Журнал ТЗ № 1 2019 |
  бюро находок  
  Где искать        
наши издания
наши анонсы






2019
№ 1
статьи



Журнал ТЗ № 1 2019



Раздел: КОНТРОЛЬ ДОСТУПА
Тема: СКУД (системы контроля и управления доступом)
Автор: Дмитрий КОРНИЕНКО, директор по маркетингу и PR группы компаний ISBC

Применение методов шифрования в СКУД

Современная индустрия безопасности постоянно развивается, внедряются передовые технологии и стандарты. Еще 15 лет назад на многих предприятиях люди пользовались бумажными пропусками, а сегодня везде применяются системы контроля доступа. Но и сами СКУД начинают устаревать и перестают соответствовать требованиям законодательства в области безопасности.

Безопасность систем контроля доступа в России

Сегодня около 70% систем контроля доступа в России работают на низкочастотном стандарте LF (125 кГц). Массово используются карты доступа Em-Marine с идентификацией по электронному номеру карты. И даже среди более новых HF-систем чаще всего используется все тот же UID.

Идентификация по электронному номеру карты небезопасна. После считывания UID ридером соответствующего частотного диапазона возможно создание клона карты с аналогичным номером. Для решения проблемы необходимо использовать современные технологии шифрования, широко применяющиеся в информационной безопасности.

Обеспечение безопасности систем контроля доступа

Одним из самых простых способов защиты является шифрование электронного номера карты. В таком случае UID зашифрован с использованием аппаратно-реализованных алгоритмов шифрования, чаще всего – AES. При этом ключи должны храниться в отдельной области памяти, что не позволит их считать при клонировании.

Но как быть, если будет получен ключ шифрования с потерянной карты доступа? Есть ли вероятность его использования для вскрытия криптозащиты других карт, даже если потерянная карта уже недействительна?

Подобную проблему легко решает диверсификация ключей доступа, когда они уникальны для каждого идентификатора. Даже если несколько пропусков будут утеряны, а ключи взломаны, эти ключи шифрования неприменимы для других пропусков.

Достаточно удалить доступы для пропавших карт, и злоумышленники или безответственные сотрудники не смогут использовать их ключи шифрования.

Использование криптозащиты только в пропуске бесполезно. Старые СКУД, даже при замене пропусков на самые современные, не поддерживают шифрование между считывателем и идентификатором. В таких системах можно не только клонировать карту, но и перехватить незашифрованный сигнал по воздуху для создания копии пропуска.

Комплексный подход

Безопасность обеспечивается только при комплексном применении современных систем контроля доступа, где и считыватель, и идентификатор разработаны с учетом технологий информационной безопасности. К таким решениям относится аутентификация пользователя, когда СКУД проверяет не только UID, даже зашифрованный, но и сам идентификатор. По-настоящему надежная система доступа оснащена пропусками со специальными MAC-подписями. Они гарантируют целостность и аутентичность передаваемых данных и предотвращают попытки взлома карты или перехвата сообщений злоумышленниками.

Существует и другая, весьма серьезная угроза для безопасности СКУД. Даже при применении шифрования и аутентификации идентификатора есть риск атаки повторного воспроизведения (replay). В таком случае происходит атака на систему аутентификации путём записи и последующего воспроизведения ранее посланных правильных сообщений или их частей. Используются кодграбберы, подобная методика часто применяется при взломе автомобильных сигнализаций.

Отсутствие защиты от подобного рода атак позволяет отслеживать идентификатор, тем самым нарушается конфиденциальность или, как сейчас говорят, Privacy носителя идентификатора (в данном случае – человека). Это особенно актуально для Bluetooth и других идентификаторов, которые можно считать с расстояния. По этой причине система контроля доступа и сам идентификатор должны оснащаться защитой от replay-атак, предотвращающей повторную передачу корректной информации для несанкционированного доступа или отслеживания. В качестве мер защиты могут использоваться метка времени, случайное число и другие известные подходы.

Защищенные СКУД на российских и зарубежных алгоритмах шифрования

Защищенные СКУД практически всегда используют импортную электронику или технологии. Западные компании предлагают широкий спектр решений с зарубежной криптографией, но в связи с текущей геополитической обстановкой в качестве альтернативы в России уже созданы и производятся системы, основанные на отечественных алгоритмах шифрования. Защищенные СКУД с криптоалгоритмами оптимальны для применения на объектах критической инфраструктуры, социально значимых объектах и везде, где требуется высокий уровень безопасности.


Рис.Применение шифрования в СКУД

Рис. Структура парка отечественных СКУД

Обозрение

Сергей ГОРДЕЕВ,
региональный менеджер по продажам HID Global - Россия и СНГ

Недостатки, выявленные в протоколах Clock-and-Data и Wiegand, подтолкнули службы безопасности к внедрению нового протокола, обеспечивающего надежную защиту данных при их передаче. Результатом стало создание интерфейса OSDP (Open Supervised Device Protocol) — стандарта связи для контроля доступа, разработанного компаниями Mercury Security и HID Global в 2008 году. Реализация стандартов OSDP позволяет достичь более высокого уровня безопасности, поскольку OSDP с использованием защищенного протокола SCP (Secure Channel Protocol) поддерживает шифрование AES-128. Кроме того, OSDP постоянно мониторит угрозы постороннего вмешательства, устраняя необходимость принятия решений вслепую, так как шифрование и аутентификация используются по умолчанию. OSDP помогает преодолеть и устранить растущую угрозу атак типа «злоумышленник в середине», например, когда злоумышленник использует инструмент для взлома канала связи между считывателем и контроллером, чтобы получить доступ к защищенному объекту.


Дмитрий КОРНИЕНКО,
директор по маркетингу и PR группы компаний ISBC

Комплексное применение отечественной криптозащиты в СКУД позволяет интегрировать физический контроль доступа с аутентификацией пользователей в информационных системах. В соответствии с требованиями законодательства РФ для этого используются отечественные криптографические алгоритмы, такие как ГОСТ 28147-89, ГОСТ Р 34.12- 2015, ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012. USB-токены и смарт-карты с ГОСТ криптографией уже широко применяются в государственных организациях и коммерческих структурах, и появляется возможность совместить в одной системе физический и логический доступы.

Интегрированные СКУД сокращают затраты на различные идентификаторы, упрощают администрирование доступа и число обслуживаемых систем. Существует российская аппаратная база, предотвращающая создание «закладок», – микросхема MIK51SC72DV6 с ГОСТ-криптографией на борту.

Олег ГРУШИН, инженер технической поддержки,
Nedap Security Management

Шифрование в СКУД можно разбить на несколько составляющих:
– работа с идентификаторами (шифрование данных на картах);
– работа с периферийными устройствами (шифрование каналов связи со считывателями);
– связь контроллеров и рабочих мест с сервером.

Современный рынок предоставляет достаточно большой выбор идентификаторов, при этом в России до сих пор наиболее популярны EM-Marin (EM-4100, EM-4102, 125кГц). Если в то время, когда эти идентификаторы появились, можно было говорить в известной степени об их безопасности, то сейчас в домашних условиях процедура их копирования при наличии недорогой и доступной каждому техники занимает примерно 30 секунд. Понятно, что вопрос о безопасности этой технологии на повестке дня уже просто не стоит.

В большинстве развитых стран давно уже на первое место вышли идентификаторы Mifare (ISO 14443, 13,56 мГц ). Идентификаторы, выпускаемые под данной торговой маркой, представляют широкий выбор вариантов защиты. Можно как ограничиться считыванием уникального идентификатора карты из открытой области (в данном случае, мы недалеко уходим от варианта с EM-Marin), так и читать любые данные из зашифрованных при помощи AES секторов. При этом один и тот же идентификатор может работать по разному принципу с разными считывателями, исходя из уровня угроз для конкретного помещения, оснащенного точкой доступа.

Когда вопросы безопасности стоят очень остро, возможно решение, в том числе на уровне шифрования канала данных «считыватель – контроллер». Например, ключи шифрования DESFire и сертификаты могут храниться в SAM-модуле контроллера. В такой схеме сам считыватель не принимает участия в процессе дешифрации данных и перестает быть слабым местом в СКУД на уровне информационных угроз и уязвимостей, а связь на уровне «идентификатор – контроллер» становится гарантированно безопасной. Хранение сертификатов в SAM-модуле гарантирует безопасность связи на уровне «контроллер – сервер». Так же сертификаты могут обеспечить безопасность связи, например, с рабочим местом оператора или администратора СКУД, поддерживающей WEB-интерфейс.

Леонид СТАСЕНКО,
главный конструктор СКУД Parsec

Чем дальше, тем больше происходит интеграция СКУД в IT структуру предприятий, что дает множество новых возможностей для систем доступа, но так же накладывает свои специфические требования. Одно из таких требований — обеспечение безопасности, защита от потенциальных хакерских атак, что достигается применением различных методов шифрования. Так что же можно шифровать в СКУД?

1. Обмен идентификатора со считывателем. Это позволяет исключить возможность клонирования идентификаторов. Из бюджетных - Mifare Plus на уровне SL3 с шифрованием ASE-128.
2. Линия «считыватель — контроллер» физически полностью обособлена и защищена, однако и здесь протокол OSDP позволяет опционально применять серьезный алгоритм шифрования, в качестве основного также предполагается AES-128.
3. Связь контроллера с сервером СКУД. При использовании RS-485 (который до сих пор жив) актуальность шифрования еще под сомнением, а при использовании IP, особенно если используется общая сеть, шифрование крайне необходимо. И здесь на помощь приходят готовые стандартные решения (например, TLS).

Таким образом, сегодня имеются все предпосылки и средства для того, чтобы СКУД действительно была безопасной и защищенной.

Технология Seos (HID Global)

HID Global разработал идентификационную технологию нового поколения Seos, которая обеспечивает идеальное сочетание безопасности и гибкости. В основе лежит программное обеспечение, нет никакой привязки к конкретным аппаратным чипам. Благодаря продвинутому шифрованию обеспечивается надежная защита для идентификаторов любого форм-фактора (карта, брелок, смартфон). Seos сочетает в себе несколько слоев безопасности для защиты данных. Одним из слоев является Secure Identity Object (SIO), обладающий следующими свойствами, повышающими безопасность:
1. Содержит уникальную цифровую идентификационную информацию о пользователе.
2. Криптографически привязан к носителю.
3. Подписан цифровой подписью во время создания. Подпись проверяется каждый раз, когда идентификатор используется.
4. Зашифрован с использованием алгоритмов AES128, 3DES, не позволяя неавторизованным сторонам прочитать идентификатор пользователя.
Карта Seos является микропроцессорной, в которую загружен аплет, запускаемый при внесении карты в поле считывателя. Карта имеет динамический CSN/UID, дает возможность генерации одноразового пароля.

Защищенная платформа ESMART® Доступ ГОСТ для систем контроля и управления доступом (ISBC)

ESMART® Доступ ГОСТ – новая технология защищенного доступа, разработана с использованием микросхем компании «Микрон» и компетенций специалистов Департамента информационной безопасности группы компаний ISBC.
Отличается следующими особенностями:
1. Защита от копирования по воздуху, клонирования и взлома карты:
• использование шифрования ГОСТ или AES при обмене данными между считывателем и идентификатором;
• диверсификация ключа шифрования;
• MAC подпись идентификатора;
• защита от replay атак.
2. Аппаратное ГОСТ шифрование на базе отечественной микросхемы MIK51SC72DV6, которая сертифицирована как СКЗИ по классу КС3 - самому высокому для систем, обрабатывающих сведения, не составляющие государственную тайну в РФ.
3. Считыватель поддерживает несколько популярных технологий MIFARE® CLASSIC, MIFARE® PLUS, MIFARE® DESFIRE, которые используют транспортные приложения большинства городов РФ, СНГ и мира.
4. Объединение доступов на предприятия и к информационной системе на одной смарт-карте с соблюдением требований законодательства РФ.
Включает считыватели ESMART® Reader ГОСТ с установленным модулем безопасности ESMART® Доступ ГОСТ SAM, а также персональные идентификаторы ISO14443, программное обеспечение, турникеты. Считыватель ESMART® Reader разработан специально для российского климата и работоспособен при температурах от – 40 до +85°С, устойчив к влаге, разрешен к эксплуатации вне помещений. RFID-идентификатор для конечных пользователей может быть выполнен в различных форм-факторах: смарт-карта, брелок или браслет, в том числе с брендингом заказчика, а также с дополнительным функционалом сервисов «умного города».

Внимание! Копирование материалов, размещенных на данном сайте допускается только со ссылкой на ресурс http://www.tzmagazine.ru

Рады сообщить нашим читателям, что теперь нашем сайте работает модуль обратной связи. Нам важна ваша оценка наших публикаций! Также вы можете задавать свои вопросы.Наши авторы обязательно ответят на них.
Ждем ваших оценок, вопросов и комментариев!
Добавить комментарий или задать вопрос

Правила комментирования статей

Версия для печати

Средняя оценка этой статьи: 0  (голосов: 0)
Ваша оценка:

назад
|
Реклама
Подписка на новости
Имя
E-mail
Анти-спам код
Copyright © 2008 —2022 «Технологии защиты».