärin.

Perinteinen RFID-todennus on yksi-tapa: lukija vahvistaa tunnisteen. Mutta korkean-turvallisuuden sovellukset tarvitsevat kaksi-todennusta-tunniste myös varmistaa, että lukija on aito.

 

Tässä on virtaus:

1

Lukija lähettää tagin satunnaisen numeron (haaste)

2

Tag suorittaa numeron sisäisen avaimensa kautta ja lähettää tuloksen takaisin

3

Reader suorittaa saman laskennan samalla avaimella, vertaa

4

Sitten tag lähettää lukijalle satunnaisluvun

5

Lukija laskee, lähettää takaisin, tag tarkistaa

Molempien osapuolten on läpäistävä ennen kuin todellista tiedonvaihtoa tapahtuu. Tarkoittaa, että väärennöslukija ei voi huijata tunnisteita luopumaan tiedoista.

MIFARE DESFire tukee tätä. Melko pakollinen kaikissa hankkeissa, joita teemme pankkien tai valtion virastojen kanssa.

 

Käytännön juttuja ennen lähtöä

 

1. Selvitä, mitä käytät tällä hetkellä

Monissa yrityksissä on RFID-järjestelmiä asentanut joku, joka lähti vuosia sitten. Nykyisellä IT:llä ei ole aavistustakaan, mitä todellisuudessa on otettu käyttöön. Hanki tekniset tiedot toimittajaltasi-vähintään, tiedä taajuus ja sirumalli.

 

2. Määritä pahin tapauksesi määrä

Jos pääsykorttisi kloonataan, mikä on vahinko? Jos varastotunnisteita peukaloidaan, mikä on altistuminen? Laita siihen numero. Päätä sitten, kannattaako päivitys sen arvoista.

 

3. Kerrostele tietoturvasi

Kaikki ei tarvitse maksimaalista suojaa. Tavalliset työntekijän merkit voivat sisältää keskitason -elimiä. Palvelinhuoneen ja taloustoimiston ovet saavat korkean-turvapiirin. Varaston logistiikkatunnisteet voivat olla halpoja taustavarmennuksella.

 

4. Tarkista säännöllisesti

RFID:tä ei ole asetettu-ja-unohda. Tarkista pääsylokeista poikkeavuuksia. Sama kortti näkyy kahdessa paikassa samanaikaisesti. -tunnin jälkeen pääsyyrityksiin. Mallit, joissa ei ole järkeä.

 

5. Suunnittele päivityksiä

Jos budjetti on nyt tiukka ja valitset keskitason-ratkaisun, valitse ainakin arkkitehtuuri, joka mahdollistaa tulevat päivitykset. Älä lukitse itseäsi suljettuun järjestelmään, joka vaatii täyden vaihdon kolmessa vuodessa.

 

Kysymyksiä? Olemme tehneet tätä lähes kaksi vuosikymmentä SYNTEKissä. Nähnyt enemmän vikatiloja kuin odotit. Olitpa sitten suunnittelemassa uutta järjestelmää tai tarkastamassa olemassa olevaa, keskustelemme mielelläsi.

Lähetä kysely