RFID Teknologier

Oversikt over forskjellige RFID teknologier som blir brukt til adgangskontrollsystemer.

MIFARE familien fra NXP er den mest brukte RFID teknologiene som blir benyttes i adgangskontrillsystemer. De har en serie med integrerte kretser (IC-brikker) som brukes i kontaktløse smartkort og ID-kort, spesielt til adgangskontrollsystemer.

MIFARE er basert på ulike nivåer av ISO/IEC 14443 Type-A 13,56 MHz kontaktløse smartkortstandard. Den bruker AES og DES/Triple-DES krypteringsstandarder, samt en eldre proprietær krypteringsalgoritme, Crypto-1. I følge NXP er 10 milliarder av smartkortbrikkene deres og over 150 millioner lesermoduler solgt.

Varianter av MIFARE:             

MIFARE Classic

Dette er mest kjente MIFARE varianten og har vært på markedet i nærmere 30 år. Selv om den ikke går for å være en sikker teknologi er det fortsatt mye MIFARE Classsic som blir brukt. Ved bruk på adganskontrollsystemer er det stadimg mer og mer MIFARE DESfire som tar over. Site evolutionversjon er EV.3 som har fått et betydlig løft i sikkerheten.
MIFARE Clasic er en proprietær protokoll som er kompatibel med deler 1–3 av ISO/IEC 14443 Type A, med en proprietær NXP-sikkerhetsprotokoll for autentisering og chiffrering.

MIFARE Classic IC er bare en minnelagringsenhet, hvor minnet er delt inn i segmenter og blokker med enkle sikkerhetsmekanismer for tilgangskontroll. De er ASIC-baserte og har begrenset beregningskraft. På grunn av deres pålitelighet og lave kostnader, er disse kortene mye brukt til elektroniske lommebøker, tilgangskontroll, ID-kort, transport eller billetter. Den bruker en NXP proprietær sikkerhetsprotokoll (Crypto-1) for autentisering og chiffering.

MIFARE Classic med 1K minne tilbyr 1024 byte med datalagring, delt inn i 16 sektorer; hver sektor er beskyttet av to forskjellige nøkler, kalt A og B. Hver tast kan programmeres til å tillate operasjoner som lesing, skriving, økende verdiblokker osv. MIFARE Classic med 4K-minne tilbyr 4096 byte fordelt på førti sektorer, hvorav 32 har samme størrelse som i 1K med åtte til som er firedoblet størrelse sektorer. MIFARE Classic Mini tilbyr 320 byte delt inn i fem sektorer. For hver av disse IC-typene er 16 byte per sektor reservert for nøkler og tilgangsbetingelser og kan normalt ikke brukes til brukerdata. Dessuten inneholder de aller første 16 bytene serienummeret  (UiD) til kortet og visse andre produsentdata og er skrive beskyttet. Det bringer netto lagringskapasitet til disse kortene ned til 752 byte for MIFARE Classic med 1K minne, 3440 byte for MIFARE Classic med 4K minne.
Undertyper: MIFARE Classic EV1.

MIFARE Plus

MIFARE Plus ble offentlig kunngjort i mars 2008 med første prøver i Q1 2009.
Erstatning for MIFARE Classic med sertifisert sikkerhetsnivå (AES-128-basert) og er bakover kompatibel med MIFARE Classic.

MIFARE Plus støtter AES på lesersiden, etterlater fortsatt en åpen dør for angrep. Selv om det hjelper å dempe trusler fra angrep som brøt Crypto-1-chifferet gjennom den svake tilfeldige tallgeneratoren, hjelper det ikke mot brute force-angrep og kryptoanalytiske angrep.

I overgangsperioden fra MIFARE Classic til MIFARE Plus hvor bare noen få lesere kanskje støtter AES i utgangspunktet, tilbyr den en valgfri AES-autentisering i sikkerhetsnivå 1 (som faktisk er MIFARE Classic-operasjon). Dette forhindrer ikke angrepene nevnt ovenfor, men muliggjør en sikker gjensidig autentisering mellom leseren og kortet for å bevise at kortet tilhører systemet og ikke er falskt.
I sitt høyeste sikkerhetsnivå SL3, med 128-bit AES-kryptering, er MIFARE Plus sikret mot angrep.

Valget av kryptoalgoritme som brukes i autentiseringsprotokollen kan angis separat for hver sektor. Dette gjør det mulig å bruke samme kort med både lesere som kan lese MIFARE Classic-produkter (med sektorer beskyttet av 48-bit CRYPTO1-nøkler, "Sikkerhetsnivå 1") og lesere som kan lese MIFARE Plus-produkter (med sektorer beskyttet av 128- bit AES-nøkler, "Sikkerhetsnivå 3"). Denne funksjonen er ment å gjøre det enklere å gradvis migrere eksisterende MIFARE Classic produktbaserte installasjoner til MIFARE Plus, uten å måtte erstatte alle lesere samtidig.

Kortet kan nå nås enten i protokollen for MIFARE (som ikke er kompatibel med ISO 7816-4 APDU-formatet), eller ved å bruke en ny protokollvariant som kjører på toppen av ISO 7816-4. På denne måten blir kortene kompatible med NFC-leser-APIer som bare kan utveksle meldinger i ISO 7816-4 APDU-format, med en maksimal overføringsdatabufferstørrelse på 256 byte.

Mens protokollen for MIFARE Classic tolererte meldingsforsinkelser på flere sekunder, og derfor var sårbar for reléangrep, implementerer MIFARE Plus EV1 nå en grunnleggende "ISO-kompatibel" avstandsbegrensende protokoll. Dette setter strammere tidsbegrensninger på den tillatte tur-retur-forsinkelsen under autentisering, for å gjøre det vanskeligere å videresende meldinger til fjerntliggende kort eller lesere via datanettverk.

MIFARE Plus EV2

MIFARE Plus EV2 ble introdusert på markedet 23. juni 2020. Den kommer med en forbedret leseytelse og transaksjonshastighet sammenlignet med MIFARE Plus EV1.

Nye funksjoner sammenlignet med MIFARE Plus EV1 inkluderer:

Transaksjonstidtaker

For å bidra til å dempe «mann-i-midten-angrep», gjør Transaction Timer-funksjonen, som også er tilgjengelig på NXPs MIFARE DESFire EV3 IC, det mulig å angi en maksimal tid per transaksjon, slik at det er vanskeligere for en angriper å forstyrre transaksjonen.

Undertyper: MIFARE Plus S, MIFARE Plus X, MIFARE Plus SE og MIFARE Plus EV2.

MIFARE Ultralight

Rimelige IC-er som er nyttige for høyvolumsapplikasjoner som offentlig transport, lojalitetskort og arrangementsbilletter, engangsbilletter.

MIFARE Ultralight har bare 512 bits minne (dvs. 64 byte), uten kryptografisk sikkerhet. Minnet leveres i 16 sider à 4 byte. Kortet brukes til engangsbilletter til arrangementer som 2006 FIFA World Cup. Den gir bare grunnleggende sikkerhetsfunksjoner som engangsprogrammerbare (OTP) biter og en skrivelåsfunksjon for å forhindre omskriving av minnesider, men inkluderer ikke kryptografi som brukt i andre MIFARE produktbaserte kort.

MIFARE Ultralight EV1

MIFARE Ultralight EV1 introduserte i november 2012 neste generasjon av smartkort-IC-er for papirbilletter for begrenset bruk for billettordninger og ekstra sikkerhetsalternativer. Den kommer med flere forbedringer over den originale MIFARE Ultralight:

384 og 1024 bits brukerminne produktvarianter, OTP, låsebiter, konfigurerbare tellere for forbedret sikkerhet.
Tre uavhengige 24-biters enveis tellere for å stoppe omlasting.
Beskyttet datatilgang gjennom 32-biters passord.

NXP Semiconductors originalitetssignaturfunksjon, dette er en integrert originalitetskontroller og er effektiv kloningsbeskyttelse som bidrar til å forhindre forfalskning av billetter. Denne beskyttelsen gjelder imidlertid bare for "massepenetrering av ikke-NXP-opprinnelige brikker og forhindrer ikke maskinvarekopiering eller emulering av en enkelt eksisterende gyldig brikke".

MIFARE Ultralight C

MIFARE Ultralight C ble introdusert på Cartes industrimesse i 2008, og er en del av NXPs rimelige MIFARE-produkttilbud (engangsbillett). Med Triple DES bruker MIFARE Ultralight C en bredt vedtatt standard, som muliggjør enkel integrasjon i eksisterende infrastruktur. Den integrerte Triple DES-autentiseringen gir et effektivt mottiltak mot kloning.
Nøkkelapplikasjoner for MIFARE Ultralight C er offentlig transport, arrangementsbilletter, lojalitet.

MIFARE Ultralett AES

Den ble introdusert i 2022.

Undertyper: MIFARE Ultralight C, MIFARE Ultralight EV1, MIFARE Ultralight Nano og MIFARE Ultralight AES.

MIFARE DESFire

Kontaktløse IC-er som samsvarer med del 3 og 4 av ISO/IEC 14443-4 Type A med et maske-ROM-operativsystem fra NXP. DES i navnet refererer til bruken av en DES, to-nøkkel 3DES, tre-nøkkel 3DES og AES kryptering; mens Fire er et akronym for Rask, innovativ, pålitelig og forbedret.

MIFARE DESFire (MF3ICD40) ble introdusert i 2002 og er basert på en kjerne som ligner på SmartMX, med flere maskinvare- og programvaresikkerhetsfunksjoner enn MIFARE Classic.
Den leveres forhåndsprogrammert med det generelle MIFARE DESFire-operativsystemet som tilbyr en enkel katalogstruktur og filer. De selges i fire varianter: En med kun Triple-DES og 4 KiB lagringsplass, og tre med AES (2, 4 eller 8 kB; se MIFARE DESFire EV1). AES-variantene har ekstra sikkerhetsfunksjoner; f.eks. CMAC. MIFARE DESFire bruker en protokoll som er kompatibel med ISO/IEC 14443-4. Den kontaktløse IC er basert på en 8051-prosessor med 3DES/AES kryptografisk akselerator, noe som gjør svært raske transaksjoner mulig.

Maksimal lese-/skriveavstand mellom kort og leser er 10 centimeter (3,9 tommer), men den faktiske avstanden avhenger av feltkraften generert av leseren og dens antennestørrelse.

I 2010 kunngjorde NXP avviklingen av MIFARE DESFire (MF3ICD40) etter at den hadde introdusert etterfølgeren MIFARE DESFire EV1 (MF3ICD41) sent i 2008.
I oktober 2011 kunngjorde forskere ved Ruhr University Bochum at de hadde brutt sikkerheten til MIFARE DESFire (MF3ICD40), som ble bekreftet av NXP.

MIFARE DESFire EV1

MIFARE DESFire EV1 ble offentlig kunngjort i november 2006.
Første utvikling av MIFARE DESFire kontaktløs IC der stort sett bakover kompatibel. Tilgjengelig med 2 KiB, 4 KiB og 8 KiB. Nye funksjoner inkluderer:

• Støtte for tilfeldig ID.
• Støtte for 128-bit AES
• Maskinvare og operativsystem er Common Criteria-sertifisert på nivå EAL 4+.

MIFARE DESFire EV2

Den andre utviklingen av MIFARE DESFire kontaktløse IC-familien, stort sett bakoverkompatibel.
MIFARE DESFire EV2 ble offentlig kunngjort i mars 2016.
Nye funksjoner inkluderer:

• MI smart app som gjør det mulig å tilby eller selge minneplass for tilleggsapplikasjoner fra tredjeparter uten behov for å dele hemmelige nøkler.
• Transaksjons-MAC for å autentisere transaksjoner fra tredjeparter.
• Virtuell kortarkitektur for personvern.
• Proximity check mot relay angrep

MIFARE DESFire EV3

Den siste utviklingen av MIFARE DESFire kontaktløse IC-familien, stort sett bakover kompatibel. Nye funksjoner inkluderer:

• ISO/IEC 14443 A 1–4 og ISO/IEC 7816-4-kompatibel.
• Common Criteria EAL5+ sertifisert for IC maskinvare og programvare.
• NFC Forum Tag Type 4-kompatibel.
• SUN-meldingsautentisering for avansert databeskyttelse innenfor standard NDEF-leseoperasjon.
• Valg av åpne DES/2K3DES/3K3DES/AES kryptoalgoritmer.
• Fleksibel filstruktur: er vert for så mange applikasjoner som minnestørrelsen støtter.
• Bevis på transaksjon med kortgenerert MAC.
• Transaksjonstidtaker reduserer risikoen for man-in-the-midten-angrep

Undertyper: MIFARE DESFire EV1, MIFARE DESFire EV2, MIFARE DESFire EV3 og MIFARE DESFire Light.