Secure Physical Access Control Enhanced Reader
Реалізація систем контролю та керування доступом (СККД) припускає здійснення однозначної ідентифікації кожного користувача системи. Одним з найпоширеніших способів ідентифікації користувачів є застосування персональних безконтактних карток. Безконтактний считыватель із відстані в кілька сантиметрів зчитує з картки унікальний ідентифікатор картки/користувача й по внутрішній лінії зв'язку передає його в контролер СККД, що, на основі таблиці прав доступу, ухвалює рішення щодо допуску користувача в контрольоване приміщення. Тому, безпека системи, в основному, визначається ступенем захисту протоколу обміну між карткою і зчитувачем від погроз підробки/емуляції картки.
При цьому абсолютна більшість СККД, що інсталюються сьогодні на території СНД, або не підтримують криптозахист (тобто зберігають і передають ідентифікатор картки в незахищеному виді), або використовують «закриті» алгоритми криптозахисту з обмеженою довжиною ключа (звичайно 48-96 біт). «Закритість» алгоритму означає, що його структура є конфіденційною інформацією компанії розроблювача, і алгоритм не пройшов незалежного аудита безпеки (наприклад: Mifare Crypto1, EM Crypto, My-D Crypto). При цьому, як правило, використовується досить простий у реалізації потоковий шифр і його стійкість базується на «таємності» самого перетворення, тому після його реінжинірингу завдання пошуку ключа переходить з криптоаналітичної площини у винятково інженерну. Ще однією широко розповсюдженою слабкістю масових СККД, що використовують криптографічні картки (наприклад, MIFARE Standard) є непрозорість або повна відсутність підсистеми керування ключами. Часто секретні ключі карток і зчитувачів визначаються безпосередньо виробником, отже, модель безпеки замовника повинна припускати режим повної довіри виробникові.
Перспективним напрямком розвитку сучасних СККД є застосування безконтактних смарт-карт, що підтримують апробовані криптоалгоритми з відомими показниками стійкості (наприклад, TripleDES або AES).
Найбільшим ступенем захисту, серед бюджетних безконтактних карток, володіють DESFire EV1, що підтримують криптоалгоритми TripleDES (ключ до 168 біт) і AES (ключ 128 біт). Крім того, ці картки мають гнучку файлову систему й підтримку механізму «транзакцій», що дозволяє на їхній основі створювати безпечні інструменти мікроплатежів. Також інтерес представляють картки MIFARE Ultralight C, що відрізняються меншою вартістю й підтримують алгоритм TripleDES з довжиною ключа 112 біт.
Компанія «Мікрокрипт Текнолоджіс» пропонує власне рішення завдання криптозахиста безконтактних карт для систем контролю й керування доступом. Наше рішення включає систему безконтактних інтелектуальних зчитувачів, що підтримує картки DESFire EV1 і MIFARE Ultralight C, а також допоміжне програмне забезпечення, що забезпечує гнучке керування ключовою системою СККД і аудит відповідних операцій. Основними перевагами нашого рішення є:
Зазначені переваги SPACER дозволяють усунути всі зазначені вище проблеми, властиві традиційним рішенням на базі RFID, і створити повноцінну систему безпеки на базі широкого спектра існуючих СККД.
Основні функціональні характеристики системи:
Апаратне забезпечення системи SPACER побудовано на платформі SmartRF Platform і включає три типи зчитувачів:
«Виконавчі» зчитувачі виконуються в корпусі для настінного монтажу, «Кореневий» і «Майстер» зчитувачі відносять до категорії службових і виробляються в настільному виконанні.
Службовий зчитувач на етапі первинної ініціалізації, що виконує Замовник, дозволяє виконати конфігурування (обмеження) його функціональних можливостей. Завдяки цьому можливий організаційно-технологічний розподіл повноважень персоналу, що використовує ці зчитувачі. На рівні конфігурування доступний розподіл наступних повноважень:
Крім того, кожний зчитувач дозволяє розділяти повноваження операторів, шляхом авторизації на базі PIN-кода (пароля). Для цього на етапі первинної ініціалізації зчитувача можна визначити два PIN-кода: «Адміністратора» і «Офіцера безпеки». Функціональний розподіл повноважень виконується в такий спосіб:
Крім безпосередньо зчитувачів, система включає програмне забезпечення (ПЗ) для ОС Windows 2000/XP/2003/2008/Vista/7, призначене для настроювання системи, керування зчитувачами й тонкої інтеграції зі стороннім ПЗ СККД. Функції ПЗ системи включають:
ПЗ системи включає набір інструментів, що реалізують основні функціональні ролі:
А також засобу інтеграції зі сторонніми розробниками ПЗ СККД:
Створюючи нашу систему, ми керувалися двома принципами: забезпечення безкомпромісної безпеки й простоти обслуговування.