IC-карта против ID-карты: как выбрать правильную карту доступа для вашей системы

В этой статье рассматриваются реальные различия между IC-картами и ID-картами, причем не только в версии спецификации, но и в различиях, которые фактически влияют на ваше решение о закупках, безопасность вашей системы и общую стоимость владения.

 

IC-карта и удостоверение личности: основная разница за 30 секунд

Удостоверение личности

 

(125 кГц, например, EM4100/TK4100): Сохраняется только фиксированный серийный номер. Карта передает этот номер любому считывателю в радиусе действия. Нет шифрования, нет возможности записи, нет подтверждения аутентификации. Считыватель просто проверяет, соответствует ли номер записи в базе данных.

IC-карта

 

(13,56 МГц, например, MIFARE Classic/DESFire): содержит микропроцессор с читаемой и записываемой памятью, разделенной на независимые сектора. Поддерживает шифрование, взаимную аутентификацию между картой и устройством чтения, а также использование нескольких-приложений на одной карте.

Это ответ из учебника. Но если вы оцениваете их для реального развертывания, учебник не расскажет вам, что на самом деле идет не так или что действительно важно для вашего бюджета.

 

 

Пять отличий, о которых вам не расскажут спецификации закупок

 

1

Безопасность карты доступа не является двоичной -, это спектр

 

Самая распространенная ошибка при покупке карты доступа: предположение «IC-карта=безопасна, а удостоверение личности=небезопасно». Реальность более многослойна.

 

Удостоверения личности не имеют шифрования. Любой считыватель с частотой 125 кГц или портативный клонатор стоимостью 15 долларов считывает и дублирует серийный номер. Невозможно предотвратить это на уровне карты, поскольку карта не имеет механизма аутентификации.

 

Карты IC более безопасны, но насколько больше зависит от того, какой чип вы выберете. MIFARE Classic, наиболее широко распространенный микрочип в мире, использует схему шифрования под названием CRYPTO1, которая была полностью реверсирована-исследователями из Университета Радбауд еще в 2008 году. Сегодня такие инструменты, как Flipper Zero, могут восстанавливать ключи MIFARE Classic и клонировать карты без специального оборудования.

 

В августе 2024 года ситуация ухудшилась: исследователи Quarkslab обнаружили аппаратный бэкдор в чипах Fudan FM11RF08S, широко используемом чипе, совместимом с MIFARE Classic-, от Shanghai Fudan Microelectronics. Этот бэкдор позволяет любому, кто знает один универсальный ключ, за считанные минуты скомпрометировать все-определенные пользователем ключи на этих картах. Затронутые чипы установлены в отелях, офисах и транспортных системах в США, Европе, Китае и Индии.

Уровень безопасности	Примеры чипов	Шифрование	Подходит для
Никто	EM4100, TK4100 (идентификационные карты)	Никто	Парковка, временные пропуска для посетителей
Наследие (скомпрометировано)	MIFARE Классический 1K/4K	КРИПТО1 (сломанный)	Низкий уровень-посещаемости времени в целях безопасности
Средний-уровень	MIFARE Plus (режим SL3)	АЭС-128	Доступ в офис, кампусные карты
Высокий	MIFARE DESFire EV2/EV3 (сертификат EAL5+)	AES-128, взаимная аутентификация	Дата-центры, финансовые объекты
Самый высокий	Карты ЦП (Java Card)	PKI-с поддержкой	Правительство, военные

 

В таблице не отражена одна деталь: MIFARE Plus имеет три уровня безопасности (SL1, SL2, SL3), но многие интеграторы развертывают карты Plus в режиме SL1 для обратной совместимости с существующими классическими считывателями. В режиме SL1 безопасность карты практически такая же, как и у стандартной MIFARE Classic. Это обычный сценарий «обновления спецификации на бумаге, без обновления на практике». Всегда проверяйте, какой уровень безопасности на самом деле активирован, а не только какая модель чипа указана в подтверждении заказа.

 

Syntek поставляет карты доступа всех пяти уровней, перечисленных выше, отИдентификационные карты EM4100/TK4100через MIFARE DESFire EV2/EV3 иКарты ЦП для обеспечения высокого-управления доступом с высоким уровнем безопасности. Каждая карта IC поставляется с моделью чипа, указанной в накладной, поскольку карту без документированных характеристик чипа невозможно проверить.

 

 

 

При цене 0,08–0,15 доллара США за единицу для идентификационных карт EM4100 по сравнению с 0,30–0,60 доллара США за MIFARE DESFire экономия на-карте при заказе 5000-карт выглядит реальной. Но цена за карту — это всего лишь одна строка в общей себестоимости.

 

Системы ID-карт не хранят никаких данных на самой карте. Каждое решение о доступе требует, чтобы читатель запросил центральную базу данных в режиме реального времени. Это означает, что каждому считывателю необходимо подключение к сети (больше кабелей, больше точек отказа), расширение системы означает подключение новых считывателей обратно к серверу, и нет автономной работы: если сеть выходит из строя, двери либо остаются заблокированными, либо открываются по умолчанию.

 

Системы IC-карт хранят разрешения на карте. Читатели могут принимать решения о доступе локально. Расширение системы означает развертывание считывателя и настройку секторов карты, при этом новые кабели к серверу не требуются.

 

Компания по управлению недвижимостью в Шэньчжэне обнаружила это после того, как внутренний аудит показал, что в их гараже ежемесячно выдается больше пропусков, чем было зарегистрировано системой. Расследование установило, что сотрудники дублировали удостоверения личности с частотой 125 кГц, используя пустые карточки с Taobao. Поскольку карты не имели шифрования, не было никаких технических препятствий: любой, у кого был клонатор за 15 долларов, мог создать рабочую копию. Компания отказалась от всей системы удостоверений личности и перешла на-зашифрованную систему IC-карт, заплатив дважды за то, что нужно было сделать один раз.

 

 

Шестнадцать независимых секторов. Это то, что дает вам стандартная IC-карта MIFARE Classic 1K, и каждый сектор может обслуживать разные приложения со своими собственными ключами шифрования: контроль доступа в секторе 1, учет рабочего времени в секторе 2, оплата столовой в секторе 3.

 

ID-карты не могут этого сделать. Одна карта, один серийный номер, одна функция. Если вы хотите добавить в свою систему доступа оплату кафетерия, вы либо выпускаете вторую карту, либо заменяете всю инфраструктуру.

 

Для развертываний в кампусах и промышленных парках, где "одна-карта-на-все" является целью, одно это исключает использование идентификационных карт с частотой 125 кГц. Syntek производит многофункциональные-карты с микросхемами и двухчастотные композитные карты, которые сочетают в себе чип 125 кГц и чип 13,56 МГц в одном корпусе. Именно так работает большинство поэтапных миграций.

 

 

 

Смартфоны ваших сотрудников поддерживают NFC на частоте 13,56 МГц, на той же частоте, что и карты IC. Это означает, что учетные данные IC-карты потенциально могут быть предоставлены телефонам, обеспечивая мобильный доступ на основе NFC-без физических карт.

 

ID-карты с частотой 125 кГц совершенно невидимы для оборудования NFC телефона. Обходного пути не существует. Если план вашего предприятия включает в себя мобильный доступ в течение следующих трех-пяти лет, система удостоверений личности с частотой 125 кГц — это тупик. Более подробно о том, как работает NFC в экосистемах контроля доступа, см. в статье Syntek.введение в системы контроля доступа RFID.

 

 

Если вы в настоящее время используете систему удостоверений личности с частотой 125 кГц и вас беспокоят пробелы в безопасности, полная замена системы — не единственный вариант. Двухчастотные-считыватели могут одновременно обрабатывать карты с частотой 125 кГц и 13,56 МГц. В сочетании с двухчастотными композитными картами (одна карта содержит как идентификатор, так и микросхему) вы можете осуществлять миграцию пользователей поэтапно: без переключения на один-день и без перебоев в обслуживании.

 

Продолжительность двухчастотной-миграции зависит от количества точек доступа, текучести кадров и необходимости обновления внутреннего программного обеспечения. Офисное здание с 20-дверями может быть построено за три месяца. Промышленному парку с несколькими-зданиями, привлеченным на аутсорсинг персоналом и высокой текучестью кадров может потребоваться больше года, чтобы списать последнюю партию старых карточек. Общей нитью является то, что двухчастотный подход позволяет распределить капитальные затраты по бюджетным циклам, а не поглощать их как единую единовременную сумму.

Как проверить, что вы на самом деле получаете

 

Прежде чем разместить оптовый заказ на карту доступа, подтвердите у своего поставщика три вещи: