RFID डेटा सुरक्षा म्हणजे काय?

RFID डेटा सुरक्षा म्हणजे काय?

 

मागच्या वर्षी एका क्लायंटने आम्हाला फोन केला, रागावला. त्यांचे प्रवेश नियंत्रण कार्ड "हॅक" झाले होते. एक दशकापूर्वी ते अजूनही 125kHz प्रॉक्सिमिटी कार्ड चालवत होते. कोणीतरी फोन-आकाराच्या उपकरणाने भुयारी मार्गावर कर्मचाऱ्याच्या मागे घासले आणि दुसऱ्या दिवशी सकाळी क्लोन कार्ड वापरून अज्ञात पक्षाने त्यांच्या गोदामात प्रवेश केला.

 

आम्ही जवळपास 20 वर्षांपासून SYNTEK येथे RFID उत्पादने बनवत आहोत. अशा कथा दुर्मिळ नाहीत. आम्ही पाहिले आहे की कंपन्या मालमत्ता ट्रॅकिंग सिस्टमवर लाखो खर्च करतात, फक्त हे शोधण्यासाठी की AliExpress चे कोणतेही $30 वाचक त्यांचे टॅग पुन्हा लिहू शकतात. आम्ही एकाच वेळी तीन वेगवेगळ्या शहरांमध्ये डुप्लिकेट कार्ड-समान कार्ड नंबरसह गेम केलेली उपस्थिती प्रणाली पाहिली आहे.

इथे अशी गोष्ट आहे ज्याबद्दल कोणी बोलत नाही

 

RFID एक खुली वायरलेस प्रणाली आहे. तुमचा टॅग आणि वाचक रेडिओ लहरींद्वारे संवाद साधतात. योग्य गियर असलेले कोणीही ऐकू शकते.

 

वायरलेस संप्रेषण खुल्या हवेत होते, ज्यामुळे शारीरिक संपर्काशिवाय व्यत्यय आणणे शक्य होते.

 

समस्या लवकर सुरू झाली. जेव्हा निर्मात्यांनी प्रथम या चिप्सची रचना केली तेव्हा त्यांनी "आम्ही ते वाचू शकतो का?" यावर लक्ष केंद्रित केले. नाही "आम्ही तुम्हाला ते वाचू द्यावे?" अनेक चिप्समध्ये शून्य प्रमाणीकरण असते. वाचक विचारतो "तू कोण आहेस?" आणि टॅग फक्त... उत्तरे. हे एक कायदेशीर डिव्हाइस आहे किंवा त्याच्या बॅकपॅकमध्ये प्रॉक्समार्क असलेला कोणीतरी माणूस असला तरी काही फरक पडत नाही.

125kHz कार्डे सुरक्षिततेचा विनोद का आहेत

 

येथे असे काहीतरी आहे ज्याची इंडस्ट्री जाहिरात करत नाही: आजही वापरात असलेल्या ऍक्सेस कार्डचा एक मोठा भाग 1990 च्या तंत्रज्ञानावर चालतो.

ही कार्डे 125kHz वर काम करतात. चिप मॉडेल सहसा EM4100 किंवा TK4100 असते. ते कसे काम करतात? पॉवर अप, ब्रॉडकास्ट आयडी, पूर्ण झाले. एन्क्रिप्शन नाही. प्रमाणीकरण नाही. चिप वर संग्रहित फक्त एक निश्चित संख्या.

 

 

एक क्लोन करण्यासाठी खर्च? कदाचित Amazon च्या वाचक-लेखकासाठी $20, रिक्त कार्डांसाठी आणखी $5. तीन मिनिटे काम.

ग्राहक कधीकधी आम्हाला विचारतात: "तुम्ही एनक्रिप्टेड 125kHz कार्ड बनवू शकता?"

लहान उत्तर: नाही. प्रोटोकॉल स्वतः गंभीर सुरक्षिततेस समर्थन देत नाही. तुम्हाला संरक्षण हवे आहे, तुम्ही MIFARE DESFire किंवा ICODE DNA सारख्या चिप्ससह 13.56MHz उच्च वारंवारता किंवा UHF वर जाल जे प्रत्यक्षात AES एन्क्रिप्शनला समर्थन देतात.

 

हल्ले प्रत्यक्षात कसे दिसतात

 

आमच्या क्लायंटशी झालेल्या संभाषणांवर आधारित, येथे RFID सुरक्षा सरावात अयशस्वी ठरते:

खर्च विरुद्ध सुरक्षा व्यापार (आणि ते सरळ का नाही)

 

क्लायंट आम्हाला नेहमी विचारतात: अधिक महाग चिप्स म्हणजे चांगली सुरक्षा?

अंदाजे होय, परंतु ते रेखीय नाही.

 

चिप प्रकार	अंदाजे खर्च	सुरक्षा स्थिती
125kHz EM4100	$0.10	काहीही नाही
13.56MHz MIFARE क्लासिक	~$0.40	तडजोड (2008)
MIFARE DESFire EV3	$1-2	AES-128 / उच्च

 

125kHz EM4100 कार्डची किंमत $0.10 असू शकते. 13.56MHz MIFARE क्लासिक पर्यंत स्टेप करा, आणि तुम्ही कदाचित $0.40 वर आहात-परंतु सुरक्षा जास्त चांगली नाही (त्या चिपचे एन्क्रिप्शन 2008 मध्ये क्रॅक झाले होते). AES-128 आणि परस्पर प्रमाणीकरणासह MIFARE DESFire EV3 वर जा, तुम्ही प्रति कार्ड $1-2 पहात आहात, परंतु कोणतेही ज्ञात सार्वजनिक शोषण अस्तित्वात नाही.

 

प्रश्न असा आहे: तुम्हाला त्या पातळीची खरोखर गरज आहे का?

तुम्ही फॅक्टरीमध्ये रेंचचा मागोवा घेत असल्यास, एक गमावणे म्हणजे बदलण्याची ऑर्डर देणे. तुम्ही बँकेच्या वॉल्टमध्ये प्रवेश नियंत्रित करत असल्यास, क्लोन केलेले कार्ड म्हणजे काहीतरी वेगळे.

 

ग्राहकांना आमचा सल्ला: "यामध्ये तडजोड झाल्यास सर्वात वाईट परिस्थिती काय आहे?" नंतर मागे काम करा. अर्धा वेळ ही तांत्रिक समस्या नसून ती एक समज समस्या आहे.

 

सर्वकाही बदलल्याशिवाय आपण काय करू शकता

 

काही परिस्थितींमध्ये खरोखर स्वस्त टॅग्ज-इव्हेंट रिस्टबँड, उच्च-वॉल्यूम लॉजिस्टिक लेबल्सची आवश्यकता असते. प्रत्येक गोष्टीसाठी प्रीमियम चिप्स वास्तववादी नसतात. परंतु तुमच्याकडे इतर पर्याय आहेत:

परस्पर प्रमाणीकरण-समजण्यासारखे आहे

 

आधी उल्लेख केलेला आव्हान-प्रतिसाद. मला याचा विस्तार करू द्या कारण याचा अनेकदा गैरसमज होतो.

पारंपारिक RFID प्रमाणीकरण हा एक मार्ग आहे-: वाचक टॅग सत्यापित करतो. परंतु उच्च-सुरक्षा अनुप्रयोगांना दोन-प्रमाणीकरणाची आवश्यकता असते-टॅग देखील वाचक कायदेशीर असल्याचे सत्यापित करतो.

 

हा प्रवाह आहे:

कोणतीही वास्तविक डेटा एक्सचेंज होण्यापूर्वी दोन्ही बाजूंना पास करावे लागेल. म्हणजे बनावट वाचक माहिती देण्यास टॅग्जची फसवणूक करू शकत नाही.

MIFARE DESFire याचे समर्थन करते. आम्ही बँका किंवा सरकारी एजन्सींसोबत करत असलेल्या कोणत्याही प्रकल्पासाठी खूपच अनिवार्य.

 

जाण्यापूर्वी व्यावहारिक गोष्टी

 

1. तुम्ही सध्या काय चालवत आहात ते शोधा

बऱ्याच कंपन्यांमध्ये आरएफआयडी प्रणाली वर्षापूर्वी सोडलेल्या एखाद्याने स्थापित केली आहे. सध्याच्या आयटीला प्रत्यक्षात काय तैनात केले आहे याची कल्पना नाही. तुमच्या विक्रेत्याकडून किमान तपशील मिळवा-, वारंवारता आणि चिप मॉडेल जाणून घ्या.

 

2. तुमची सर्वात वाईट स्थिती मोजा

जर तुमची ॲक्सेस कार्डे क्लोन झाली, तर काय नुकसान होईल? इन्व्हेंटरी टॅगमध्ये छेडछाड झाल्यास, एक्सपोजर काय आहे? त्यावर नंबर टाका. मग अपग्रेड करणे योग्य आहे का ते ठरवा.

 

3. तुमची सुरक्षितता स्तर करा

प्रत्येक गोष्टीला जास्तीत जास्त संरक्षणाची गरज नसते. नियमित कर्मचारी बॅज मध्य-स्तरीय चिप्स चालवू शकतात. सर्व्हर रूम आणि फायनान्स ऑफिसचे दरवाजे उच्च-सुरक्षा चिप्स मिळवतात. बॅकएंड पडताळणीसह वेअरहाऊस लॉजिस्टिक टॅग स्वस्त असू शकतात.

 

4. नियमितपणे ऑडिट करा

RFID सेट केलेले नाही-आणि-विसरा. विसंगतींसाठी प्रवेश नोंदी तपासा. एकच कार्ड एकाच वेळी दोन ठिकाणी दिसणे. -तास प्रवेश प्रयत्नांनंतर. नमुने ज्यांना अर्थ नाही.

 

5. अपग्रेडसाठी योजना

जर बजेट आता कमी असेल आणि तुम्ही मध्यम-स्तरीय उपाय घेऊन जात असाल, तर किमान एक आर्किटेक्चर निवडा जे भविष्यातील अपग्रेडला अनुमती देईल. तीन वर्षांत पूर्ण बदली आवश्यक असलेल्या बंद प्रणालीमध्ये स्वतःला लॉक करू नका.