Система контроля и управления доступом на предприятии

26 Марта 2019
Применение методов шифрования в СКУД

Современная индустрия безопасности постоянно развивается, внедряются все более изощренные технологии и стандарты. Еще 15 лет назад на многих предприятиях люди пользовались бумажными пропусками, а сегодня везде применяются системы контроля доступа. Но и сами СКУД начинают устаревать и перестают соответствовать требованиям законодательства в области безопасности.

Безопасность систем контроля доступа в России

Сегодня около 70% систем контроля доступа в России работают на низкочастотном стандарте LF (125 кГц). Массово используются карты доступа Em-Marine с идентификацией по электронному номеру карты. И даже среди более новых HF-систем чаще всего используется все тот же UID.

Структура парка отечественных СКУД



Идентификация по электронному номеру карты крайне небезопасна. После считывания UID ридером соответствующего частотного диапазона возможно создание клона карты с аналогичным номером. Стоимость услуги составляет всего несколько сотен рублей, что полностью разрушает всю концепцию физической безопасности предприятия. Для решения проблемы необходимо использовать современные технологии шифрования, широко применяющиеся в информационной безопасности.

Обеспечение безопасности систем контроля доступа

Одним из самых простых способов защиты является шифрование электронного номера карты. В таком случае UID зашифрован с использованием аппаратно реализованных алгоритмов шифрования, чаще всего – AES. При этом ключи должны храниться в отдельной области памяти, что не позволит их считать при клонировании.

Применение шифрования в СКУД



Но как быть, если будет получен ключ шифрования с потерянной карты доступа? Есть ли вероятность его использования для вскрытия криптозащиты других карт, даже если потерянная карта уже недействительна?

Подобную проблему легко решает диверсификация ключей доступа, когда они уникальны для каждого идентификатора. Даже если несколько пропусков будут утеряны, а ключи взломаны, эти ключи шифрования неприменимы для других пропусков. Достаточно удалить доступы для пропавших карт, и злоумышленники или безответственные сотрудники не смогут использовать их ключи шифрования.

Использование криптозащиты только в пропуске бесполезно. Старые СКУД, даже при замене пропусков на самые современные, не поддерживают шифрование между считывателем и идентификатором. В таких системах можно не только клонировать карту, но и перехватить незашифрованный сигнал по воздуху для создания копии пропуска.

Комплексный подход

Безопасность обеспечивается только при комплексном применении современных систем контроля доступа, где и считыватель, и идентификатор разработаны с учетом технологий информационной безопасности. К таким решениям относится аутентификация пользователя, когда СКУД проверяет не только UID, даже зашифрованный, но и сам идентификатор. По-настоящему надежная система доступа оснащена пропусками со специальными MAC-подписями. Они гарантируют целостность и аутентичность передаваемых данных и предотвращают попытки взлома карты или перехвата сообщений злоумышленниками.

Как показывает практика, технологии не стоят на месте и существует другая весьма серьезная угроза для безопасности СКУД. Даже при применении шифрования и аутентификации идентификатора есть риск атаки повторного воспроизведения (replay). В таком случае происходит атака на систему аутентификации путём записи и последующего воспроизведения ранее посланных правильных сообщений или их частей. Используются кодграбберы, подобная методика часто применяется при взломе автомобильных сигнализаций. 

Отсутствие защиты от подобного рода атак позволяет отслеживать идентификатор, тем самым нарушается конфиденциальность или, как сейчас говорят, Privacy носителя идентификатора (человека в данном случае). Это особенно актуально для Bluetooth и другие идентификаторов, которые можно считать с расстояния. По этой причине система контроля доступа и сам идентификатор должен оснащаться защитой от replay-атак, предотвращающей повторную передачу корректной информации для несанкционированного доступа или отслеживания. В качестве мер защиты могут использоваться метка времени, случайное число и другие известные подходы.

Защищенные СКУД на российских алгоритмах шифрования

Защищенные СКУД практически всегда используют импортную электронику или технологии. Западные компании предлагают широкий спектр решений с зарубежной криптографией, но в связи с текущей геополитической обстановкой в качестве альтернативы намного правильнее создавать и производить в России системы, основанные на отечественных алгоритмах шифрования.

Комплексное применение отечественной криптозащиты в СКУД позволяет интегрировать физический контроль доступа с аутентификацией пользователей в информационных системах. В соответствии с требованиями законодательства РФ для этого используются отечественные криптографические алгоритмы, такие как ГОСТ 28147-89, ГОСТ Р 34.12- 2015, ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012. USB-токены и смарт-карты с ГОСТ криптографией уже широко применяются в государственных организациях и коммерческих структурах, и появляется возможность совместить в одной системе физический и логический доступ.

Интегрированные СКУД сокращают затраты на различные идентификаторы, упрощают администрирование доступов и число обслуживаемых систем. Существует российская аппаратная база, предотвращающая создание «закладок», - микросхема MIK51SC72DV6 с ГОСТ-криптографией на борту. Защищенные СКУД с российскими криптоалгоритмами оптимальны для применения на объектах критической инфраструктуры, социально значимых объектах и везде, где требуется высокий уровень безопасности.

Решение ISBC

Защищенная платформа ESMART® Доступ ГОСТ для систем контроля и управления доступом


ESMART® Доступ ГОСТ – новая технология защищенного доступа, разработана с использованием микросхем Микрона и компетенций специалистов департамента Информационной безопасности Группы Компаний ISBC. Отличается следующими особенностями:

1.       Безопасность

Защита от копирования по воздуху, клонирования и взлома карты:

  • Использование шифрования ГОСТ или AES при обмене данными между считывателем и идентификатором

  • Диверсификация ключа шифрования

  • MAC подпись идентификатора

  • Защита от replay атак

2.       Аппаратное ГОСТ шифрование на базе отечественной микросхемы MIK51SC72DV6:

  • сертифицирована как СКЗИ по классу КС3 - самому высокому для систем, обрабатывающих сведения, не составляющие государственную тайну в РФ

  • производитель – Микрон

3.       Многофункциональность и универсальность

  • Считыватель поддерживает несколько популярных технологий MIFARE® CLASSIC, MIFARE® PLUS, MIFARE® DESFIRE, которые используют транспортные приложения большинства городов РФ, СНГ и мира

4.       Интеграция физического и логического доступа

  • Объединение доступов на предприятия и к информационной системе на одной смарт-карте с соблюдением требования законодательства РФ

Инновациями являются:

1.       Интеграция технологии СКУД ESMART® Доступ с технологией информационной безопасности ESMART® Token

2.       Использование защищенного протокола OSDP для передачи данных от считывателя к контроллеру

3.       Возможность встраивания технологии безопасности ESMART® Token (шифрование ГОСТ, AES) в любые контроллеры: СКУД, IoT, работа с датчиками, передающие информацию по протоколу OSDP.

Применение двунаправленного протокола OSDP (Open Supervised Device Protocol) обеспечивает защищенную передачу данных от считывателя к контроллеру СКУД. Безопасность реализуется за счет шифрования данных и аутентификации. Протокол позволяет снизить экономические издержки при коммутации оборудования: в отличии от Wiegand используется меньшее количество проводов (4 против 7), при этом устройства c OSDP подключаются параллельно, что позволяет использовать один и тот же кабель одновременно для нескольких считывателей СКУД. Другим важным преимуществом является максимальное расстояние от считывателей до контроллера – 1200 м.

Новое решение ISBC включает считыватели ESMART® Reader ГОСТ с установленным модулем безопасности ESMART® Доступ ГОСТ SAM, а также персональные идентификаторы ISO14443, программное обеспечение, турникеты. Считыватель ESMART® Reader разработан специально для российского климата и работоспособен при температурах от – 40 до +85°С, устойчив к влаге, разрешен к эксплуатации вне помещений. RFID-идентификатор для конечных пользователей может быть выполнен в различных форм-факторах: смарт-карта, брелок или браслет, в том числе с брендингом заказчика, а также с дополнительным функционалом сервисов Умного города.

Скачать статью в журнале "Технологии защиты" №1-2019

Дмитрий Корниенко, директор по маркетингу и PR Группы Компаний ISBC, 

"Технологии защиты" №1-2019.

Возврат к списку

ЗАКАЗАТЬ обратный звонок
Нажимая кнопку «Отправить», я подтверждаю свою дееспособность, даю согласие на обработку моих персональных данных в соответствии с Политикой конфиденциальности.

Select languages:

EN
RU
Продолжая работать с esmart.ru, Вы соглашаетесь с тем, что веб-сайт использует куки-файлы Вашего браузера, чтобы улучшить предложения и услуги на основе ваших предпочтений и интересов.
Согласен, не показывать снова
Close