Čo je bezpečnosť údajov RFID?
Dec 10, 2025
Zanechajte správu
Čo je bezpečnosť údajov RFID?
Minulý rok nám volal klient, rozzúrený. Ich karty kontroly prístupu boli „hacknuté“. Ukázalo sa, že pred desiatimi rokmi stále používali 125kHz bezdotykové karty. Niekto prešiel okolo zamestnanca v metre so zariadením veľkosti -telefónu a nasledujúce ráno sa do ich skladu dostala neznáma osoba pomocou klonovanej karty.
V spoločnosti SYNTEK vyrábame produkty RFID už takmer 20 rokov. Takéto príbehy nie sú zriedkavé. Videli sme, ako spoločnosti míňajú milióny na systémy sledovania aktív, len aby sme zistili, že každý čitateľ z AliExpress za 30 dolárov môže prepísať ich štítky. Videli sme, že dochádzkové systémy hrané s duplicitnými kartami-rovnaké číslo karty sa zobrazujú súčasne v troch rôznych mestách.
"Zabezpečenie dát RFID znie komplikovane, ale základný problém je úplne jednoduchý: bezdrôtové signály môžu byť zachytené. Zložitá časť? Väčšina kupujúcich netuší, akú úroveň zabezpečenia v skutočnosti získavajú."
Tu je vec, o ktorej nikto nehovorí
RFID je otvorený bezdrôtový systém. Váš štítok a čítačka komunikujú prostredníctvom rádiových vĺn. Počúvať môže ktokoľvek so správnym vybavením.

Bezdrôtová komunikácia prebieha pod holým nebom, čo umožňuje odpočúvanie bez fyzického kontaktu.
Problém začal skoro. Keď výrobcovia prvýkrát navrhli tieto čipy, zamerali sa na otázku „vieme to prečítať?“. nie "máme ti to dať prečítať?" Mnoho čipov má nulovú autentifikáciu. Čitateľ sa pýta "kto si?" a tag len... odpovedá. Nezáleží na tom, či je to legitímne zariadenie alebo nejaký chlapík s Proxmarkom v batohu.
Predstavte si, že idete po ulici a nahlas oznámite svoje číslo sociálneho poistenia každému, kto sa opýta. V podstate tak funguje veľa RFID kariet.
Prečo sú 125kHz karty bezpečnostným vtipom
Toto je niečo, čo toto odvetvie nepropaguje: obrovské množstvo prístupových kariet, ktoré sa dnes stále používajú, beží na technológii z 90. rokov.
Tieto karty pracujú na frekvencii 125 kHz. Model čipu je zvyčajne EM4100 alebo TK4100. Ako fungujú? Zapnite, vysielajte ID, hotovo. Žiadne šifrovanie. Žiadna autentifikácia. Len pevné číslo uložené na čipe.
Cena klonovania jedného? Možno 20 $ za čítačku-zapisovačku z Amazonu, ďalších 5 $ za prázdne karty. Tri minúty práce.
Klienti sa nás niekedy pýtajú: "Môžete vyrobiť šifrovanú 125kHz kartu?"
Krátka odpoveď: nie. Samotný protokol nepodporuje serióznu bezpečnosť. Ak chcete ochranu, prejdete na 13,56 MHz vysokofrekvenčné alebo UHF s čipmi ako MIFARE DESFire alebo ICODE DNA, ktoré skutočne podporujú šifrovanie AES.
Ako útoky v skutočnosti vyzerajú
Na základe rozhovorov s našimi klientmi tu je to, kde zabezpečenie RFID v praxi zlyháva:
Klonovanie prístupovej karty
Útočník sa nemusí dotknúť vašej karty. Vysoko-čítačka s vysokým ziskom ukrytá v taške na posielanie správ, niekoľko sekúnd stojaca za vami vo výťahu alebo rade na obed-to stačí na získanie údajov. Napíšte to na prázdnu kartu a teraz majú váš prístup.
Jedna spoločnosť spravujúca nehnuteľnosti nám povedala o sérii vlámaní-do ich obytného komplexu. Polícia nakoniec zistila, že zlodej klonoval rezidentské prístupové karty. Vstupné denníky budovy? Všetci ukázali čísla vlastných kariet obetí. Po skutočnom votrelcovi ani stopy.
Manipulácia s údajmi
Ak váš systém RFID sleduje inventár alebo majetok, štítky uchovávajú skutočné informácie, nielen ID. To je miesto, kde sú veci komplikovanejšie.
Značky, na ktoré sa dá zapisovať, sú navrhnuté tak, aby aktualizovali-užitočnú funkciu. Ale bez ochrany proti zápisu môže zmeny vykonávať ktokoľvek. Niekto v dodávateľskom reťazci vymení „štandardnú triedu“ za „prémiovú“ na údajoch na štítku alebo posunie dátum výroby o šesť mesiacov dopredu. Stáva sa to.
Prehrať útoky
Tento je záludný. Útočník nemusí nič dešifrovať. Len zaznamenajú konverzáciu medzi vašou značkou a čítačkou a potom ju prehrajú neskôr.
Predstavte si to takto: potiahnutím karty otvoríte dvere a niekto nablízku zaznamená celú rádiovú výmenu. Nabudúce nasmerujú svoje zariadenie na čítačku a stlačia prehrávanie. Dvere sa otvárajú. Čitateľ si myslí, že práve znova videl vašu kartu.
Aby tomu zabránili, systémy potrebujú challenge{0}}protokoly odozvy{1}}v podstate jednorazové{2}}heslá. Každá autentifikácia je iná, takže nahrávky sú zbytočné.
Kompromis medzi cenou a bezpečnosťou (a prečo to nie je jednoduché)
Klienti sa nás neustále pýtajú: znamenajú drahšie čipy lepšiu bezpečnosť?
Zhruba áno, ale nie je to lineárne.
| Typ čipu | Približná cena | Stav zabezpečenia |
|---|---|---|
| 125 kHz EM4100 | $0.10 | žiadne |
| 13,56 MHz MIFARE Classic | ~$0.40 | Ohrozené (2008) |
| MIFARE DESFire EV3 | $1-2 | AES-128 / Vysoká |
Karta 125 kHz EM4100 môže stáť 0,10 USD. Prejdite na 13,56 MHz MIFARE Classic a dostanete sa možno na 0,40 USD – ale bezpečnosť nie je o nič lepšia (šifrovanie tohto čipu bolo prelomené v roku 2008). Prejdite na MIFARE DESFire EV3 s AES-128 a vzájomnou autentifikáciou, pozeráte sa na 1-2 doláre za kartu, ale neexistujú žiadne známe verejné exploity.
Otázka znie: skutočne potrebujete túto úroveň?
Ak sledujete kľúče v továrni, strata jedného znamená objednanie náhradného. Ak kontrolujete prístup k bankovému trezoru, klonovaná karta znamená niečo úplne iné.
Naša rada pre klientov: začnite s „čo je najhorší prípad, ak sa to skompromituje?“ potom pracujte dozadu. V polovici prípadov to nie je technický problém, ale problém vnímania.
Čo môžete urobiť bez toho, aby ste vymenili všetko
Niektoré situácie skutočne potrebujú lacné štítky-náramky na udalosti,{1}}veľkoobjemové logistické štítky. Prémiové žetóny na všetko nie sú reálne. Ale máš aj iné možnosti:
Obmedzte rozsah čítania
Dlhší rozsah čítania nie je vždy lepší. NFC je navrhnuté na niekoľko centimetrov,{1}}čoho sa musíte v podstate dotknúť čítačky. Robí vzdialené skimming oveľa ťažšie.
Niektorí klienti s vysokým{0}}zabezpečením, s ktorými spolupracujeme, inštalujú čítačky do uzavretých krytov. Na registráciu je potrebné kartu úplne zasunúť. Fyzicky blokuje útoky na-bočný kanál.
RFID tienenie
Princíp Faradayovej klietky. Zabaľte štítok do vodivého materiálu, rádiové vlny sa nemôžu dostať dovnútra ani von. Práve to robia RFID-blokovacie návleky a peňaženky. Vyrábame aj tieniace produkty-pozrite si časť „Blokovanie signálu RFID“ na našej stránke.
Keď kartu nepoužívate, sedí v puzdre. Nikto to nemôže skenovať. Keď ho potrebujete, vytiahnite ho. Jednoduché, efektívne, lacné.
Oddeľte ID od údajov
Iný prístup: uložte na štítok iba náhodné, nezmyselné ID. Uchovávajte aktuálne citlivé údaje vo svojej backendovej databáze. Aj keď niekto značku naklonuje, získa zbytočný reťazec. Bez zodpovedajúcich backendových záznamov je to odpad.
Tým sa riziko presúva zo značky na infraštruktúru vášho servera. Ale udržiava nízke náklady na štítky.
Vzájomná autentifikácia-stojí za pochopenie
Spomínaná odpoveď-výzva skôr. Dovoľte mi to rozviesť, pretože je to často nepochopené.
Tradičná autentifikácia RFID je-jednosmerná: čítačka overí štítok. Aplikácie s vysokým-zabezpečením však potrebujú obojsmerné{3}}overenie-značka tiež overuje, či je čítačka legitímna.
Tu je tok:
Čitateľ pošle tagu náhodné číslo (výzva)
Tag spustí toto číslo cez svoj interný kľúč a pošle späť výsledok
Reader spustí rovnaký výpočet s rovnakým kľúčom, porovnáva
Potom tag odošle čitateľovi náhodné číslo
Reader vypočíta, pošle späť, tag overí
Obe strany musia prejsť skôr, ako dôjde k skutočnej výmene údajov. Znamená to, že falošný čitateľ nemôže oklamať značky, aby sa vzdali informácií.
MIFARE DESFire to podporuje. Takmer povinné pre akýkoľvek projekt, ktorý robíme s bankami alebo vládnymi agentúrami.
Praktické veci pred odchodom
1. Zistite, čo momentálne prevádzkujete
Mnoho spoločností má systémy RFID nainštalované niekým, kto odišiel pred rokmi. Súčasné IT netuší, čo je vlastne nasadené. Získajte minimálne špecifikácie od svojho dodávateľa-, poznajte frekvenciu a model čipu.
2. Kvantifikujte svoj najhorší prípad
Ak sa vaše prístupové karty naklonujú, aké sú škody? Ak dôjde k manipulácii so značkami inventára, aké je to vystavenie? Dajte na to číslo. Potom sa rozhodnite, či sa upgrade oplatí.
3. Navrstvite svoje zabezpečenie
Nie všetko potrebuje maximálnu ochranu. Bežné odznaky zamestnancov môžu fungovať ako čipy strednej-úrovne. Dvere serverových miestností a finančných kancelárií získajú vysoko-bezpečnostné čipy. Skladové logistické značky môžu byť lacné s backendovým overením.
4. Pravidelne auditujte
RFID nie je nastavené-a-zabudnite. Skontrolujte anomálie v denníkoch prístupu. Tá istá karta sa súčasne zobrazuje na dvoch miestach. Po-hodinách pokusov o prístup. Vzory, ktoré nedávajú zmysel.
5. Plánujte aktualizácie
Ak je teraz rozpočet obmedzený a idete s riešením strednej{0}}úrovne, vyberte si aspoň architektúru, ktorá umožňuje budúce inovácie. Neuzatvárajte sa do uzavretého systému, ktorý si vyžaduje úplnú výmenu za tri roky.
otázky? V spoločnosti SYNTEK to robíme už takmer dve desaťročia. Videli ste viac režimov zlyhania, ako by ste očakávali. Či už špecifikujete nový systém alebo kontrolujete existujúci, radi sa porozprávame.
Zaslať požiadavku

