Bezprzewodowe paradoksy

Subskrybuj RSS A A A
10 marca 2009
Artur Wawrowski

Coraz więcej przedsiębiorstw decyduje się na wdrożenie bezprzewodowej sieci kontroli dostępu, aby połączyć wygodę pracowników, automatyzację pracy, bezpieczeństwo i możliwość łatwego zarządzania uprawnieniami. Które z tych elementów są prawdziwe?



Niemieckojęzyczna grupa zajmująca się szeroko pojętymi zabezpieczeniami cyfrowymi Chaos Computer Club przedstawiła własną analizę problemu, wraz z algorytmem działania algorytmu szyfrującego Crypto1 (stosowanego w omawianych kartach) już w grudniu 2007 r. Dodatkowo zaprezentowano wtedy rozmaite sposoby ataku i łamania zabezpieczeń kart zbliżeniowych, wykorzystujące luki w mechanizmie szyfrującym i generatorze liczb pseudolosowych. Według CCC, uzyskanie kluczy zabezpieczeń normalnemu PC zajęłoby kilka minut, sekundy przy użyciu specjalistycznego sprzętu.

Reakcją firmy NXP na powyższe dokonania było wypuszczenie kart Mifare Plus, gdzie skompromitowane szyfrowanie Crypto1 zastąpiono dużo bezpieczniejszym AES-128. Dodatkowo NXP ma zamiar ubiegać się o certyfikację wg normy EAL-4+, wydawaną przez grupę BSI.

W październiku 2008 r. pojawiło się w Internecie narzędzie do programowego łamania kluczy. Wystarczy przechwycić fragment połączenia pomiędzy kartą a uprawnionym czytnikiem (przyjęty protokół wymaga, aby czytnik uwierzytelnił się pierwszy), niemniej w dalszym ciągu zadanie takie wymaga niemałej wiedzy informatycznej oraz dobrej znajomości obsługi czytników RFID.

Zmieniać, nie zmieniać

Należy się spodziewać dalszych doniesień o coraz sprawniejszych próbach klonowania kart zbliżeniowych. Czy jednak w tej sytuacji należy wpadać w panikę, gwałtownie zmieniając całe systemy? Nie wydaje się to słuszne, przynajmniej, dopóki nie pojawią się regularne doniesienia o udanych wyłudzeniach i włamaniach dokonywanych za pomocą klonowanych kart.

Innym problemem jest powszechność i złożoność obsługiwanych przez nie systemów. W krajach Beneluksu szacuje się ponad 2 mln użytkowników, w Polsce karty Mifare Classic wykorzystywane są na mniejszą skalę, lecz również coraz powszechniej (chociażby karty miejskie). Rozsądnym rozwiązaniem jest na pewno przejście z kart Classic na Plus i uzupełnienie zabezpieczeń.

Rodzaje kart Mifare
- Ultralight: najtańsze rozwiązanie operujące tym samym protokołem, co MIFARE Classic, lecz pozbawione części systemów bezpieczeństwa.
- Ultralight C: pierwsza tania karta zbliżeniowa o ograniczonym zastosowaniu oferująca korzyści płynące z szyfrowania Open 3DES.
- Classic (Standard): wykorzystująca specjalny protokół wysokiego poziomu zamiast ISO/IEC 14443-4, wraz z użyciem protokołów firmy NXP do uwierzytelnienia i szyfrowania.
- Plus: karta identyczna jak MIFARE Classic, z certyfikowanym standardem bezpieczeństwa (bazującym na AES-128).
- DESFire: karty zgodne ze standardem ISO/IEC 14443-4 zawierające wbudowany system operacyjny firmy NXP.
- ProX, SmartMX: nazwy marek kart zgodnych z ISO/IEC 14443-4.

m.computerworld.pl - sprawdź mobilną wersję serwisu Computerworld
w swoim smartfonie.

Oceń artykuł

średnio: 0 liczba ocen: 0
« wstecz 1  2 
Podziel się |

Komentarze (0)

+Dodaj komentarz

Najpopularniejsze

Najnowsze

Państwo do konsolidacji

Państwo do konsolidacji
Obywatele uważają administrację publiczną za jeden organizm. W rzeczywistości jest to kilka tysięcy oddzielnych struktur, obrosłych biurokratycznymi naroślami. Czy można zracjonalizować działanie państwa? Jak w tym może pomóc informatyka?

Zarządzanie po japońsku

Zarządzanie po japońsku
W praktyce przemysłowej wypracowano szereg skutecznych metod zarządzania. Wiele powstało w Japonii. Dlaczego, mimo ich efektywności, nie zawsze są stosowane w biznesie?

e-Sąd z odsieczą sprawiedliwości

e-Sąd z odsieczą sprawiedliwości
Polski wymiar sprawiedliwości postrzegany jest jako skostniały i opieszały. Tymczasem kolejne e-usługi udostępniane przez Ministerstwo Sprawiedliwości ułatwiają życie przedsiębiorcom i usprawniają pracę sądów.

e-Zdrowie w Polsce i na świecie

e-Zdrowie w Polsce i na świecie
Projekty informatyzacji służby zdrowia realizowane są na świecie z różnym powodzeniem. Skąd Polska mogłaby czerpać wzorce? A może jesteśmy skazani na własne rozwiązania?

Raport Państwo 2.0, czyli nowa wizja informatyzacji państwa

Raport Państwo 2.0, czyli nowa wizja informatyzacji państwa
Michał Boni, minister administracji i cyfryzacji, zaprezentował raport "Polska 2.0. Nowy start dla e-administracji". Przedstawia on informacje na temat stanu realizacji projektów będących w gestii nowo utworzonego ministerstwa oraz prezentuje kierunki dalszych działań związanych z informatyzacją i cyfryzacją administracji publicznej w naszym kraju.

Cyberprzestępcy podążają za użytkownikami

Cyberprzestępcy podążają za użytkownikami
Już dwie na trzy polskie firmy odnotowały ataki lub awarie, które spowodowały spadek produkcji. Co trzecia firma utraciła dane. Liczba takich przypadków będzie rosła, bo hakerzy biorą na cel najbardziej masowe technologie. Szybko reagują też na zmiany w firmowej architekturze.

Jak zaplanować karierę w branży IT

Jak zaplanować karierę w branży IT
Doświadczenia łączone na różnych stanowiskach w firmach o odmiennych profilach są szczególnie cenione przez pracodawców. Dlatego warto głęboko przeanalizować możliwości rozwoju kariery, które obecnie stwarza rynek IT.

Rekomendacje



Serwisy IDG - Warunki obsługi - Kontakt - Redakcja - Regulamin - O nas - Polityka prywatności - Serwis zgodny z ASME
Reklama - Licencjonowanie treści - Prenumerata: Computerworld, Networld, PC World
Computerworld Polska i Computerworld Polska online są znakami towarowymi IDG Poland SA.
 © Copyright 2012 International Data Group Poland S.A. 04-204 Warszawa ul. Jordanowska 12 tel.(+4822)321-78-00 fax(+4822)321-78-88