Перше правило СКУД — шифрування

382

Раніше вважалося, що найбільш важливим аспектом впровадження електронної системи контролю доступу був простий контроль того, хто і куди входить. Сьогодні вимоги цих складних систем виходять за рамки стандартних СКУД. Насправді, одна з проблем систем фізичного захисту є помилкова думка, що вона перешкоджає проникненню хакерів, кібер-панкам і іншим зловмисникам, а насправді вона може служити шлюзом для чутливої ІТ-мережі організації.
Коли карта доступу RFID наближається до зчитувача, вона починає бездротову передачу свого двійкового коду. Якщо використовуються частота 125 кГц, тоді протокол бездротового зв’язку зазвичай є Wiegand, більш стара технологія, яка більше не може забезпечити безпеку, необхідну на сьогоднішній день. В гіршому випадку хакери можуть просто фізично «увійти» в мережу об’єкта через зчитувач карт Wiegand і вільно влаштувати атаку на ІТ-систему.
Шифрування даних є частиною гарної практики і дійсно дає можливість для галузі безпеки.

3 основних елемента шифрування

Аутентифікація. Це підтверджує, що хтось є тим, ким він є. Облікові дані порівнюються з даними у файлі бази даних. При підтвердженні користувачеві надається доступ. («Так, користувач №1234 знаходиться в нашій базі даних. Йдемо далі») Налаштування визначаються адміністратором. Наприклад, у разі підвищеної безпеки адміністратор може зажадати багатофакторну аутентифікацію з використання картки плюс PIN-коду.
Цілісність. Це гарантує, що цифрова інформація не порушена і доступна тільки для доступу або зміни уповноваженими особами. («Ніхто не зіпсував цей номер».) Дані не повинні змінюватися в процесі транзиту або змінені неавторизованим користувачем або програмою. Якщо дані пошкоджені, то система відновлює пошкоджені дані у вихідний стан.
Неможливість зречення. Це означає, що користувачі не можуть заперечувати справжність свого підпису на документі або відправленому повідомлення, яке вони створили. («Гарна спроба, але ми знаємо, що Ви зробили це»). Цифровий підпис не тільки гарантує, що повідомлення або документ електронним чином підписаний особою, також гарантує, що людина не може згодом заперечувати, що це зробив не він.

Ось як працює шифрування

Шифрування складається з алгоритму та ключа. Після того, як число зашифровано, система повинна мати ключ, щоб розшифрувати отриманий код в його вихідну форму. Існує два варіанти алгоритмів – приватний (симетричний) і загальнодоступний (асиметричний).
Шифрування з відкритим ключем використовує той же ключ для шифрування і дешифрування. Пам’ятайте – якщо ключ загублений або перехоплений, повідомлення можуть бути скомпрометовані. Інфраструктура відкритого ключа (ВОЦ) використовує два різних, але пов’язаних з математичної точки зору ключа. Один з ключів є приватним, а інший відкритим.
З допомогою ВОЦ будь ключ може використовуватися для шифрування або дешифрування. Коли один ключ використовується для шифрування, інший використовується для дешифрування. Публічну частину ключа легко отримати для всіх користувачів. Однак тільки сторона має доступ до ключа дешифрування, що дозволяє читати повідомлення.
Використовуючи один або обидва цих алгоритму, доступ до облікових даних може бути зашифрований. Багато сучасні карти підтримують криптографію. Шукайте терміни, такі як 3DES, AES (які уряди використовують для захисту секретної інформації), TEA та RSA.

Додавання шифрування в систему контролю доступу

Якщо мова йде про злом, розгляньте більш безпечні смарт-карти на 13,56 МГц з безконтактними картами з пропускною здатністю 125кГц. Шукайте термін «Mifare» — технологія від NXP Semiconductors. Новітні стандарти Mifare, DESFire EV1, включає в себе криптографічний модуль на карті, додаючи додатковий рівень шифрування при взаємодії карти/зчитувача. Захист DESFire EV1 особливо важлива для клієнтів, охочих використовувати захищені карти з кількома додатками для управління доступом, громадським транспортом або електронним платежем всередині мережі.
Іншим цінним варіантом є Valid ID, функція захисту від несанкціонованого доступу для зчитувач безконтактних смарт-карт. Цей варіант додає ще один рівень аутентифікації і забезпечення цілісності для традиційних смарт-карт Mifare. Дійсний ідентифікатор допомагає перевірити, що дані конфіденційного доступу, запрограмовані на карту, дійсно є справжніми і не підробленими.