(2019-03-08 22:49:39 отредактировано sanyo)

Настоящая криптографическая карта для аутентификации в СКУД (не RFID)

Добрый день,

Пожалуйста, подскажите, как можно организовать аутентификацию в СКУД с использованием сильной криптографии на ваших или других смарт картах.

Например, возмем контрольную панель РИТМ GSM 5-2, которая поддерживает аутентификацию по протоколу Touch Memory.

Если бы был считыватель криптографических смарткарт, который бы использовал один из неизвлекаемых ключей для дешифрования, заранее установленного в считывателе значения в другое значение, соответствующее номеру, эмулируемому по Touch Memory интерфейсу.

То можно было бы прикрепить считыватель к металлическому корпусу охранной сигнализации, чтобы кабель интерфейса Touch Memory не был бы доступен снаружи даже при утечке кода TM по побочному каналу.

Тогда, наверно, продублировать такую криптографическую смарт карту было бы очень затруднительно по сравнению с другими картами типа Proximity карт?

Возможно, подобное можно организовать используя следующие изделия:
https://ancud.ru/ident.html
https://ancud.ru/cckm.html#

Как думаете?


Но хотелось бы использовать:
https://www.rutoken.ru/products/all/rut … p-sc/#rfid

Т.е. нужен считыватель с выходом на Touch Memory. Такое бывает для ваших карт?

(2019-03-09 08:59:12 отредактировано sanyo)

Re: Настоящая криптографическая карта для аутентификации в СКУД (не RFID)

Может быть, кто-нибудь выпускает одноплатники с выходом на Touch Memory в виде адаптеров криптотокен (или криптосмарткарта) -> адаптер (одноплатник) -> СКУД Touch Memory

???

Это:
https://ancud.ru/cck.html
оно?

(2019-03-09 08:52:07 отредактировано sanyo)

Re: Настоящая криптографическая карта для аутентификации в СКУД (не RFID)

А чем хуже было бы использовать недорогой одноплатник ARM Cortex A7 с Linux на борту вместо считывателя Криптон ССК?

Думаю, нетрудно сделать скриптик, который при подключении по USB криптотокена типа Rutoken ECP 2 отправлял бы в какой-нибудь интерфейс код TM, дешифрованный криптотокеном. Вопрос, как к ARM одноплатнику подключить эмулятор TM, чтобы программно можно было бы отправлять любой код? Может быть существуют адаптеры USB->TM или по другим доступным на одноплатниках интерфейсам?

Может быть, даже удалось бы сделать автоматический номеронабиратель на клавиатуре СКУД вместо эмуляции TM?

Наружу из металического ящика с платами, торчал бы только один USB разъем одноплатника для криптотокена.

Дрова для USB HID типа клавы и мышки можно отключить, чтобы избавиться от части уязвимостей так называемых badusb.

Кроме того такой вариант преобразователя Криптотокена на TM мог быть бы удобен для использования разных вариантов криптотокенов в т.ч. open source OpenPGP card типа NitroKey 2 Pro, японского варианта и т.п.

(2019-03-09 00:43:05 отредактировано sanyo)

Re: Настоящая криптографическая карта для аутентификации в СКУД (не RFID)

Наверно не надо эмулировать iButton, достаточно с микрокомпьютера коммутировать несколько готовых iButton, находящихся в металлическом ящике, предопределенных для разных пользователей. А переключать готовые TM наверно намного проще их эмуляции :)

(2019-03-09 01:40:11 отредактировано sanyo)

Re: Настоящая криптографическая карта для аутентификации в СКУД (не RFID)

А что делать, если предположить, что атакующие хорошо знают устройство моей защиты и могут быстро телепортироваться в мою комнату с центральной панелью охраны и почти мгновенно (намного быстрее запаса времени входа - снятия) открыть металлический ящик и замкнуть нужную цепь для срабатывания iButton без коммутатора микрокомпьютера?

Если на время постановки с помощью реле блокировать металлический ящик изнутри электромагнитной свободно открытой защелкой, то это поможет от такой быстрой атаки и продлит ее на время разряда аккумулятора если исключить вандальный взлом ящика?

Или сильным внешним электромагнитным воздействием можно открыть электромагнитную защелку? Воздействием на защелку или микропроцессоры?

Re: Настоящая криптографическая карта для аутентификации в СКУД (не RFID)

Вот тут еще некоторые подробности по поводу моего вопроса:

https://support.nitrokey.com/t/how-to-u … ntity/1683

Re: Настоящая криптографическая карта для аутентификации в СКУД (не RFID)

Почему то номер этой ветки оканчивается на 777, опять "случайное" совпадение.

Re: Настоящая криптографическая карта для аутентификации в СКУД (не RFID)

Пожалуйста, не удаляйте ветку.

Копия:

https://web.archive.org/web/20190309055 … st/12777?1

(2019-03-09 15:50:53 отредактировано sanyo)

Re: Настоящая криптографическая карта для аутентификации в СКУД (не RFID)

Пожалуйста НЕ предлагайте карты MIFARE, судя по гуглу, они могут быть склонированы:
https://www.google.com/search?q=clone+m … one+mifare

Интересно, насколько легко клонируемы DS1961S?

http://www.gaw.ru/html.cgi/txt/ic/Maxim … s1961s.htm

Вроде бы пишут про необходимость подбора 160 битного кода, но такой подбор маловероятен? Обычно ведь криптографы действуют не тупым перебором, а анализом уязвимостей, чтобы снизить сложность брута? Есть ли другие уязвимости у DS1961S?

Но ведь DS1961S - это challenge respone? Там значение какого-то параметра плавает и передается в обоих направлениях, в одном - само плавающее значение, а в обратном - результат вычисления необратимой хэшфункции внутри криптобатона, ведь так?

А в MIFARE - односторонняя статика, поэтому ее и ломают(клонируют)?

(2019-03-10 03:54:22 отредактировано sanyo)

Re: Настоящая криптографическая карта для аутентификации в СКУД (не RFID)

Вам не кажется это каким-то маразмом, когда одноразовая цена криптотокена 2-3 тыр - слишком дорого для аутентификации в системе охранной сигнализации даже при стоимости самой охранной сигнализации с монтажом 15-30 тыр. и более, абонплатной 5-10 тыр в год (50-100 тыр за 10 лет).

При этом ущерб от несанкционированного проникновения - это не слишком дорого, а даже очень выгодно кое для кого.

Как известно надежность охранной системы определяется надежностью самого слабого звена.

Re: Настоящая криптографическая карта для аутентификации в СКУД (не RFID)

Добрый день, sanyo.

Попытаюсь ответить на Ваши вопросы. Так как запросов много, могу что-то упустить - тогда задавайте дополнительно.
1. iButoon в большинстве случаев являются средством однофакторной аутентификации - фактор наличия у Вас нужной iButton. Токены и смарт-карты используются как средство двухфакторной аутентификации. Второй фактор - знания PIN-кода является одним защитных барьеров. Но требует как минимум цифровой панели, которой нет в вашем решении.
2. Все изделия производства Фирма «АНКАД», на которые Вы ссылаетесь предназначены для установки в ПК и работают в паре с АПМДЗ. На мой взгляд это слишком усложняет Вашу систему.
3. Идеи с эмуляцией или коммутацией iButton наверное возможны, хотя я и не вижу очевидных плюсов с точки зрения безопасности. Проще тогда взять сложно копируемые RFID метки, типа iClass
4. Про замок и электромагнитное воздействие - лучше обратиться к экспертам в этих вопросах, например, производителям таких замков.
5. Про уязвимости и криптостойкость DS1961S ничего не могу сказать. Схема похожа на Challenge–response. Но использование SHA-1, как минимум должно настораживать. И конечно это не сравнится по безопасности с криптографическим токеном.
6. Откуда взять ценник в 2-3 тыс. рублей не понятно. Розничная цена на Рутокен ЭЦП PKI 64КБ, который подходит для решений по аутентификации на данный момент (март 2019) составляет - 1395 рублей.

(2019-03-11 16:14:24 отредактировано sanyo)

Re: Настоящая криптографическая карта для аутентификации в СКУД (не RFID)

Владимир Салыкин пишет:

1. iButoon в большинстве случаев являются средством однофакторной аутентификации - фактор наличия у Вас нужной iButton. Токены и смарт-карты используются как средство двухфакторной аутентификации. Второй фактор - знания PIN-кода является одним защитных барьеров. Но требует как минимум цифровой панели, которой нет в вашем решении.

При использовании с обычным компьютером для шифрования Rutoken ECP Touch можно отключить фактор набора пина и оставить фактор нажатия на сенсорную кнопку Touch?
Если нет, то к одноплатнику, наверно, можно подвести квадратную цифровую USB клавиатуру и жестко задать ее USB адрес в настройках Linux и запретить любые другие USB клавиатуры?
Фактор клавиатурного пина для охранной сигналки явно лишний, потому что его можно считать по побочным каналам да и вообще лишний как минимум при наличии фактора Touch.

Владимир Салыкин пишет:

2. Все изделия производства Фирма «АНКАД», на которые Вы ссылаетесь предназначены для установки в ПК и работают в паре с АПМДЗ. На мой взгляд это слишком усложняет Вашу систему.

Действительно по словам поддержки Криптон, канал TM Криптона ССК используется в качестве провода для общения со смарткартой, а не в качестве настоящего интерфейса TM, как я предполагал.

Может быть, есть другие подобные продукты?

Владимир Салыкин пишет:

3. Идеи с эмуляцией или коммутацией iButton наверное возможны, хотя я и не вижу очевидных плюсов с точки зрения безопасности. Проще тогда взять сложно копируемые RFID метки, типа iClass

Сложно копируемые метки iClass имеют встроенный микропроцессор? Они challenge-response? С плавающим кодом? Если односторонние (только передают) а считыватель только читает, то наверно, они не могут быть трудно копируемыми?

Владимир Салыкин пишет:

6. Откуда взять ценник в 2-3 тыс. рублей не понятно. Розничная цена на Рутокен ЭЦП PKI 64КБ, который подходит для решений по аутентификации на данный момент (март 2019) составляет - 1395 рублей.

Тем более. Это какое-то издевательство, когда предлагают MIFARE, которые можно продублировать и кроме DS1961S получается нет  вообще  ничего. Ну может быть еще радиобрелки с радиоканалом неизвестной крипто и другой стойкости, которые, наверно, никто не подвергал такому тщательному исследованию как криптотокены типа Rutoken, eToken и т.п.

Почему бы вам самим не выпустить считыватели для охранных сигнализаций на основе своих проверенных продуктов типа Rutoken ECP2 Touch, которые скопировать наверно НАМНОГО труднее iCLass? Будете первыми на рынке, захватите рынок, кто первый встал того и тапки :)

(2019-03-11 16:15:32 отредактировано sanyo)

Re: Настоящая криптографическая карта для аутентификации в СКУД (не RFID)

Криптон отправили по вопросам смарткарт на завод Микрон, а по словам представителя Микрона делают криптографические смарткарты на базе микросхем Микрон следующие производители: Печатный Двор, Алиот, Новокард, Разан

Но в розницу якобы не продают, а потом я поинтересовался про Рутокен и бинго! оказывается в розницу такие карты делает как раз Rutoken :)

Rutoken 2151

Получается, вашу карту Rutoken 2151 можно использовать в паре с Криптон ССК?

Только  к сожалению, Криптон ССК не подходит для решения моей задачи.

(2019-03-11 15:38:40 отредактировано sanyo)

Re: Настоящая криптографическая карта для аутентификации в СКУД (не RFID)

Еще вопрос, чем отличается Rutoken 2151 на базе MIC51 от Rutoken ECP 2?

С точки зрения начинки, а не форм фактора контактной смаркарты с чипом.

Re: Настоящая криптографическая карта для аутентификации в СКУД (не RFID)

sanyo, по Вашим вопросам:
1. Отключить фактор PIN-кода на Рутокен ЭЦП Touch нельзя. Фактор нажатия усиливает защиту.
2. Подвести отдельную клавиатуру к одноплатнику, запретив все остальные USB устройства конечно можно.
3. Как именно устроена защите HID iClass можно найти на их сайте. Но могу сказать, что такие карты умеют взаимную аутентификацию со считывателем и защиту от клонирования. Для защиты используется шифрование. Размеры ключей и алгоритмов там конечно не такие как в токенах, но обычно для СКУД систем этого более чем достаточно. Поэтому и делать отдельный продукт для СКУД нет большого смысла.
4. Рутокен 2151 и Рутокен ЭЦП 2.0 оба могут быть как в форм факторе токена, так и в формате смарткарты с чипом. Разница в том, что Рутокен 2151 построена на основе чипе Микрон. Если для Вас имеет значение место производства чипа, то Вы можете выбирать Рутокен 2151.