Multitechnologické přístupové karty

25. 11. 2009

Sdílet

Současným trendem pro řešení přístupových karet je slučování různých typů přístupových karet do jediného modelu.

Dosavadní vývoj probíhal tak, že nejprve byla jako přístupová karta používaná bílá plastová karta s grafikou, logem firmy či instituce, nějakým nápisem, případně fotografií pro vizuální identifikaci např. při vstupu do budovy, při kontrole vrátným apod. Tato identifikace však byla velmi málo bezpečná. Například bylo možné si takovou kartu pořídit na nezávislé tiskárně plastových karet.

Prvním prvkem pro identifikaci elektronickou, jak osob, tak třeba zboží ve skladech, bylo použití čárového kódu – zároveň tak začalo i elektronické zpracování dat. Jednoduchý terminál se čtečkou čárových kódů na vrátnici již zaznamenal jedince podle ID a porovnal s databází osob zavedených předtím do paměti terminálu. Neoprávněným osobám takové karty znemožnily přístup například přes turnikety do areálu pracoviště atp.

Výhodou tohoto elektrického zpracování byla i kontrola docházky a důvodů odchodu či příchodu, či to, že zaznamenaná data byla pak přímo použita pro vypracování mzdy. Nevýhodou čárových kódů je však opět možnost jejich falšování, a to jak možnou kopií čárového kódu (na obyčejné kopírce) nebo např. „odpíchnutím“ při odchodu ze zaměstnání kolegou atp.

Na vyšší bezpečnostní úrovni pak bylo použití magnetického proužku na plastové kartě. Tento začaly využívat zejména banky pro zápis šifrovaných dat třeba i na platební karty. Ty jsou v bankách používány dodnes, ale spíše jen z důvodu přechodu na bezpečnější kartu EMV (Europes Mastercard Visa).

Nelze ale vyměnit naráz všechny karty i platební terminály. První karta s magnetickým proužkem byla zavedena již v roce 1969, jednalo se o kartu Air Travel Card. O pouhé čtyři roky později bylo již proužkem vybaveno plných 85 % všech platebních karet v bankách. Karty EMV jsou zaváděny v současné době.

 

Čipové karty

V telefonních automatech se před více než dvaceti lety začaly používat karty s kontaktem, které měly jednoduchou konstrukci čipu, většinou paměťového, a nebyly příliš bezpečné.

Dnes jsou k dispozici dva druhy čipových karet – paměťové a mikroprocesorové. Paměťové karty mohou uchovat určité množství dat (WORM= Write Once, Read Many) a patří mezi ně třeba ISO karta obvykle s 255 bity úložného prostoru nebo méně (třeba telefonní karta).

Mikroprocesorové karty, známé jako smart karty, představují inteligentní karty, které obdobně jako PC mají paměť, centrální procesorovou jednotku a jednotku pro komunikaci.

Existují dva základní typy smart (inteligentních) karet s mikroprocesorem: kontaktní a bezkontaktní. Oba mají mikroprocesor vnořený do karty, ale bezkontaktní verze nemají zlatem pokrytý kontakt viditelný na kartě.

Bezkontaktní karty užívají technologii pro přenos dat mezi kartou a čtečkou bez jakéhokoliv fyzického kontaktu. Výhoda tohoto uspořádání je, že se nemohou nijak poškodit kontakty, nemůže dojít ke zkratování, které by poškodilo integrovaný obvod uvnitř čipu. Komponenty jsou kompletně uloženy v plastu a nezahrnují žádné externí výstupy.

Nevýhodou je ale to, že karty i jejich čtečky jsou mnohem sofistikovanější – a tedy i mnohem dražší. K práci s kontaktními smart kartami je potřeba mít software, který s kartou pracuje. Pomocí něj je pak možné s čipem komunikovat, číst a zapisovat do něj údaje, provádět uvnitř karty určité úkony, jiný je způsob šifrování apod.

Karty bezkontaktní jsou jednodušší a levnější, lze je klíčovat, konfigurovat (např. u bezkontaktní karty Mifare lze zvolit metodu takové konfigurace, že číslo bez původního klíče nelze nijak přepisovat ani třeba přečíst).

Bezkontaktní karty jsou dvojího typu: pracující na frekvenci buď 125 kHz, nebo na vyšší – 13,56 MHz. Karty na frekvenci 125 MHz jsou buď pasivní, nebo aktivní a jejich společným znakem je identifikace pomocí čísla, které se ve čtečce pouze načítá. Ostatní záležitosti řeší software na základě tohoto čísla. Obsahují anténku, pomocí které dochází ke komunikaci vzduchem. Také se nazývají proximity.

Karty na frekvenci 13,56 MHz jsou rychlejší a dá se do nich zapisovat, a to vždy podle určitého systému. Například zmíněné Mifare karty 1KB mají 16 sektorů vždy po čtyřech blocích, poslední dva bloky slouží k nahrání klíčů (A,B), iClass karty pak 32 bloků s tím, že obsahují pole pro S/N, konfigurační data, klíče a aplikace HID. Počet a obsah vlastních aplikačních oblastí je pak dán velikostí paměti. Např. karta iClass 2K/2 obsahuje 2K paměti a dvě aplikační oblasti.

Technologie bezkontaktních čipových karet HID iClass (13,56 MHz) určených pro čtení zápis, optimalizovaná pro dokonalejší zajištění kontroly vstupu osob, může být použita i pro ukládání biometrických otisků a dalších užitečných údajů. Kdykoliv můžete přidat nové aplikace bez nutnosti vydávání nových identifikačních karet.

 

Více karet v jednom

Na obrázku je příklad karty, která v sobě slučuje všechny výše uvedené možnosti. Taková karta je žádaná ve firmách či institucích, kde byly postupně zaváděny různé systémy s kartami, a dnes je trend využít jediné tzv. multitechnologické karty, kterou lze použít jak pro stávající systémy, tak pro nové, mnohem bezpečnější přístupy.

Multitechnologická karta může obsahovat čárový kód, magnetický proužek, bezkontaktní čipy na obou frekvencích a kontaktní čip s inteligencí (mikroprocesorem). Navíc takováto karta může obsahovat řadu vizualizačních a ochranných prvků včetně hologramů – viz článek v SecurityWorldu 2/2008. Příkladem nového typu multitechnologické karty může být karta pod obchoním názvem Crescendo, kterou začala firma HID Global dodávat v letošním roce.

 Crescendo je řada karet s vysokým stupněm zabezpečení a s uspořádáním „na míru“ podle přání zákazníka, které jsou zkonstruovány tak, že poskytují podporu příslušných standardů pro velké množství aplikací logického přístupu. Karty Crescendo používají výkonný kontaktní Smart čip s šifrovacím koprocesorem a jsou dodávány předem inicializované s nahranými programy, které jsou pro používání karet zapotřebí, což jsou potřebné ovladače a zprostředkovatelské programy (middleware). Tím vzniká velmi výkonné a cenově efektivní řešení.



Nezbytné standardy

Velice důležitou podmínkou pro výrobce je dodržování mezinárodních standardů. Pro kontaktní karty platí norma ISO 7816-1 až 4, jež definuje kontaktní kartu a komunikaci s ní. Pro nejdůležitější RFID karty platí normy ISO uvedené v tabulce. Přitom je důležité i to, že níže uvedené standardy platí pouze pro komunikaci. Nejsou definovány standardy pro autentizaci karty a přístup do paměti. Ty jsou specifické pro jednotlivé typy karet, otevřené pro OS karet. Čtení dat a konverze na třeba Wiegand, C&D (Clock&Data) či RS485 jsou také specifické pro čtečky a výrobce.

 

Tabulka: Normy pro karty RFID

 

iClass

Mifare

DesFire

RF rozhraní

 

 

 

ISO 14443A

 

část 1-2-3

část 1-2-3-4

ISO 14443B

část 1-2

 

 

ISO 15693

část 1-2-3

 

 

Komunikační rychlost

424 Kb/s nebo 26 Kb/s

106 Kb/s

424 Kb/s

Operační vzdálenost

až do 100 cm

až do 10 cm

až do 7 cm

část 1 – fyzikální charakteristiky

část 2- radiofrekvenční výkon a signálová interference

část 3- inicializace a antikolize + aktivační protokol

část 4 – transmisní protokol

 

Každý výrobce má navíc svoje specifická řešení pro autentizaci karty, přístup do paměti i pro čtení dat a jejich vazbu na vlastní čtecí systémy. Pro ty většinou standardy/normy neexistují, různí výrobci je řeší po svém. Významnou součástí takovýchto řešení je pak i šifrování při přenosu dat a vazba na čtečku. Norma ISO 15693 byla přijata/schválena výborem ISO v roce 2000.

 

ICTS24

Autor je ředitelem firmy Sovte.

***tento článek vyšel v tištěném SecurityWorldu 2/2009