Karty dostępu na placach budowy: Dlaczego MIFARE Classic jest niebezpieczne i jak działa bezpieczne szyfrowanie

Karty dostępu to codzienność na placach budowy. Mało kto jednak wie, że większość kart dostępu można skopiować w kilka sekund – urządzeniami za mniej niż 50 euro.

Czy chodzi o cyfrową kontrolę dostępu przy bramkach obrotowych, drzwiach czy szlabanach – kto korzysta z przepustek budowlanych, nie zwracając uwagi na zastosowaną technologię szyfrowania, ryzykuje nieuprawniony dostęp, kradzieże i manipulacje przy rejestracji obecności. Karty dostępu oparte na UID oraz karty MIFARE Classic można skopiować w kilka sekund – ogólnodostępnymi urządzeniami za mniej niż 50 euro.

W tym wpisie wyjaśniamy, dlaczego odczyt UID i MIFARE Classic stanowią zagrożenie dla bezpieczeństwa oraz jak nowoczesna, szyfrowana kontrola dostępu na place budowy oparta na MIFARE DESFire EV3 całkowicie eliminuje ten problem.

Kopiowanie karty dostępu: dlaczego karty RFID oparte na UID są niebezpieczne

Większość prostych systemów dostępu odczytuje jedynie UID (Unique Identifier) karty – zapisany na stałe numer seryjny, nadawany podczas produkcji. Problem polega na tym, że UID jest przesyłany bez szyfrowania przy każdym odczycie. Między kartą a czytnikiem nie zachodzi żadne uwierzytelnianie.

Konkretnie oznacza to:

• Każdy smartfon z NFC może odczytać UID karty dostępu w ciągu kilku sekund.
• Klonery UID są dostępne w internecie już od ok. 30 euro i tworzą działającą kopię na czystej karcie.
• System dostępu nie potrafi rozróżnić, czy ma do czynienia z kartą oryginalną, czy z kopią.

Na placu budowy oznacza to: każda osoba, która choć na chwilę znajdzie się w pobliżu karty dostępu, może niepostrzeżenie uzyskać dostęp. Skutkiem są osoby nieuprawnione, kradzieże materiałów budowlanych i manipulacje przy rejestracji obecności.

MIFARE Classic złamane: dlaczego te karty dostępu nie zapewniają bezpieczeństwa

Wielu dostawców stawia na karty MIFARE Classic i reklamuje je jako „bezpieczne", ponieważ w przeciwieństwie do czystego odczytu UID oferują szyfrowanie. To bezpieczeństwo jest jednak złudne.

MIFARE Classic wykorzystuje zastrzeżony algorytm Crypto-1, który został całkowicie złamany już w 2008 roku. Od tego czasu publicznie udokumentowano kilka metod ataku:

• Atak Darkside: Umożliwia odczytanie kluczy, nawet jeśli nie jest znany żaden sektor karty.
• Atak Nested: Jeśli znany jest jeden klucz (np. fabryczny), wszystkie pozostałe klucze można wyliczyć w kilka minut.
• Atak Hardnested: Działa również przy indywidualnie ustawionych kluczach i wymaga jedynie urządzenia Proxmark lub Flipper Zero.

Warto wiedzieć:

Wszystkie narzędzia do klonowania kart MIFARE Classic są ogólnodostępne i nie wymagają wiedzy eksperckiej. Flipper Zero za ok. 200 euro wystarczy, aby w ciągu kilku minut całkowicie skopiować karty MIFARE Classic.

Rezultat: MIFARE Classic nie oferuje już żadnego istotnego poziomu bezpieczeństwa i po prostu nie nadaje się do zastosowania w kontroli dostępu na placach budowy, przez które przewijają się setki osób.

Karty dostępu odporne na fałszowanie: tak działa szyfrowanie MIFARE DESFire EV3

Bausicht stawia na MIFARE DESFire EV3 – aktualny standard branżowy wysoce bezpiecznych zbliżeniowych kart dostępu. W przeciwieństwie do MIFARE Classic, DESFire EV3 opiera się na standardzie szyfrowania AES-128, stosowanym również w bankowości i instytucjach rządowych.

Decydujące cechy bezpieczeństwa:

• Wzajemne uwierzytelnianie: Karta i czytnik uwierzytelniają się wzajemnie, zanim dojdzie do wymiany danych. Proste odczytanie czy podsłuchanie transmisji jest tym samym wykluczone.
• Szyfrowana komunikacja: Wszystkie dane między kartą a czytnikiem są przesyłane z szyfrowaniem AES. Podsłuch transmisji radiowej dostarcza jedynie bezużytecznych danych.
• Klucze dywersyfikowane: Każda pojedyncza karta otrzymuje unikalny, indywidualny klucz. Nawet gdyby atakującemu udało się wyodrębnić klucz z jednej karty, żadna inna karta nie zostałaby skompromitowana.

Co oznacza Key Diversification?

Przy dywersyfikacji kluczy z tajnego klucza głównego (master key) i informacji indywidualnej dla karty (np. UID) wyprowadzany jest jednorazowy klucz karty według algorytmów zgodnych z NIST. Klucz główny nigdy przy tym nie opuszcza modułu Secure Access Module.

Procedura ta gwarantuje, że:

• Żaden klucz karty nie jest taki sam jak inny – nawet przy tysiącach kart w systemie.
• Klucz główny nigdy nie jest eksponowany – ani na karcie, ani w czytniku.
• Kopia karty dostępu jest wykluczona, ponieważ klucza karty nie da się z niej wyodrębnić.

Secure Access Module (SAM) – odporna na manipulacje pamięć kluczy dla Twojej kontroli dostępu

Centralnym elementem naszej architektury bezpieczeństwa jest Secure Access Module (SAM AV3) – odporny na manipulacje układ kryptograficzny z certyfikacją EAL5+. Moduł ten jest stosowany zarówno w czytniku kart USB przy komputerze, jak i w kontrolerach dostępu na placu budowy.

SAM przejmuje następujące zadania:

• Bezpieczne przechowywanie kluczy: Klucze główne są zapisywane wyłącznie w SAM i nigdy go nie opuszczają – nawet przy fizycznym ataku na czytnik.
• Operacje kryptograficzne: Wszystkie procesy szyfrowania i deszyfrowania odbywają się bezpośrednio w SAM. Klucz w żadnym momencie nie trafia do pamięci operacyjnej kontrolera ani komputera.
• Ochrona przed manipulacją: Certyfikacja EAL5+ potwierdza, że układ jest chroniony przed atakami fizycznymi (ataki side-channel, probing, fault injection).

Nawet jeśli atakujący zdemontuje czytnik dostępu ze ściany i całkowicie rozbierze urządzenie, nie zdoła odczytać zapisanych kluczy.

Szyfrowana kontrola dostępu na placu budowy: od karty aż po serwer

Bezpieczeństwo nie kończy się na karcie dostępu. Bausicht zapewnia w pełni szyfrowany łańcuch komunikacji od momentu odczytu karty aż po przetwarzanie na serwerze:

1. Karta → czytnik (zbliżeniowo)

Komunikacja między kartą MIFARE DESFire EV3 a czytnikiem odbywa się w ramach sesji szyfrowanej AES-128 ze wzajemnym uwierzytelnianiem. Podsłuch lub atak typu replay są wykluczone.

2. Czytnik → kontroler (OSDPv2 Secure Channel)

Czytnik komunikuje się z kontrolerem dostępu za pośrednictwem protokołu OSDPv2 z Secure Channel. OSDPv2 to następca przestarzałego protokołu Wiegand, który oferuje:

• Kanał danych między czytnikiem a kontrolerem szyfrowany AES-128
• Wzajemne uwierzytelnianie czytnika i kontrolera
• Ochronę przed manipulacją, atakami replay i atakami man-in-the-middle

Warto wiedzieć:

Przestarzały protokół Wiegand, wciąż stosowany w wielu systemach dostępu, przesyła dane bez szyfrowania. Za pomocą prostego sniffera Wiegand za ok. 20 euro można przechwycić dane karty bezpośrednio z kabla – zupełnie bez dostępu do samej karty.

3. Kontroler → serwer (TLS)

Komunikacja kontrolera dostępu z serwerem Bausicht odbywa się przez połączenie szyfrowane TLS. Wszystkie dane dostępowe są przesyłane w postaci zaszyfrowanej i bezpiecznie przetwarzane na serwerze.

Tworzenie bezpiecznych przepustek budowlanych: Plug & Play mimo standardów bezpieczeństwa dla infrastruktury krytycznej

Mimo tej rozbudowanej architektury bezpieczeństwa konfiguracja jest dla Ciebie jako klienta wyjątkowo prosta. Bausicht udostępnia aplikację Microsoft Windows oraz wtyczkę do przeglądarki Chrome, dzięki którym nowe karty dostępu możesz w kilka sekund przypisać w formie zaszyfrowanej:

• Podłącz do komputera czytnik kart USB ze zintegrowanym SAM
• Otwórz aplikację Bausicht lub wtyczkę Chrome
• Wybierz pracownika i przyłóż kartę – gotowe

Całe wyprowadzanie kluczy, szyfrowanie i zapis karty odbywa się automatycznie w tle. Nie potrzebujesz żadnej wiedzy specjalistycznej z zakresu kryptografii ani bezpieczeństwa IT. System wykonuje wszystkie kroki istotne dla bezpieczeństwa w pełni automatycznie.

Podsumowanie: bezpieczna kontrola dostępu na place budowy w skrócie

W przeciwieństwie do systemów opartych na UID lub MIFARE Classic, Bausicht oferuje kompleksowo szyfrowaną kontrolę dostępu na place budowy, w której skopiowanie karty dostępu jest wykluczone. Jednocześnie obsługa pozostaje tak prosta jak w każdym innym systemie – tyle że bezpieczna.

Idealne rozwiązanie dla projektów infrastruktury krytycznej i stref o podwyższonym bezpieczeństwie

W pełni szyfrowana architektura bezpieczeństwa Bausicht sprawdza się nie tylko na klasycznych placach budowy, ale jest szczególnie odpowiednia dla projektów infrastruktury krytycznej (KRITIS) i stref o podwyższonym bezpieczeństwie. Wszędzie tam, gdzie wobec kontroli dostępu stawiane są najwyższe wymagania, nasz system zapewnia niezbędny fundament bezpieczeństwa:

• Centra danych: Operatorzy krytycznej infrastruktury IT podlegają surowym wymogom, m.in. wynikającym z dyrektywy NIS-2. Odporna na fałszowanie kontrola dostępu z szyfrowaniem AES i odpornymi na manipulacje modułami SAM spełnia te wymagania.
• Obiekty wojskowe: Przy budowie i utrzymaniu obiektów wojskowych dostęp jest ściśle reglamentowany. Indywidualne klucze kart i układy kryptograficzne z certyfikatem EAL5+ gwarantują, że nieuprawniony dostęp nie jest możliwy.
• Banki i instytucje finansowe: Od budowy nowego oddziału banku po przebudowę skarbca – połączenie DESFire EV3, OSDPv2 Secure Channel i szyfrowania TLS odpowiada standardom bezpieczeństwa branży finansowej.
• Energetyka i infrastruktura komunalna: Elektrownie, stacje transformatorowe i wodociągi należą do najbardziej wrażliwych obszarów usług publicznych. Kontrola dostępu, w której kopiowanie kart jest wykluczone, jest tu niezbędna.

Warto wiedzieć:

Kontrola dostępu Bausicht spełnia wymagania bezpieczeństwa zgodne z niemieckim standardem BSI-Grundschutz i nadaje się do projektów podlegających przepisom dotyczącym infrastruktury krytycznej (KRITIS) oraz dyrektywie NIS-2.

Bezpieczna kontrola dostępu na Twoim placu budowy z Bausicht

Chcesz zabezpieczyć swój plac budowy lub projekt infrastruktury krytycznej kartami dostępu odpornymi na fałszowanie, opartymi na MIFARE DESFire EV3? Dzięki cyfrowej kontroli dostępu Bausicht otrzymujesz rozwiązanie szyfrowane od początku do końca – od karty aż po serwer. Przekonaj się i przetestuj 14 dni za darmo!