Izboljšanje varnosti in prilagajanja s-kakovostnimi praznimi pametnimi karticami

 

 

Izbira čipov je tista, kjer večina projektov s praznimi pametnimi karticami dolgoročno uspe -ali pa se tiho pripravi za ponovno -naročilo šest mesecev pozneje. Spodnja tabela prikazuje najpogosteje nabavljene družine čipov z dimenzijami, ki dejansko vodijo odločitev o javnem naročilu.

 

Družina Chip	Frekvenca / standard	Tipična uporaba	Raven varnosti	Omejitev ključa
MIFARE Classic 1K/4K	13,56 MHz / ISO 14443-A	Osnovni dostop do vrat, kartice zvestobe	Nizka (Crypto-1, pokvarjen)	Znane ranljivosti; klonirati
MIFARE DESFire EV2/EV3	13,56 MHz / ISO 14443-A	Varna kontrola dostopa, tranzit, plačilo	Visoko (AES-128, EAL5+)	Višji stroški na enoto
MIFARE Plus	13,56 MHz / ISO 14443-A	Pot nadgradnje klasičnih sistemov	Srednje–visoko (način SL3)	Zahteva posodobitev vdelane programske opreme bralnika za SL3
NTAG 213/215/216	13,56 MHz / ISO 14443-A	NFC mobilna interakcija, označevanje sredstev	Nizka–srednja	omejen pomnilnik; ne za nadzor dostopa
SLE4442/SLE4428	Kontakt / ISO 7816	Shranjene-vrednostne kartice, podedovani ID sistemi	Srednje (zaščiteno s PIN-)	Samo za stik-; brez brezkontaktne zmogljivosti
T5577	125 kHz (LF)	Starejši dostop do bližine, kloniranje	Zelo nizko	Brez šifriranja; trivialno podvojeno

 

Preden naročite prazne kartice MIFARE za sisteme za dostop do vrat, potegnite številko modela z nameščenih čitalnikov. Če vaš integrator ne more potrditi podpore za protokol v 48 urah, to obravnavajte kot tveganje združljivosti in ne kot neprijetnost. Objekt, v katerem se izvajajo podedovani lastniški bralniki, običajno ne more uporabljati kartic DESFire brez sprememb vmesne programske opreme ali zamenjave strojne opreme, odkritje tega po pošiljanju 2000 kartic pa je pet-težava.

Če nabavljateprazne NFC kartice v velikem obseguza novo uvedbo o pogostosti in preverjanju protokola ni-mogoče pogajati. Toda tukaj je del, ki ga večina vodnikov za izbiro čipov izpusti: tudi znotraj istega frekvenčnega pasu uporabljata ISO 14443-A (MIFARE, NTAG) in ISO 15693 (ICODE) različna komunikacijska protokola. Čitalnik, konfiguriran za eno, ne bo zaznal druge. Edini zanesljiv način za potrditev združljivosti je testiranje dejanskih vzorčnih kartic z dejansko nameščenimi čitalniki, ne pa primerjava podatkovnih listov. Syntek pošilja vzorčne serije v natančni različici čipa, ki jo določite; glejrazpoložljive konfiguracije praznih pametnih karticpreden se zavežete glasnosti.

 

Če nabavljate prazne kartice NFC v velikem obsegu za novo uvedbo, o pogostosti in preverjanju protokola ni-mogoče pogajati. Toda tukaj je del, ki ga večina vodnikov za izbiro čipov izpusti: tudi znotraj istega frekvenčnega pasu uporabljata ISO 14443-A (MIFARE, NTAG) in ISO 15693 (ICODE) različna komunikacijska protokola. Čitalnik, konfiguriran za eno, ne bo zaznal druge. Edini zanesljiv način za potrditev združljivosti je testiranje dejanskih vzorčnih kartic z dejansko nameščenimi čitalniki, ne pa primerjava podatkovnih listov. Syntek pošilja vzorčne serije v natančni različici čipa, ki jo določite; si oglejte razpoložljive prazne konfiguracije pametnih kartic, preden se odločite za glasnost.

 

 

Tukaj je stališče, ki ga večina dobaviteljev praznih kartic ne bo jasno izrazila:MIFARE Classicni več upravičljiva izbira za nobeno aplikacijo, kjer kloniranje kartice predstavlja pomembno tveganje.To vključuje dostop do vrat podjetja, ključe hotelske sobe, parkirne sisteme in v bistvu vse primere uporabe, kjer podvojena kartica omogoča fizični vstop.

 

To ni teoretični pomislek. Leta 2024 so varnostni raziskovalci pri Quarkslabu razkrili stranska vrata strojne opreme v čipih FM11RF08S, široko uporabljeni kitajski-proizvedeni različici, ki se trži kot »združljiva z MIFARE Classic«. Zadnja vrata omogočajo popolno kloniranje kartice v nekaj minutah, brez kakršne koli specializirane opreme razen komercialno dostopnega bralnika (SecurityWeek). Ugotovljeno je bilo, da hoteli po Združenih državah, Evropi in Indiji uporabljajo te čipe, ne da bi vedeli, da njihove kartice niso pristni NXP-proizvedeni MIFARE Classic IC. Nabavne ekipe, ki so oddale ta naročila, so ocenile ceno in navedle združljivost, ne pa tudi dejanskega silicija v kartici.

 

 

Prejšnje akademsko delo z University College London je že pokazalo, da je mogoče celo pristne kartice MIFARE Classic klonirati samo z bližino, brez dostopa bralnika, z uporabo, kar so raziskovalci poimenovali »-napad samo na kartico« (UCL Discovery). Ugotovitve Quarkslaba so potrdile, da težava ni le obstajala, ampak se je zaradi zamenjave dobavne verige še poslabšala.

 

Praktična pot nadgradnje za organizacije, ki še vedno uporabljajo klasične{0}}prazne brezkontaktne pametne kartice, je odvisna od obstoječe naložbe v infrastrukturo:

 

Scenarij A - Strojna oprema čitalnika podpira MIFARE Plus.Preklopite na kartice MIFARE Plus in konfigurirajte čitalnike za način varnostne stopnje 3 (SL3), ki aktivira šifriranje AES-128. To je-najcenejša selitvena pot, ker ponovno uporabi obstoječe čitalnike, vendar zahteva posodobitev vdelane programske opreme in ponovno včlanitev vseh kartic.

 

Scenarij B - Bralci so samo na koncu--življenja ali klasični-.Predvidite proračun za popolno zamenjavo čitalnika in se premaknite neposredno na MIFARE DESFire EV3. Stroški na-kartico so višji, vendar DESFire-jev EAL5+ certifikat in prilagodljiva struktura aplikacij bistveno zmanjšata verjetnost ponovne prisilne selitve v primerjavi z infrastrukturo, ki temelji na klasični-.

 

Scenarij C - Nizka-varnost, ne-kritična aplikacija(kartice zvestobe kavarne, značke za obiskovalce). Klasičen ali NTAG ostaja sprejemljiv, vendar le, če kartica ne podeljuje nobenih pravic fizičnega dostopa. Če ima vaše območje za obiskovalce isto infrastrukturo za dostop do vrat kot območja za zaposlene, čeprav delno, ta izjema ne velja in bi morali oceniti scenarij A ali B.

 

Vrzel med scenarijem A in B je tisto, kjer se večina proračunov za javna naročila ustavi. Razlika v stroških med migracijo Plus SL3 in popolno uvedbo DESFire je odvisna od spremenljivk, značilnih za vašo namestitev: preostali pogoji zakupa bralnika, število IT zaposlenih za ponovno-včlanitev in ali ima vaša varnostna ekipa neposredna proračunska pooblastila. Toda okvir odločitve je jasen. Če so bili vaši bralniki nameščeni pred letom 2019 in imate kakršne koli zahteve glede skladnosti ali zavarovanja, povezane z nadzorom dostopa, so stroški bivanja na Classic že višji kot pri selitvi. Večina čitalnikov, uvedenih pred letom 2019, je dobavljenih brez podpore vdelane programske opreme za MIFARE Plus Security Level 3, kar pomeni, da migracija Classic-na-Plus ni možnost in popolna zamenjava čitalnika postane edina pot nadgradnje.

 

Od telesa kartice do kodirane značke: pravilno prilagajanje

 

Prazna pametna kartica je le polovica izdelka. Druga polovica je tisto, kar se zgodi, ko prispe: tiskanje, kodiranje, plastificiranje in izdaja. Specifikacije nabave, ki ne upoštevajo te druge faze, povzročajo težave, ki se pojavijo šele med proizvodnjo.

 

Material ohišja kartice in združljivost tiskalnika sta najpogostejši vir napak pri prilagajanju. Preslikava ni intuitivna, napačna izvedba pa zapravlja kartice in tiskalne trakove:

 

Material kartice	Združljiva vrsta tiskalnika	Pogosta neusklajenost
PVC (standardno)	Neposredni termični prenos-na-kartico,-sublimacija barvila	Brez (večina namiznih tiskalnikov)
PET-G	Samo tiskalniki za ponovni prenos	Podaja se skozi tiskalnik neposredno-na-kartico → razmazan izpis
Polikarbonat (PC)	Retransfer ali lasersko graviranje	Toplotni prenos → odpoved oprijema v nekaj tednih

 

Površinska obdelava je enako pomembna zaprazne kartice s pametnim čipom za tiskanje osebnih dokumentov. Kartice, poslane brez prekrivanja, tanke laminacijske plasti, ki sprejme črnilo in ščiti natisnjeno sliko, ustvarijo natise, ki se razmažejo v nekaj tednih in odluščijo v nekaj mesecih. Če vaša specifikacija naročila ne navaja izrecno "natisljive površine z zaščitnim prekrivanjem", ne domnevajte, da je vključena. Za -zarezno tiskanje preko kontaktne površine čipa ali antenske tuljave je potrebna kalibracija tlaka tiskalne glave; rahla površinska nepravilnost nad vgrajenimi komponentami povzroči trakove ali praznine črnila, če jih ne odpravite.

 

 

Offset{0}}natisnjene prazne pametne osebne izkaznice za zaposlene zahtevajo dodatnih 10–15 delovnih dni od dobavne dobe navadne bele zaloge, odvisno od zapletenosti zasnove. To je proizvodni korak, ki je ločen od-personalizacije na kraju samem: tovarna nanese sliko ozadja z ofsetnim tiskom pred vdelavo čipa, kar zahteva vključitev proizvajalca karticeStoritve prilagajanja OEM/ODMza uskladitev registracije umetniškega dela s postavitvijo čipa in antene.

 

Kodiranje, korak, pri katerem se poverilnice za dostop ali podatki imetnika kartice zapišejo na čip, je zadnja stopnja personalizacije. Večina uvedb v podjetjih obravnava kodiranje na-mestu z uporabo namiznih bralnikov, integriranih z njihovo programsko opremo za upravljanje identitete. Potrdite, da vaš kodirnik podpira določeno različico čipa in komunikacijski protokol, preden pošljete naročilo kartice. Po naših izkušnjah odkritje nezdružljivosti med včlanitvijo običajno pomeni od 3 do 6 tednov zamude, medtem ko se nadomestne kartice pridobijo, preizkusijo in ponovno-pošljejo. Za hotel to pomeni, da recepcija med glavno sezono ne more izdati ključev sobe.

 

Pet napak pri nabavi, ki stanejo več kot kartice same

 

Frekvenčno neujemanje je najpogostejša okvara, ki jo je mogoče preprečiti. Nizkofrekvenčne (125 kHz) in visokofrekvenčne (13,56 MHz) kartice so fizično enake: enake dimenzije, enak beli PVC videz, enaka teža. Prav tako so popolnoma nezdružljivi s protokolom-. Objekt, ki upravlja 125 kHz čitalnike in naroča 13,56 MHz prazne kartice RFID za nadzor dostopa, bo odkril težavo šele, ko kartice ne uspejo skenirati. Glavni vzrok je običajno obrazec za naročilo, ki določa "kartice za dostop RFID" brez navedbe pogostosti, in dobavitelj, ki pošilja svojo najbolj priljubljeno SKU. Vedno navedite natančno frekvenco in protokol.

 

Neusklajenost protokola znotraj istega frekvenčnega pasu je manj opazna.ISO 14443-A (MIFARE, NTAG) in ISO 15693 (ICODE, Tag-it) delujeta pri 13,56 MHz, vendar uporabljata različna -protokola proti trkom in komunikacijske protokole. Čitalnik, konfiguriran za 14443-A, ne bo zaznal kartice 15693. To razlikovanje pogosto ujame ekipe za nabavo, ki na veliko nabavljajo prazne kartice NFC za projekte mešane rabe.

 

Če preskočite testiranje vzorcev pred množičnimi naročili, se vse tveganje prenese na kupca.Industrijska praksa v proizvodnji kartic RFID je nedvoumna: ko je tip čipa potrjen in se proizvodnja začne, so napake pri izbiri odgovornost stranke. Ugledni proizvajalci ponujajo vzorčne serije prav zato. Če dobavitelj odsvetuje vzorce ali jih zaračunava pretirano, to obravnavajte kot rdečo zastavo. Preden se zavežete glasnosti,zahtevajte serijo vzorcev kartic 10–20in preizkusite vsako kartico glede na nameščene čitalnike in programsko opremo za kodiranje.

 

Neupoštevanje površinske obdelave kartice vodi do slabe kakovosti tiskanja.Kartice brez prekrivanja dajejo nezanesljive izpise. Ta napaka je še posebej pogosta pri nakupu praznih brezstičnih pametnih kartic na debelo od posrednikov, ki optimizirajo ceno na enoto in ne uporabnost na nižji stopnji.

 

Nabava pri posrednikih brez vidnosti tovarne je najdražja napaka in jo je najtežje odkriti.Ko trgovsko podjetje sedi med vami in dejanskim proizvajalcem, izgubite pregled nad nabavo čipov. Ranljivost hotelske kartice Quarkslab izhaja neposredno iz te nepreglednosti dobavne verige: ekipe za nabavo so naročile »MIFARE Classic« in prejele silicij FM11RF08S od drugega proizvajalca, s strojno stranjo, ki je niso mogle zaznati z vizualnim pregledom ali osnovnim funkcionalnim testiranjem. To ni teoretično tveganje. To je dokumentiran vzrok največjega varnostnega incidenta z dostopnimi karticami RFID v zadnjih letih.

 

Ocenjevanje dobavitelja prazne pametne kartice: Česa ponudbeni list ne prikazuje

 

Vsaka ponudba dobavitelja kartice RFID navaja ceno na enoto, vrsto čipa in dobavni rok. Nobeden od njih ne navaja preverjanja pristnosti-na ravni čipa, testiranja trdnosti vezi laminacije ali kaj se zgodi, ko vaša prva proizvodna serija ne opravi preverjanja združljivosti. Ti nevidni vrstični elementi so tisto, kar loči proizvajalca od preprodajalca in tisto, kar določa, ali vaše prazne pametne kartice s čipi MIFARE dejansko vsebujejo silicij NXP, ki ste ga določili.

 

 

Nekaj ​​vprašanj, ki razkrivajo razliko: Ali dobavitelj upravlja lastno opremo za vgradnjo čipov in laminacijo ali proizvodnjo oddaja neimenovanim tretjim osebam? Ali lahko zagotovijo poročilo o preskusu-na ravni čipa za vsako serijo, ki prikazuje dejanskega proizvajalca IC in revizijo matrice, ne le »združljivo z MIFARE Classic«? Ali ponujajo kodirane vzorčne kartice za funkcionalno testiranje z vašimi čitalniki ali samo prazne vizualne vzorce?

 

Pri Synteku smo naš postopek preverjanja zgradili okoli natančnega načina napake, opisanega zgoraj. Ko se je k nam oglasila gostinska skupina iz jugovzhodne Azije, potem ko je odkrila, da njihove obstoječe kartice vsebujejo FM11RF08, kljub temu, da je bila fakturirana kot MIFARE Classic, smo izvedli identifikacijo IC na serijski-nivoji dohodne serije, potrdili zamenjavo FM11RF08 v 48 urah po prvem skeniranju testne kartice in zamenjali celotno naročilo s karticami DESFire EV3, ki jih je-preveril NXP v dveh tednih. Njihov prejšnji dobavitelj je bilo trgovsko podjetje brez vpogleda v plast izdelave čipov. Naša-hišna proizvodnja, vključno s CNC laminacijo, visoko{12}}hitrostnim kodiranjem in 100-odstotnim avtomatiziranim preverjanjem IC v objektu s površino 4500 m², obstaja posebej zato, da ko pošiljamo prazne pametne kartice z oznako DESFire EV3, se silicij v notranjosti ujema z oznako. Kartice RFID izdelujemo od leta 2006 in razlog za vlaganje v QC-na ravni čipa je ta, da smo videli, kaj se zgodi, če tega manjka. Raziščite v celotiproizvodna linija praznih kartic s čipomza ogled razpoložljivih konfiguracij glede na družino čipov in faktor oblike.

 

Certificiranje ISO 9001 je osnova, ne razlika; večina tovarn ga drži. Signal, ki je dejansko pomemben, je, ali lahko dobavitelj pripravi poročilo o preskusu-na ravni čipa, ki prikazuje proizvajalca IC in revizijo matrice za vsako proizvodno serijo. Poleg tega preverite pripravljenost za zagotavljanje dostopa do revizije tovarne, objavljeno prilagodljivost MOQ in dokumentirane dobavne roke tako za navadne bele zaloge kot za-natisnjena telesa kartic po meri. Syntek sprejme vzorčna naročila že pri 100 kosih s 3–5 dnevnim preobratom, stroški vzorca pa se pripišejo prvemu velikemu naročilu.

Ste pripravljeni preveriti, katera konfiguracija čipa ustreza vašemu sistemu, preden se odločite za obseg?Zahtevajte brezplačen vzorecin preizkusite svoje nameščene bralnike.