Какво е RFID сигурност на данните?
Dec 10, 2025
Остави съобщение
Какво е RFID сигурност на данните?
Миналата година клиент ни се обади, бесен. Техните карти за контрол на достъп са били „хакнати“. Оказа се, че те все още използват 125kHz безконтактни карти отпреди десетилетие. Някой мина покрай служител в метрото с устройство с размер на-телефон и на следващата сутрин складът им получи достъп от неизвестно лице с помощта на клонирана карта.
Ние произвеждаме RFID продукти в SYNTEK от близо 20 години. Истории като тази не са рядкост. Виждали сме компании да харчат милиони за системи за проследяване на активи, само за да открием, че всеки четец за $30 от AliExpress може да пренапише етикетите си. Виждали сме системи за присъствие, играни с дублиращи се карти-един и същ номер на карта, показващ се в три различни града едновременно.
„RFID сигурността на данните звучи сложно, но основният проблем е много прост: безжичните сигнали могат да бъдат прихванати. Сложната част? Повечето купувачи нямат представа какво ниво на сигурност всъщност получават.“
Ето нещо, за което никой не говори
RFID е отворена безжична система. Вашият етикет и четец комуникират чрез радиовълни. Всеки с правилната екипировка може да слуша.

Безжичната комуникация се осъществява на открито, което прави прихващането възможно без физически контакт.
Проблемът започна рано. Когато производителите за първи път проектираха тези чипове, те се фокусираха върху „можем ли да го прочетем?“ не "трябва ли да ви позволим да го прочетете?" Много чипове имат нулева автентификация. Читателят пита "кой си ти?" а тагът просто... отговаря. Няма значение дали е легитимно устройство или някой човек с Proxmark в раницата си.
Представете си, че вървите по улицата и шумно съобщавате номера на социалната си осигуровка на всеки, който поиска. По принцип така работят много RFID карти.
Защо 125kHz карти са шега за сигурността
Ето нещо, което индустрията не рекламира: огромна част от картите за достъп, които все още се използват днес, работят по технология от 90-те години.
Тези карти работят на 125kHz. Моделът на чипа обикновено е EM4100 или TK4100. Как действат? Захранване, излъчване ID, готово. Без криптиране. Без удостоверяване. Само фиксиран номер, записан на чипа.
Разходи за клониране? Може би $20 за четец-писател от Amazon, още $5 за празни карти. Три минути работа.
Клиентите понякога ни питат: "Можете ли да направите криптирана 125kHz карта?"
Кратък отговор: не. Самият протокол не поддържа сериозна сигурност. Искате защита, преминавате към 13,56MHz висока честота или UHF, с чипове като MIFARE DESFire или ICODE DNA, които всъщност поддържат AES криптиране.
Как всъщност изглеждат атаките
Въз основа на разговори с нашите клиенти, ето къде RFID сигурността се проваля на практика:
Клониране на карта за достъп
Нападателят не трябва да докосва вашата карта. Четец с висока{1}}усилване, скрит в куриерска чанта, няколко секунди зад вас в асансьор или опашка за обяд-това е достатъчно, за да вземете данните. Напишете го на празна карта и сега те имат достъп до вас.
Една компания за управление на имоти ни каза за поредица от прониквания-в техния жилищен комплекс. В крайна сметка полицията разбрала, че крадецът е клонирал карти за достъп на жителите. Дневници на входа на сградата? Всички показаха номерата на собствените карти на жертвите. Няма и следа от истинския натрапник.
Подправяне на данни
Ако вашата RFID система проследява инвентар или активи, етикетите съхраняват действителна информация, а не само идентификатори. Там нещата стават по-объркани.
Записваемите маркери са предназначени за-полезна функция за актуализации. Но без защита от запис всеки може да прави промени. Някой във веригата за доставки сменя „стандартен клас“ на „премиум“ в данните на етикета или измества датата на производство с шест месеца напред. Случва се.
Повторение на атаки
Този е подъл. Нападателят не трябва да дешифрира нищо. Те просто записват разговора между вашия таг и четец, след което го възпроизвеждат по-късно.
Мислете за това по следния начин: плъзнете картата си, за да отворите врата, и някой наблизо записва целия този радиообмен. Следващия път те насочват устройството си към четеца и натискат play. Вратата се отваря. Читателят мисли, че току-що е видял картата ви отново.
За да спрат това, системите се нуждаят от -протоколи за отговор-основно еднократни-пароли. Всяко удостоверяване е различно, така че записите стават безполезни.
Компромисът цена срещу сигурност (и защо не е ясен)
Клиентите ни питат през цялото време: по-скъпите чипове означават ли по-добра сигурност?
Приблизително да, но не е линейно.
| Тип чип | Приблизителна цена | Състояние на сигурността |
|---|---|---|
| 125kHz EM4100 | $0.10 | Няма |
| 13.56MHz MIFARE Classic | ~$0.40 | Компрометиран (2008) |
| MIFARE DESFire EV3 | $1-2 | AES-128 / Високо |
125kHz EM4100 карта може да струва $0,10. Вдигнете до 13,56MHz MIFARE Classic и сте на може би $0,40, но сигурността не е много по-добра (шифроването на този чип беше разбито през 2008 г.). Отидете на MIFARE DESFire EV3 с AES-128 и взаимно удостоверяване, очаквате $1-2 на карта, но не съществуват известни публични експлойти.
Въпросът е: наистина ли имате нужда от това ниво?
Ако проследявате гаечни ключове във фабрика, загубата на такъв означава да поръчате нов. Ако контролирате достъпа до банков трезор, клонирана карта означава нещо съвсем различно.
Нашият съвет към клиентите: започнете с „кой е най-лошият случай, ако това бъде компрометирано?“ след това работете назад. Половината от случаите не е технически проблем, а проблем с възприятието.
Какво можете да направите, без да заменяте всичко
Някои ситуации наистина се нуждаят от евтини етикети-китки за събития, логистични етикети с голям-обем. Премиум чипове за всичко не е реалистично. Но имате и други опции:
Ограничете обхвата на четене
По-дългият диапазон на четене не винаги е по-добър. NFC е проектиран за няколко сантиметра-, на които трябва да докоснете основно четеца. Прави дистанционното скимиране много по-трудно.
Някои-клиенти с висока степен на сигурност, с които работим, инсталират четци в затворени кутии. Картата трябва да бъде поставена докрай, за да се регистрирате. Физически блокира страничните-атаки на канала.
RFID екраниране
Принцип на Фарадеева клетка. Увийте етикета в проводим материал, радиовълните не могат да влязат или излязат. Това е, което RFID{2}}блокиращите ръкави и портфейли правят. Ние също произвеждаме защитни продукти-проверете секцията „Блокиране на RFID сигнали“ на нашия сайт.
Когато не използвате картата, тя стои в ръкава. Никой не може да го сканира. Когато имате нужда, издърпайте го. Просто, ефективно, евтино.
Отделете ID от данните
Друг подход: съхранявайте само случаен, безсмислен ID върху етикета. Съхранявайте действителните чувствителни данни във вашата база данни. Дори ако някой клонира етикета, той получава безполезен низ. Без съвпадение на задните записи, това е боклук.
Това прехвърля риска от етикета към вашата сървърна инфраструктура. Но намалява разходите за етикети.
Взаимното удостоверяване-си струва да се разбере
Споменатият отговор-на предизвикателство по-рано. Нека разширя това, защото често се разбира погрешно.
Традиционното RFID удостоверяване е едно-посочно: четецът проверява етикета. Но приложенията с висока-сигурност се нуждаят от дву-удостоверяване-тагът също така потвърждава, че четецът е легитимен.
Ето потока:
Reader изпраща на маркер произволно число (предизвикателството)
Етикетът прекарва това число през своя вътрешен ключ, изпраща обратно резултата
Reader изпълнява същото изчисление със същия ключ, сравнява
След това етикетът изпраща на читателя произволно число
Четецът изчислява, изпраща обратно, етикетът проверява
И двете страни трябва да преминат, преди да се случи реален обмен на данни. Означава, че фалшив четец не може да подмами таговете да дадат информация.
MIFARE DESFire поддържа това. Почти задължително за всеки проект, който правим с банки или държавни агенции.
Практически неща преди да тръгнете
1. Разберете какво изпълнявате в момента
Много компании имат RFID системи, инсталирани от някой, който е напуснал преди години. Текущият ИТ няма представа какво всъщност е внедрено. Вземете спецификациите от вашия доставчик-най-малко, знайте честотата и модела на чипа.
2. Определете количествено най-лошия си случай
Ако вашите карти за достъп бъдат клонирани, каква е вредата? Ако етикетите на инвентара бъдат подправени, каква е експозицията? Поставете номер върху него. След това решете дали надграждането си заслужава.
3. Увеличете вашата сигурност
Не всичко се нуждае от максимална защита. Обикновените значки на служители могат да управляват чипове от среден-ниво. Вратите на сървърната стая и финансовия офис получават чипове с висока-сигурност. Складовите логистични етикети могат да бъдат евтини с бекенд проверка.
4. Одитирайте редовно
RFID не е зададен-и-забравете. Проверете регистрационните файлове за достъп за аномалии. Една и съща карта се появява на две места едновременно. След -часа опити за достъп. Модели, които нямат смисъл.
5. Планирайте надстройки
Ако сега бюджетът е ограничен и избирате решение от-средно ниво, изберете поне архитектура, която позволява бъдещи надстройки. Не се затваряйте в затворена система, която изисква пълна подмяна след три години.
въпроси? Ние правим това от почти две десетилетия в SYNTEK. Видя повече режими на отказ, отколкото бихте очаквали. Независимо дали специфицирате нова система или проверявате съществуваща, с удоволствие ще говорим.
Изпрати запитване

