karty, breloczki, tagi czy jak sie to zwie ...

popularny standard to 10 cyfrowa liczba ...
a jak jest z bezpieczenstwem tego ?

Mozna gdzies zamowic o zadanym numerze, albo zasymulowac samemu, czy
jest to jakos szyfrowane ?
Ale chyba kiepsko szyfrowane ?

J.

do góry

J.F. wrote on 16.03.2019 22:35:
>
> karty, breloczki, tagi czy jak sie to zwie ...
>
> popularny standard to 10 cyfrowa liczba ...
> a jak jest z bezpieczenstwem tego ?

Ale precyzyjne pytanie zadałeś. Generalnie sam numer seryjny nie
zapewnia żadnego bezpieczeństwa, każdy go może odczytać.

Bezpieczeństwa się wymaga od innych funkcji karty (np. dostęp do bloków
pamięci, liczników itp.)

> Mozna gdzies zamowic o zadanym numerze, albo zasymulowac samemu, czy
> jest to jakos szyfrowane ?

Zależy jaki standard, są emulatory kart, są karty z niezaprogramowanym
numerem seryjnym i sam go nadajesz.

> Ale chyba kiepsko szyfrowane ?

Poziom bezpieczeństwa jest proporcjonalny do ceny karty. Możesz kupić
kartę za 0.3$ z ułudą bezpieczeństwa (jak mifare classic) albo kartę za
10$ z wirtualną maszyną javy na pokładzie i silnikiem kryptograficznym.

do góry

W dniu 16-03-2019 o 22:35, J.F. pisze:
>
> karty, breloczki, tagi czy jak sie to zwie ...
>
> popularny standard to 10 cyfrowa liczba ...
> a jak jest z bezpieczenstwem tego ?
>
> Mozna gdzies zamowic o zadanym numerze, albo zasymulowac samemu, czy
> jest to jakos szyfrowane ?
> Ale chyba kiepsko szyfrowane ?
>

Standard Unique. Można kupić bez problemu czyste karty i urządzenia do
programowania.

Standard Mifare Classic. Widziałem jak kartę zasymulowano telefonem z NFC.


yabba

do góry

W dniu 2019-03-17 o 17:25, yabba pisze:
>
> Standard Mifare Classic. Widziałem jak kartę zasymulowano telefonem z NFC.
>

W napisanej w 2003r książce wyczytałem, że nie należy ufać żadnemu
standardowi w którym algorytmy są tajne i jako przykład było podane
właśnie Mifare Clasic. Autorzy (Fergusson, Schneier) sugerowali, że
skoro algorytmy są tajne więc na pewno słabe i oni przewidują, że ktoś
to kiedyś złamie. Mieli rację - pierwsze informacje o skutecznym łamaniu
pojawiły się chyba w 2005r (nie chce mi się szukać).
Oparte było na małej losowości generowanej liczby losowej przez kartę po
jej zbliżeniu do czytnika. Ale oni (matematycy/informatycy) i tak
dostawali chyba kilkadziesiąt liczb bo działali na zasadzie ręcznego
zbliżania karty do czytnika i ogólnie całe łamanie to były chyba wtedy
godziny. Teraz to podobno sekundy.

Nie znamy tych tajnych algorytmów - nie umiemy złamać takiej karty, ale
jak doszliśmy (elektronicy) do próby komunikacji z taką kartą to dla
karty leżącej na czytniku, gdy po włączeniu pola anteny zawsze w tym
samym czasie karta była pytana o numer losowy to dostawaliśmy (nie ja to
robiłem - info nie musi być dokładne) w około 60% przypadków jeden
numer, chyba w 30% jakiś drugi i w 10% kilka innych.

Ja nie rozmawiam z klientami, ale podobno ostatnio jakiś wręcz żądał,
aby nasz system działał na Mifare Classic bo norma dla grade 3 wymaga
tylko kart szyfrowanych a one są szyfrowane a on nie chce przepłacać za
karty.

Ciągle mnie zadziwia, że klienci nadal w większości kupują systemy na
karty Unique.
P.G.

do góry

Użytkownik "Zbych" napisał w wiadomości grup
dyskusyjnych:5c8d7607$0$477$6...@n...neostrada.
pl...
J.F. wrote on 16.03.2019 22:35:
>> karty, breloczki, tagi czy jak sie to zwie ...
>> popularny standard to 10 cyfrowa liczba ...
>> a jak jest z bezpieczenstwem tego ?

>Ale precyzyjne pytanie zadałeś. Generalnie sam numer seryjny nie
>zapewnia żadnego bezpieczeństwa, każdy go może odczytać.

Odczytac moze kazdy, pytanie czy moze wygenerowac :-)

>Bezpieczeństwa się wymaga od innych funkcji karty (np. dostęp do
>bloków pamięci, liczników itp.)

Mam wrazenie, ze wiele systemow na tym numerze seryjnym konczy.

>> Mozna gdzies zamowic o zadanym numerze, albo zasymulowac samemu,
>> czy
>> jest to jakos szyfrowane ?

>Zależy jaki standard, są emulatory kart, są karty z
>niezaprogramowanym numerem seryjnym i sam go nadajesz.

>> Ale chyba kiepsko szyfrowane ?
>Poziom bezpieczeństwa jest proporcjonalny do ceny karty. Możesz kupić
>kartę za 0.3$ z ułudą bezpieczeństwa (jak mifare classic) albo kartę
>za 10$ z wirtualną maszyną javy na pokładzie i silnikiem
>kryptograficznym.

Ale taki nr seryjny to jest ułuda bezpieczenstwa, czy nawet nie ?

J.

do góry

W dniu 18.03.2019 o 15:46, J.F. pisze:
> Użytkownik "Zbych"  napisał w wiadomości grup
> dyskusyjnych:5c8d7607$0$477$6...@n...neostrada.
pl...
> J.F. wrote on 16.03.2019 22:35:
>>> karty, breloczki, tagi czy jak sie to zwie ...
>>> popularny standard to 10 cyfrowa liczba ...
>>> a jak jest z bezpieczenstwem tego ?
>
>> Ale precyzyjne pytanie zadałeś. Generalnie sam numer seryjny nie
>> zapewnia żadnego bezpieczeństwa, każdy go może odczytać.
>
> Odczytac moze kazdy, pytanie czy moze wygenerowac :-)

Nie wiem, ale się domyślam :-), że może. W przypadku unique są i
emulatory, i karty Q5, którym sam nadajesz numer.
W przypadku mifare classic możesz kupić karty z "pustym numerem" i ten
numer nadać. Emulatory też są.


>> Poziom bezpieczeństwa jest proporcjonalny do ceny karty. Możesz kupić
>> kartę za 0.3$ z ułudą bezpieczeństwa (jak mifare classic) albo kartę
>> za 10$ z wirtualną maszyną javy na pokładzie i silnikiem
>> kryptograficznym.
>
> Ale taki nr seryjny to jest ułuda bezpieczenstwa, czy nawet nie ?

Resztki Ułudy jeśli musisz ten numer zgadnąć i brak ułudy gdy możesz go
z innej karty odczytać.

do góry

W dniu 18-03-2019 o 14:40, Piotr Gałka pisze:
> W dniu 2019-03-17 o 17:25, yabba pisze:
>
> Ja nie rozmawiam z klientami, ale podobno ostatnio jakiś wręcz żądał,
> aby nasz system działał na Mifare Classic bo norma dla grade 3 wymaga
> tylko kart szyfrowanych a one są szyfrowane a on nie chce przepłacać za
> karty.
>
> Ciągle mnie zadziwia, że klienci nadal w większości kupują systemy na
> karty Unique.

Jak sam napisałeś, nie rozmawiasz z klientami i nie znasz ich zachowań.
Klient jak porówna jedną ofertę ze 100 kartami za 200 zł z drugą ofertą
500 zł za 100 kart, to w 90% wybierze w ciemno tańszą ofertę. W 5%
zapyta się na czym polega różnica i też wybierze tańsze. Tylko pozostałe
5% jest świadome czego chce i wybierze najbezpieczniejsze rozwiązanie.


yabba

do góry

W dniu 2019-03-18 o 14:40, Piotr Gałka pisze:
> ogólnie całe łamanie to były chyba wtedy godziny. Teraz to podobno sekundy.
Mifare każe sobie czekać 100ms na podanie następnej komendy, więc atak
typu brutal force na 48bitowe hasło... well, świat krócej istnieje.
Tych sektorów jest 16, więc da się zrobić to wyjątkowo upierdliwe do
złamania. Ponadto wiele zależy od systemu KD. W pewnej instytucji był
sobie prosty acz rozległy system na kartach Unique. Ale w tej jednej
jedynej firmie wgrali zdjęcia pracowników i cieć widział, czy wchodzi
posiadacz karty. No i pewnego pana wyprowadzili w kajdankach.


Pozdroofka,
Pawel Chorzempa
--
"-Tato, po czym poznać małą szkodliwość społeczną?
-Po wielkiej szkodzie prywatnej" (kopyrajt: S. Mrożek)
******* >>> !!! UWAGA: ODPOWIADAM TYLKO NA MAILE:
moje imie.(kropka)nazwisko, ten_smieszny_znaczek, gmail.com

do góry

Dnia Mon, 18 Mar 2019 21:35:39 +0100, Pawel "O'Pajak" napisał(a):
> W dniu 2019-03-18 o 14:40, Piotr Gałka pisze:
>> ogólnie całe łamanie to były chyba wtedy godziny. Teraz to podobno sekundy.
> Mifare każe sobie czekać 100ms na podanie następnej komendy, więc atak
> typu brutal force na 48bitowe hasło... well, świat krócej istnieje.

A w druga strone - przykladamy cos i wysylamy losowe nr/kody do
czytnika ?

> Tych sektorów jest 16, więc da się zrobić to wyjątkowo upierdliwe do
> złamania. Ponadto wiele zależy od systemu KD. W pewnej instytucji był
> sobie prosty acz rozległy system na kartach Unique. Ale w tej jednej
> jedynej firmie wgrali zdjęcia pracowników i cieć widział, czy wchodzi
> posiadacz karty. No i pewnego pana wyprowadzili w kajdankach.

shackowal czy ukradl karte ?
Szpieg czy zlodziej ?

A swoja droga - wgrali na karty, czy na jakis serwer - bo to nawet
bezpieczniej jesli nie na karte ...

J.

do góry

Na centralkę lub oprogramowanie na PC, proste w sumie.


-----
> wgrali na karty, czy na jakis serwer - bo to nawet bezpieczniej jesli nie na karte

J.

do góry