Šta je RFID sigurnost podataka?
Dec 10, 2025
Ostavi poruku
Šta je RFID sigurnost podataka?
Prošle godine nam se javio jedan klijent, bijesan. Njihove kartice za kontrolu pristupa su "hakovane". Ispostavilo se da još uvijek koriste 125kHz proximity kartice od prije jedne decenije. Neko je prošao pored zaposlenog u podzemnoj željeznici sa uređajem veličine -telefona, a sljedećeg jutra nepoznata strana je pristupila njihovom skladištu koristeći kloniranu karticu.
Proizvodimo RFID proizvode u SYNTEK-u skoro 20 godina. Ovakve priče nisu rijetke. Videli smo da kompanije troše milione na sisteme za praćenje imovine, samo da bi otkrili da svaki čitač od 30 dolara sa AliExpressa može da prepiše svoje oznake. Vidjeli smo sisteme posjećenosti koji se igraju duplim karticama-istim brojem kartice koji se pojavljuju u tri različita grada odjednom.
„Sigurnost RFID podataka zvuči komplikovano, ali suštinski problem je krajnje jednostavan: bežični signali mogu biti presretnuti. Zamršeni dio? Većina kupaca nema pojma koji nivo sigurnosti zapravo dobivaju.“
Evo stvari o kojima niko ne priča
RFID je otvoreni bežični sistem. Vaša oznaka i čitač komuniciraju putem radio talasa. Svako ko ima pravu opremu može da sluša.
Bežična komunikacija se odvija na otvorenom, što omogućava presretanje bez fizičkog kontakta.
Problem je počeo rano. Kada su proizvođači prvi put dizajnirali ove čipove, fokusirali su se na "možemo li to pročitati?" ne "trebamo li ti dozvoliti da to pročitaš?" Mnogi čipovi imaju nultu autentifikaciju. Čitalac pita "ko si ti?" a oznaka samo... odgovara. Nije bitno da li se radi o legitimnom uređaju ili nekom tipu sa Proxmarkom u ruksaku.
Zamislite da hodate ulicom i glasno objavljujete svoj broj socijalnog osiguranja svakome ko vas pita. To je u osnovi način na koji rade mnoge RFID kartice.
Zašto su kartice od 125 kHz sigurnosna šala
Evo nečega što industrija ne reklamira: ogroman dio pristupnih kartica koje se i danas koriste rade na tehnologiji iz 1990-ih.
Ove kartice rade na 125 kHz. Model čipa je obično EM4100 ili TK4100. Kako oni rade? Uključenje, ID emitiranja, gotovo. Nema enkripcije. Nema autentifikacije. Samo fiksni broj pohranjen na čipu.
Cijena kloniranja jednog? Možda 20 dolara za čitaoca-pisca sa Amazona, još 5 dolara za prazne kartice. Tri minuta rada.
Klijenti nas ponekad pitaju: "Možete li napraviti šifriranu karticu od 125 kHz?"
Kratak odgovor: ne. Sam protokol ne podržava ozbiljnu sigurnost. Ako želite zaštitu, prelazite na 13,56MHz visoke frekvencije ili UHF, sa čipovima poput MIFARE DESFire ili ICODE DNK koji zapravo podržavaju AES enkripciju.
Kako napadi zapravo izgledaju
Na osnovu razgovora sa našim klijentima, evo gdje RFID sigurnost ne uspijeva u praksi:
Kloniranje pristupne kartice
Napadač ne mora dirati vašu karticu. Čitač velikog-čitača sakriven u torbi, nekoliko sekundi stoji iza vas u liftu ili u redu za ručak-to je dovoljno za preuzimanje podataka. Zapišite to na praznu karticu i sada imaju vaš pristup.
Jedna kompanija za upravljanje imovinom rekla nam je o nizu provala-u njihov stambeni kompleks. Policija je na kraju otkrila da je provalnik klonirao stambene pristupne kartice. Dnevnici ulaza u zgradu? Svi su pokazivali brojeve kartica žrtava. Nema traga stvarnom uljezu.
Neovlašteno mijenjanje podataka
Ako vaš RFID sistem prati inventar ili imovinu, oznake pohranjuju stvarne informacije, a ne samo ID. Tu stvari postaju neurednije.
Oznake za pisanje su dizajnirane za ažuriranje{0}}korisne funkcije. Ali bez zaštite od pisanja, svako može napraviti promjene. Neko u lancu snabdevanja menja "standardnu ocjenu" u "premium" na podacima na oznaci, ili pomera datum proizvodnje za šest meseci unapred. Dešava se.
Ponovite napade
Ovaj je podmukao. Napadač ne mora ništa da dešifruje. Oni samo snimaju razgovor između vaše oznake i čitača, a zatim ga reproduciraju kasnije.
Razmislite o tome ovako: prevučete svoju karticu da otvorite vrata, a neko u blizini snimi cijelu tu radio razmjenu. Sljedeći put usmjere svoj uređaj prema čitaču i pritisnu play. Vrata se otvaraju. Čitalac misli da je upravo ponovo vidio vašu karticu.
Da bi to zaustavili, sistemi trebaju izazov-protokole odgovora-u suštini jednokratne-lozinke. Svaka autentifikacija je drugačija, tako da snimci postaju beskorisni.
Troškovi u odnosu na sigurnost (i zašto to nije jednostavno)
Klijenti nas stalno pitaju: da li skuplji čipovi znače bolju sigurnost?
Otprilike da, ali nije linearno.
| Tip čipa | Približna cijena | Sigurnosni status |
|---|---|---|
| 125 kHz EM4100 | $0.10 | Nema |
| 13,56MHz MIFARE Classic | ~$0.40 | Kompromitovan (2008) |
| MIFARE DESFire EV3 | $1-2 | AES-128 / Visoka |
125kHz EM4100 kartica može koštati 0,10 dolara. Dođite do 13,56MHz MIFARE Classic, i koštate možda 0,40 dolara – ali sigurnost nije mnogo bolja (šifriranje tog čipa je razbijeno još 2008.). Idite na MIFARE DESFire EV3 sa AES-128 i međusobnom autentifikacijom, tražite 1-2 dolara po kartici, ali ne postoje poznati javni eksploati.
Pitanje je: da li vam je zaista potreban taj nivo?
Ako pratite ključeve u fabrici, gubitak jednog znači naručivanje zamene. Ako kontrolirate pristup bankovnom trezoru, klonirana kartica znači nešto sasvim drugo.
Naš savjet klijentima: počnite s "koji je najgori slučaj ako se ovo kompromituje?" zatim radite unazad. Pola vremena to nije tehnički problem, već problem percepcije.
Šta možete učiniti bez zamjene svega
U nekim situacijama su zaista potrebne jeftine oznake-narukvice za događaje, velike-logističke naljepnice. Premium čipovi za sve nisu realni. Ali imate druge opcije:
Ograničite opseg čitanja
Duži opseg čitanja nije uvijek bolji. NFC je dizajniran za nekoliko centimetara-u suštini morate dodirnuti čitač. Otežava daljinsko prelistavanje.
Neki visoko{0}}klijenti sa kojima radimo instaliraju čitače unutar zatvorenih kućišta. Kartica mora biti do kraja umetnuta za registraciju. Fizički blokira napade -bočnih kanala.
RFID zaštita
Princip Faradejevog kaveza. Zamotajte oznaku u provodljivi materijal, radio talasi ne mogu ući ni izaći. To je ono što RFID-blokirajući rukavi i novčanici rade. Proizvodimo i proizvode za zaštitu-provjerite odjeljak "Blokator RFID signala" na našoj web stranici.
Kada ne koristite karticu, ona stoji u rukavu. Niko to ne može skenirati. Kad vam zatreba, izvucite ga. Jednostavno, efikasno, jeftino.
Odvojite ID od podataka
Drugi pristup: pohranite samo nasumični, besmisleni ID na oznaku. Čuvajte stvarne osjetljive podatke u svojoj bazi podataka. Čak i ako neko klonira oznaku, dobija beskorisni niz. Bez podudaranja pozadinskih zapisa, to je smeće.
Ovo prebacuje rizik sa oznake na infrastrukturu vašeg servera. Ali to smanjuje troškove etiketa.
Međusobna autentikacija{0}}vrijedna razumijevanja
Ranije spomenuti{0}}odgovor na izazov. Dozvolite mi da ovo proširim jer je često pogrešno shvaćeno.
Tradicionalna RFID autentifikacija je jedan-način: čitač provjerava oznaku. Ali visoko{2}}aplikacije visoke sigurnosti trebaju-autentifikaciju-oznaka također potvrđuje da je čitač legitiman.
Evo toka:
Čitač šalje tag nasumični broj (izazov)
Tag pokreće taj broj kroz svoj interni ključ, šalje natrag rezultat
Čitač radi isti proračun sa istim ključem, upoređuje
Zatim tag šalje čitaocu nasumični broj
Čitač izračunava, šalje nazad, tag verifikuje
Obje strane moraju proći prije nego što dođe do prave razmjene podataka. To znači da lažni čitač ne može prevariti oznake da daju informacije.
MIFARE DESFire to podržava. Prilično obavezan za svaki projekat koji radimo sa bankama ili vladinim agencijama.
Praktične stvari prije nego krenete
1. Shvatite šta trenutno radite
Mnoge kompanije imaju RFID sisteme koje je instalirao neko ko je otišao pre mnogo godina. Trenutni IT nema pojma šta je zapravo raspoređeno. Nabavite specifikacije od svog dobavljača-u najmanju ruku, znajte frekvenciju i model čipa.
2. Kvantifikujte svoj najgori slučaj
Ako se vaše pristupne kartice kloniraju, kakva je šteta? Koja je izloženost ako dođe do neovlaštenih oznaka inventara? Stavi broj na to. Zatim odlučite da li se nadogradnja isplati.
3. Povežite svoju sigurnost
Ne treba sve maksimalna zaštita. Redovne značke za zaposlenike mogu imati čipove srednjeg{1}}tier-a. Vrata serverskih i finansijskih kancelarija dobijaju -sigurnosne čipove. Skladišne logističke oznake mogu biti jeftine uz backend verifikaciju.
4. Redovno vršiti reviziju
RFID nije postavljen-i-zaboravite. Provjerite pristupne zapise za anomalije. Ista kartica se pojavljuje na dvije lokacije istovremeno. Pokušaji pristupa nakon{5}}sati. Obrasci koji nemaju smisla.
5. Planirajte nadogradnje
Ako je budžet sada mali i idete sa rješenjem srednjeg{0}}tier-a, odaberite barem arhitekturu koja omogućava buduće nadogradnje. Nemojte se zaključavati u zatvoreni sistem koji zahtijeva potpunu zamjenu za tri godine.
Pitanja? Ovo radimo skoro dve decenije u SYNTEK-u. Viđeno više načina kvara nego što biste očekivali. Bilo da planirate novi sistem ili vršite reviziju postojećeg, rado ćemo razgovarati.
Pošaljite upit