A biztonság és a testreszabás fokozása jó{0}}minőségű üres intelligens kártyákkal

 

 

A chipek kiválasztása az a hely, ahol a legtöbb üres intelligenskártya-projekt hosszú távú-sikert ér el, vagy csendesen beállítja magát egy hat hónappal későbbi-utánrendelésre. Az alábbi táblázat leképezi a leggyakrabban beszerzett chipcsaládokat azokra a méretekre, amelyek ténylegesen befolyásolják a beszerzési döntést.

 

Chip család	Frekvencia / Szabvány	Tipikus alkalmazás	Biztonsági szint	Kulcskorlátozás
MIFARE Classic 1K/4K	13,56 MHz / ISO 14443-A	Alapbejárati ajtók, törzsvásárlói kártyák	Alacsony (Crypto-1, törött)	Ismert sebezhetőségek; klónozható
MIFARE DESFire EV2/EV3	13,56 MHz / ISO 14443-A	Biztonságos beléptetés, tranzit, fizetés	Magas (AES-128, EAL5+)	Magasabb egységköltség
MIFARE Plus	13,56 MHz / ISO 14443-A	Frissítési útvonal a klasszikus rendszerekről	Közepes – magas (SL3 mód)	Olvasó firmware-frissítése szükséges az SL3-hoz
NTAG 213/215/216	13,56 MHz / ISO 14443-A	NFC mobil interakció, eszközcímkézés	Alacsony – Közepes	Korlátozott memória; nem hozzáférés-szabályozáshoz
SLE4442/SLE4428	Kapcsolatfelvétel / ISO 7816	Tárolt{0}}értékkártyák, régi azonosító rendszerek	Közepes (PIN{0}}védett)	Csak{0}}kapcsolat; nincs érintés nélküli képesség
T5577	125 kHz (LF)	Legacy proximity hozzáférés, klónozás	Nagyon alacsony	Nincs titkosítás; triviálisan sokszorosított

 

Húzza ki a modellszámot a telepített olvasókról, mielőtt bármilyen MIFARE üres kártyát rendelne ajtóbelépő rendszerekhez. Ha az integrátor 48 órán belül nem tudja megerősíteni a protokoll támogatását, kezelje azt kompatibilitási kockázatként, nem pedig kellemetlenségként. Egy régebbi, szabadalmaztatott olvasókat futtató létesítmény általában nem tudja használni a DESFire kártyákat köztesszoftver-módosítás vagy hardvercsere nélkül, és ennek felfedezése 2000 kártya kiszállítása után öt{5}}számjegyű probléma.

Ha beszerzést végezüres NFC-kártyák tömegesenúj telepítés esetén a gyakoriság és a protokoll ellenőrzése nem{0}}tárgyalható. De itt van az a rész, amelyet a legtöbb chip-kiválasztási útmutató kihagy: az ISO 14443-A (MIFARE, NTAG) és az ISO 15693 (ICODE) még ugyanazon a frekvenciasávon belül is eltérő kommunikációs protokollokat használ. Az egyikhez konfigurált olvasó nem érzékeli a másikat. A kompatibilitás ellenőrzésének egyetlen megbízható módja a tényleges mintakártyák tesztelése a ténylegesen telepített olvasókkal, nem pedig az adatlapok összehasonlítása. A Syntek a mintatételeket pontosan az Ön által megadott chipváltozatban szállítja; lásdelérhető üres intelligens kártya konfigurációkmielőtt elkötelezi magát a mennyiség mellett.

 

Ha tömegesen szerez be üres NFC-kártyákat egy új telepítéshez, a gyakoriság és a protokoll ellenőrzése nem{0}}tárgyalható. De itt van az a rész, amelyet a legtöbb chip-kiválasztási útmutató kihagy: az ISO 14443-A (MIFARE, NTAG) és az ISO 15693 (ICODE) még ugyanazon a frekvenciasávon belül is eltérő kommunikációs protokollokat használ. Az egyikhez konfigurált olvasó nem érzékeli a másikat. A kompatibilitás ellenőrzésének egyetlen megbízható módja a tényleges mintakártyák tesztelése a ténylegesen telepített olvasókkal, nem pedig az adatlapok összehasonlítása. A Syntek a mintatételeket pontosan az Ön által megadott chipváltozatban szállítja; tekintse meg a rendelkezésre álló üres intelligens kártya-konfigurációkat, mielőtt elkötelezi magát a kötetre.

 

 

Itt van egy álláspont, amelyet a legtöbb üres kártya szállítója nem mond egyértelműen:MIFARE Classicmár nem védhető választás olyan alkalmazásoknál, ahol a kártya klónozása jelentős kockázatot jelent.Ez magában foglalja a vállalati ajtók belépését, a szállodai szobák kulcsait, a parkolási rendszereket és lényegében minden olyan használati esetet, amikor a duplikált kártya fizikai belépést biztosít.

 

Ez nem elméleti aggály. 2024-ben a Quarkslab biztonsági kutatói felfedtek egy hardveres hátsó ajtót az FM11RF08S chipekben, egy széles körben használt kínai gyártású változatban, amelyet „MIFARE Classic-kompatibilisként” forgalmaznak. A hátsó ajtó lehetővé teszi a teljes kártya klónozást percek alatt, a kereskedelemben kapható olvasón kívül bármilyen speciális berendezés nélkül (Biztonsági hét). Az Egyesült Államokban, Európában és Indiában található szállodákról kiderült, hogy anélkül használták ezeket a chipeket, hogy észrevették volna, hogy kártyáik nem eredeti NXP{1}}gyártású MIFARE Classic IC-k. A megrendeléseket feladó beszerzési csoportok értékelték az árat és közölték a kompatibilitást, de nem a kártyán belüli szilíciumot.

 

 

A University College London korábbi tudományos munkái már bizonyították, hogy még az autentikus MIFARE Classic kártyák is klónozhatók pusztán a közelség révén, nincs szükség olvasói hozzáférésre, a kutatók által "csak kártyatámadásnak" nevezett{0}}UCL Discovery). A Quarkslab megállapításai megerősítették, hogy a probléma nemcsak fennmaradt, hanem az ellátási lánc helyettesítése miatt súlyosbodott is.

 

A klasszikus{0}}alapú üres érintés nélküli intelligens kártyákat továbbra is használó szervezetek gyakorlati frissítése a meglévő infrastrukturális beruházásoktól függ:

 

A forgatókönyv - Az olvasó hardvere támogatja a MIFARE Plust.Váltson MIFARE Plus kártyákra, és állítsa be az olvasókat a 3. biztonsági szint (SL3) módra, amely aktiválja az AES-128-as titkosítást. Ez a legalacsonyabb-költségű migrációs útvonal, mert újra felhasználja a meglévő olvasókat, de ehhez firmware-frissítésre és az összes kártya újraregisztrálására van szükség.

 

B forgatókönyv - Az olvasók csak az élet-vége-vagy a klasszikus-felhasználók.Költségvetés az olvasó teljes cseréjéhez, és váltson közvetlenül a MIFARE DESFire EV3-ra. A kártyánkénti-költség magasabb, de a DESFire EAL5+-tanúsítványa és rugalmas alkalmazásstruktúrája jelentősen csökkenti az újabb kényszerített migráció valószínűségét a klasszikus-alapú infrastruktúrához képest.

 

C forgatókönyv - Alacsony-biztonságú, nem-kritikus alkalmazás(cafeteria törzsvásárlói kártyák, látogatói jelvények). A Classic vagy az NTAG továbbra is elfogadható, de csak akkor, ha a kártya semmilyen fizikai hozzáférési jogot nem ad. Ha a látogatói zóna ugyanazon az ajtó-hozzáférési infrastruktúrán osztozik, mint az alkalmazotti területeken, még csak részben is, ez a kivétel nem érvényesül, és értékelnie kell az A vagy B forgatókönyvet.

 

Az A és B forgatókönyv közötti szakadék az, ahol a legtöbb beszerzési költségvetés megakad. A Plus SL3 migráció és a teljes DESFire bevezetés közötti költségkülönbség a telepítésre jellemző változóktól függ: a fennmaradó olvasóbérleti feltételektől, az újrajelentkezéshez szükséges informatikai létszámtól{2}, és attól, hogy a biztonsági csapat rendelkezik-e közvetlen költségvetési jogosultsággal. De a döntési keret világos. Ha olvasóit 2019 előtt telepítették, és bármilyen megfelelőségi vagy biztosítási követelmény van a hozzáférés-szabályozáshoz kötve, a Classicon való tartózkodás költsége már magasabb, mint az áttelepítés. A 2019 előtt telepített olvasók többsége a MIFARE Plus 3. biztonsági szint firmware-támogatása nélkül kerül kiszállításra, ami azt jelenti, hogy a Classic -to{10}}Plus migráció nem lehetséges, és az olvasó teljes cseréje lesz az egyetlen frissítési út.

 

A kártyatesttől a kódolt jelvényig: A megfelelő testreszabás

 

Egy üres intelligens kártya csak a termék fele. A másik fele az, ami megérkezése után történik: nyomtatás, kódolás, laminálás és kiadás. Azok a beszerzési előírások, amelyek figyelmen kívül hagyják ezt a második fázist, olyan problémákat okoznak, amelyek csak a gyártás során merülnek fel.

 

A testreszabási hibák leggyakoribb forrása a kártyatest anyaga és a nyomtató kompatibilitása. A leképezés nem intuitív, és ha téved, a kártyák és a nyomtatási szalagok elpazarolnak:

 

Kártya anyaga	Kompatibilis nyomtatótípus	Gyakori eltérés
PVC (standard)	Közvetlen-a-kártyára hőátvitel, festék-szublimáció	Nincs (a legtöbb asztali nyomtató)
PET-G	Csak nyomtatók újraküldése	Közvetlen-a-kártyanyomtatóra táplálva → elkenődött kimenet
Polikarbonát (PC)	Retranszfer vagy lézergravírozás	Hőátadás → tapadási hiba heteken belül

 

A felületkezelés ugyanilyen fontosüres chipkártyák azonosítók nyomtatásához. A fedőréteg nélkül szállított kártyák vékony laminált réteg, amely befogadja a tintát és védi a nyomtatott képet, olyan nyomatokat készít, amelyek heteken belül elkenődnek, és hónapokon belül lehámlanak. Ha a beszerzési specifikációban nem szerepel kifejezetten a „nyomtatható felület védőfedéssel”, akkor ne feltételezze, hogy tartalmazza. A chip érintkezési területére vagy az antennatekercs területére történő teljes kiürítéshez a nyomtatófej nyomásának kalibrálása szükséges; a beágyazott alkatrészek feletti enyhe felületi egyenetlenség sávosodást vagy tintaüregeket okoz, ha nem kezelik.

 

 

Az ofszet-nyomtatott üres intelligens azonosítókártyák az alkalmazottak számára további 10–15 munkanapot igényelnek az egyszerű fehér készlet átfutási idején túl, a tervezés bonyolultságától függően. Ez a helyszíni személyre szabástól-különálló gyártási lépés: a gyár a chipbeágyazás előtt ofszetnyomtatással alkalmazza a háttérgrafikát, amihez a kártyagyártó bevonása szükséges.OEM/ODM testreszabási szolgáltatásokaz alkotások regisztrációjának összehangolása a chip és az antenna elhelyezésével.

 

A kódolás, az a lépés, ahol a hozzáférési hitelesítő adatok vagy a kártyatulajdonos adatok a chipre íródnak, a személyre szabás utolsó szakasza. A legtöbb vállalati telepítés a kódolást a webhelyen-kezeli az identitáskezelő szoftverükbe integrált asztali olvasókkal. A kártyarendelés kiszállítása előtt győződjön meg arról, hogy kódolója támogatja az adott chipváltozatot és kommunikációs protokollt. Tapasztalataink szerint a regisztráció során észlelt inkompatibilitás általában 3-6 hét késéssel jár, amíg a cserekártyák beszerzése, tesztelése és újra{6}}szállítása megtörténik. Szállodák esetében ez azt jelenti, hogy a főszezonban a recepció nem adhat ki szobakulcsokat.

 

Öt beszerzési hiba, amelyek többe kerülnek, mint maguk a kártyák

 

A frekvencia eltérés a leggyakoribb és leginkább megelőzhető hiba. Az alacsony frekvenciájú (125 kHz) és a magas frekvenciájú (13,56 MHz) kártyák fizikailag azonosak: azonos méretek, ugyanolyan fehér PVC megjelenés, azonos súly. Ezenkívül a protokollal-teljesen inkompatibilisek. Az a létesítmény, amely 125 kHz-es olvasókat üzemeltet és 13,56 MHz-es üres RFID-kártyákat rendel a beléptetéshez, csak akkor fedezi fel a problémát, ha a kártyák nem szkennelnek. A kiváltó ok általában egy beszerzési űrlap, amely megadja az "RFID hozzáférési kártyákat" a gyakoriság megadása nélkül, és egy szállító, amely a legnépszerűbb cikkszámukat szállítja. Mindig adja meg a pontos frekvenciát és protokollt.

 

Az ugyanazon frekvenciasávon belüli protokoll eltérés finomabb.Az ISO 14443-A (MIFARE, NTAG) és az ISO 15693 (ICODE, Tag-it) egyaránt 13,56 MHz-en működik, de eltérő ütközésgátló és kommunikációs protokollokat használnak. Az 14443-A-hoz konfigurált olvasó nem érzékeli az 15693-as kártyát. Ez a megkülönböztetés gyakran megragadja azokat a beszerzési csapatokat, amelyek tömegesen szerzik be az üres NFC-kártyákat vegyes felhasználású projektekhez.

 

A tömeges megrendelés előtti mintavizsgálat kihagyása minden kockázatot a vevőre hárít.Az iparági gyakorlat az RFID-kártya gyártása során egyértelmű: a chiptípus megerősítése és a gyártás megkezdése után a kiválasztási hibák az ügyfél felelőssége. A neves gyártók éppen ezért kínálnak mintatételeket. Ha egy szállító elriasztja a mintákat, vagy túlzottan díjat számít fel a mintákért, kezelje azt piros zászlóként. Mielőtt elkötelezné magát a mennyiség mellett,kérjen 10-20 kártyaminta kötegetés teszteljen minden kártyát a telepített olvasókkal és kódolószoftverekkel.

 

A kártya felületkezelésének figyelmen kívül hagyása a nyomtatási minőség hibáihoz vezet.A rátét nélküli kártyák megbízhatatlan nyomatokat eredményeznek. Ez a hiba különösen gyakori, ha üres, érintés nélküli intelligens kártyákat nagykereskedelmi forgalomban olyan közvetítőktől szerzünk be, akik az egységárra optimalizálnak, nem pedig a későbbi felhasználhatóságra.

 

A gyári láthatóság nélküli közvetítőktől való beszerzés a legdrágább hiba, és a legnehezebb észlelni.Ha egy kereskedelmi vállalat közted és a tényleges gyártó között ül, elveszíted a rálátásod a chipek beszerzésére. A Quarkslab szállodakártya sebezhetősége közvetlenül az ellátási lánc átláthatatlanságára vezethető vissza: a beszerzési csapatok megrendelték a "MIFARE Classic"-ot, és egy másik gyártótól kapták meg az FM11RF08S szilíciumot, hardveres hátsó ajtóval, amelyet nem tudtak vizuális ellenőrzéssel vagy alapvető funkcionális teszteléssel észlelni. Ez nem elméleti kockázat. Ez a dokumentált oka az elmúlt évek legnagyobb RFID beléptetőkártya-biztonsági incidensének.

 

Üres intelligenskártya-beszállító értékelése: mit nem mutat az árajánlatlap

 

Minden RFID kártya beszállító árajánlatában szerepel az egységár, a chip típusa és az átfutási idő. Egyikük sem sorolja fel a chip{1}}szintű hitelesség-ellenőrzést, a laminált ragasztási szilárdság tesztelését, vagy azt, hogy mi történik, ha az első gyártási futtatás sikertelen a kompatibilitási ellenőrzéseken. Ezek a láthatatlan sorok azok, amelyek elválasztják a gyártót a viszonteladótól, és amelyek meghatározzák, hogy a MIFARE chipekkel ellátott üres intelligens kártyák valóban tartalmazzák-e az Ön által megadott NXP szilíciumot.

 

 

Néhány kérdés, amely felfedi a különbséget: A szállító saját chipbeágyazó és lamináló berendezést üzemeltet, vagy kiszervezi a gyártást meg nem nevezett harmadik feleknek? Tudnak-e chip{0}}szintű tesztjelentést adni minden egyes tételről, amely a tényleges IC gyártót és a szerszám verzióját mutatja, nem csak a „MIFARE Classic kompatibilis” kifejezést? Kínálnak kódolt mintakártyákat az olvasókkal szembeni funkcionális teszteléshez, vagy csak üres vizuális mintákat?

 

A Synteknél az ellenőrzési folyamatot a fent leírt pontos hibamód köré építettük fel. Amikor egy délkelet-ázsiai vendéglátós csoport hozzánk érkezett, miután felfedezte, hogy a már meglévő kártyáik FM11RF08-at tartalmaznak, annak ellenére, hogy MIFARE Classicként számlázták ki őket, kötegelt-szintű IC azonosítást végeztünk a bejövő tételen, megerősítettük az FM11RF08-as cserét az első tesztkártya-szkenneléstől számított 48 órán belül, és kicseréltük a teljes megrendelést az NverX{7}DESreFi7} két hét. Korábbi beszállítójuk egy kereskedelmi cég volt, amely nem látott rá a forgácsgyártási rétegre. Házon belüli gyártásunk, beleértve a CNC-laminálást, a nagy sebességű{12}kódolást és a 100%-ban automatizált IC-ellenőrzést egy 4500 m²-es létesítményben, kifejezetten azért létezik, hogy amikor DESFire EV3 feliratú üres intelligens kártyákat szállítunk, a benne lévő szilícium megegyezik a címkével. 2006 óta gyártunk RFID-kártyákat, és azért fektetünk be a chip{19}}szintű minőségellenőrzésbe, mert láttuk, mi történik, ha hiányzik. Fedezze fel a teljesüres chipkártya termékcsaláda rendelkezésre álló konfigurációk megtekintéséhez chipcsalád és alaktényező szerint.

 

Az ISO 9001-es tanúsítvány kiindulópont, nem pedig megkülönböztetés; a legtöbb gyár tartja. Valójában az számít, hogy a beszállító képes-e chip{2}}szintű tesztjelentést készíteni, amely bemutatja az IC gyártóját és a szerszám revízióját minden egyes gyártási tételhez. Ezen túlmenően ellenőrizze, hogy hajlandó-e biztosítani a gyári ellenőrzési hozzáférést, a közzétett MOQ-rugalmasságot és a dokumentált átfutási időket mind a sima fehér készletek, mind az egyéni -nyomtatott kártyatestek esetében. A Syntek már 100 darabos mintarendelést is elfogad 3-5 napos átfutási idővel, és a mintaköltség az első tömeges megrendelés után kerül jóváírásra.

Készen áll arra, hogy ellenőrizze, melyik chip konfiguráció illik rendszeréhez, mielőtt elkötelezi magát a kötetre?Kérjen ingyenes mintátés tesztelje a telepített olvasókat.