RTV forum PL | NewsGroups PL

karty RFID

NOWY TEMAT

elektroda NewsGroups Forum Index - Elektronika Polska - karty RFID

Goto page 1, 2, 3  Next

J.F.
Guest

Sat Mar 16, 2019 10:35 pm   



karty, breloczki, tagi czy jak sie to zwie ...

popularny standard to 10 cyfrowa liczba ...
a jak jest z bezpieczenstwem tego ?

Mozna gdzies zamowic o zadanym numerze, albo zasymulowac samemu, czy
jest to jakos szyfrowane ?
Ale chyba kiepsko szyfrowane ?

J.

Zbych
Guest

Sat Mar 16, 2019 11:17 pm   



J.F. wrote on 16.03.2019 22:35:
Quote:

karty, breloczki, tagi czy jak sie to zwie ...

popularny standard to 10 cyfrowa liczba ...
a jak jest z bezpieczenstwem tego ?

Ale precyzyjne pytanie zadałeś. Generalnie sam numer seryjny nie
zapewnia żadnego bezpieczeństwa, każdy go może odczytać.

Bezpieczeństwa się wymaga od innych funkcji karty (np. dostęp do bloków
pamięci, liczników itp.)

Quote:
Mozna gdzies zamowic o zadanym numerze, albo zasymulowac samemu, czy
jest to jakos szyfrowane ?

Zależy jaki standard, są emulatory kart, są karty z niezaprogramowanym
numerem seryjnym i sam go nadajesz.

Quote:
Ale chyba kiepsko szyfrowane ?

Poziom bezpieczeństwa jest proporcjonalny do ceny karty. Możesz kupić
kartę za 0.3$ z ułudą bezpieczeństwa (jak mifare classic) albo kartę za
10$ z wirtualną maszyną javy na pokładzie i silnikiem kryptograficznym.

yabba
Guest

Sun Mar 17, 2019 5:25 pm   



W dniu 16-03-2019 o 22:35, J.F. pisze:
Quote:

karty, breloczki, tagi czy jak sie to zwie ...

popularny standard to 10 cyfrowa liczba ...
a jak jest z bezpieczenstwem tego ?

Mozna gdzies zamowic o zadanym numerze, albo zasymulowac samemu, czy
jest to jakos szyfrowane ?
Ale chyba kiepsko szyfrowane ?


Standard Unique. Można kupić bez problemu czyste karty i urządzenia do
programowania.

Standard Mifare Classic. Widziałem jak kartę zasymulowano telefonem z NFC.


yabba

Piotr Gałka
Guest

Mon Mar 18, 2019 2:40 pm   



W dniu 2019-03-17 o 17:25, yabba pisze:
Quote:

Standard Mifare Classic. Widziałem jak kartę zasymulowano telefonem z NFC.


W napisanej w 2003r książce wyczytałem, że nie należy ufać żadnemu
standardowi w którym algorytmy są tajne i jako przykład było podane
właśnie Mifare Clasic. Autorzy (Fergusson, Schneier) sugerowali, że
skoro algorytmy są tajne więc na pewno słabe i oni przewidują, że ktoś
to kiedyś złamie. Mieli rację - pierwsze informacje o skutecznym łamaniu
pojawiły się chyba w 2005r (nie chce mi się szukać).
Oparte było na małej losowości generowanej liczby losowej przez kartę po
jej zbliżeniu do czytnika. Ale oni (matematycy/informatycy) i tak
dostawali chyba kilkadziesiąt liczb bo działali na zasadzie ręcznego
zbliżania karty do czytnika i ogólnie całe łamanie to były chyba wtedy
godziny. Teraz to podobno sekundy.

Nie znamy tych tajnych algorytmów - nie umiemy złamać takiej karty, ale
jak doszliśmy (elektronicy) do próby komunikacji z taką kartą to dla
karty leżącej na czytniku, gdy po włączeniu pola anteny zawsze w tym
samym czasie karta była pytana o numer losowy to dostawaliśmy (nie ja to
robiłem - info nie musi być dokładne) w około 60% przypadków jeden
numer, chyba w 30% jakiś drugi i w 10% kilka innych.

Ja nie rozmawiam z klientami, ale podobno ostatnio jakiś wręcz żądał,
aby nasz system działał na Mifare Classic bo norma dla grade 3 wymaga
tylko kart szyfrowanych a one są szyfrowane a on nie chce przepłacać za
karty.

Ciągle mnie zadziwia, że klienci nadal w większości kupują systemy na
karty Unique.
P.G.

J.F.
Guest

Mon Mar 18, 2019 3:46 pm   



Użytkownik "Zbych" napisał w wiadomości grup
dyskusyjnych:5c8d7607$0$477$65785112_at_news.neostrada.pl...
J.F. wrote on 16.03.2019 22:35:
Quote:
karty, breloczki, tagi czy jak sie to zwie ...
popularny standard to 10 cyfrowa liczba ...
a jak jest z bezpieczenstwem tego ?

Ale precyzyjne pytanie zadałeś. Generalnie sam numer seryjny nie
zapewnia żadnego bezpieczeństwa, każdy go może odczytać.

Odczytac moze kazdy, pytanie czy moze wygenerowac :-)

Quote:
Bezpieczeństwa się wymaga od innych funkcji karty (np. dostęp do
bloków pamięci, liczników itp.)

Mam wrazenie, ze wiele systemow na tym numerze seryjnym konczy.

Quote:
Mozna gdzies zamowic o zadanym numerze, albo zasymulowac samemu,
czy
jest to jakos szyfrowane ?

Zależy jaki standard, są emulatory kart, są karty z
niezaprogramowanym numerem seryjnym i sam go nadajesz.

Ale chyba kiepsko szyfrowane ?
Poziom bezpieczeństwa jest proporcjonalny do ceny karty. Możesz kupić
kartę za 0.3$ z ułudą bezpieczeństwa (jak mifare classic) albo kartę
za 10$ z wirtualną maszyną javy na pokładzie i silnikiem
kryptograficznym.

Ale taki nr seryjny to jest ułuda bezpieczenstwa, czy nawet nie ?

J.

Zbych
Guest

Mon Mar 18, 2019 4:19 pm   



W dniu 18.03.2019 o 15:46, J.F. pisze:
Quote:
Użytkownik "Zbych"  napisał w wiadomości grup
dyskusyjnych:5c8d7607$0$477$65785112_at_news.neostrada.pl...
J.F. wrote on 16.03.2019 22:35:
karty, breloczki, tagi czy jak sie to zwie ...
popularny standard to 10 cyfrowa liczba ...
a jak jest z bezpieczenstwem tego ?

Ale precyzyjne pytanie zadałeś. Generalnie sam numer seryjny nie
zapewnia żadnego bezpieczeństwa, każdy go może odczytać.

Odczytac moze kazdy, pytanie czy moze wygenerowac Smile

Nie wiem, ale się domyślam Smile, że może. W przypadku unique są i
emulatory, i karty Q5, którym sam nadajesz numer.
W przypadku mifare classic możesz kupić karty z "pustym numerem" i ten
numer nadać. Emulatory też są.


Quote:
Poziom bezpieczeństwa jest proporcjonalny do ceny karty. Możesz kupić
kartę za 0.3$ z ułudą bezpieczeństwa (jak mifare classic) albo kartę
za 10$ z wirtualną maszyną javy na pokładzie i silnikiem
kryptograficznym.

Ale taki nr seryjny to jest ułuda bezpieczenstwa, czy nawet nie ?

Resztki Ułudy jeśli musisz ten numer zgadnąć i brak ułudy gdy możesz go
z innej karty odczytać.

yabba
Guest

Mon Mar 18, 2019 6:36 pm   



W dniu 18-03-2019 o 14:40, Piotr Gałka pisze:
Quote:
W dniu 2019-03-17 o 17:25, yabba pisze:

Ja nie rozmawiam z klientami, ale podobno ostatnio jakiś wręcz żądał,
aby nasz system działał na Mifare Classic bo norma dla grade 3 wymaga
tylko kart szyfrowanych a one są szyfrowane a on nie chce przepłacać za
karty.

Ciągle mnie zadziwia, że klienci nadal w większości kupują systemy na
karty Unique.

Jak sam napisałeś, nie rozmawiasz z klientami i nie znasz ich zachowań.
Klient jak porówna jedną ofertę ze 100 kartami za 200 zł z drugą ofertą
500 zł za 100 kart, to w 90% wybierze w ciemno tańszą ofertę. W 5%
zapyta się na czym polega różnica i też wybierze tańsze. Tylko pozostałe
5% jest świadome czego chce i wybierze najbezpieczniejsze rozwiązanie.


yabba

Pawel \"O'Pajak\"
Guest

Mon Mar 18, 2019 9:35 pm   



W dniu 2019-03-18 o 14:40, Piotr Gałka pisze:
Quote:
ogólnie całe łamanie to były chyba wtedy godziny. Teraz to podobno sekundy.
Mifare każe sobie czekać 100ms na podanie następnej komendy, więc atak

typu brutal force na 48bitowe hasło... well, świat krócej istnieje.
Tych sektorów jest 16, więc da się zrobić to wyjątkowo upierdliwe do
złamania. Ponadto wiele zależy od systemu KD. W pewnej instytucji był
sobie prosty acz rozległy system na kartach Unique. Ale w tej jednej
jedynej firmie wgrali zdjęcia pracowników i cieć widział, czy wchodzi
posiadacz karty. No i pewnego pana wyprowadzili w kajdankach.


Pozdroofka,
Pawel Chorzempa
--
"-Tato, po czym poznać małą szkodliwość społeczną?
-Po wielkiej szkodzie prywatnej" (kopyrajt: S. Mrożek)
******* >>> !!! UWAGA: ODPOWIADAM TYLKO NA MAILE:
moje imie.(kropka)nazwisko, ten_smieszny_znaczek, gmail.com

J.F.
Guest

Mon Mar 18, 2019 10:07 pm   



Dnia Mon, 18 Mar 2019 21:35:39 +0100, Pawel "O'Pajak" napisał(a):
Quote:
W dniu 2019-03-18 o 14:40, Piotr Gałka pisze:
ogólnie całe łamanie to były chyba wtedy godziny. Teraz to podobno sekundy.
Mifare każe sobie czekać 100ms na podanie następnej komendy, więc atak
typu brutal force na 48bitowe hasło... well, świat krócej istnieje.

A w druga strone - przykladamy cos i wysylamy losowe nr/kody do
czytnika ?

Quote:
Tych sektorów jest 16, więc da się zrobić to wyjątkowo upierdliwe do
złamania. Ponadto wiele zależy od systemu KD. W pewnej instytucji był
sobie prosty acz rozległy system na kartach Unique. Ale w tej jednej
jedynej firmie wgrali zdjęcia pracowników i cieć widział, czy wchodzi
posiadacz karty. No i pewnego pana wyprowadzili w kajdankach.

shackowal czy ukradl karte ?
Szpieg czy zlodziej ?

A swoja droga - wgrali na karty, czy na jakis serwer - bo to nawet
bezpieczniej jesli nie na karte ...

J.

Guest

Tue Mar 19, 2019 2:03 pm   



Na centralkę lub oprogramowanie na PC, proste w sumie.


-----
Quote:
wgrali na karty, czy na jakis serwer - bo to nawet bezpieczniej jesli nie na karte

J.

Sebastian Biały
Guest

Tue Mar 19, 2019 7:28 pm   



On 16/03/2019 22:35, J.F. wrote:
Quote:
a jak jest z bezpieczenstwem tego ?

Średnio, dlatego idzie w inną stronę:

https://www.yubico.com/product/yubikey-5-nfc/

Da się wyrwać "taki sam" za ok. $15 na amazonie.

Fido U2F.

Queequeg
Guest

Tue Mar 19, 2019 8:30 pm   



Piotr Gałka <piotr.galka_at_cutthismicromade.pl> wrote:

Quote:
Ciągle mnie zadziwia, że klienci nadal w większości kupują systemy na
karty Unique.

Widocznie im to wystarcza. Cena czyni cuda.

U mnie na osiedlu nadal jest Unique, co bardzo mnie cieszy, bo nie muszę
nosić tego nieporęcznego breloczka -- skopiowałem sobie go na kartę i
noszę w portfelu.

--
Eksperymentalnie: http://facebook.com/groups/pl.misc.elektronika

Piotr Gałka
Guest

Tue Mar 19, 2019 8:41 pm   



W dniu 2019-03-18 o 22:07, J.F. pisze:
Quote:
W pewnej instytucji był
sobie prosty acz rozległy system na kartach Unique. Ale w tej jednej
jedynej firmie wgrali zdjęcia pracowników i cieć widział, czy wchodzi
posiadacz karty. No i pewnego pana wyprowadzili w kajdankach.

shackowal czy ukradl karte ?
Szpieg czy zlodziej ?

A swoja droga - wgrali na karty, czy na jakis serwer - bo to nawet
bezpieczniej jesli nie na karte ...


Jeśli Unique to nie qgrali na karty.
P.G.

Piotr Gałka
Guest

Tue Mar 19, 2019 8:52 pm   



W dniu 2019-03-18 o 21:35, Pawel "O'Pajak" pisze:
Quote:
W dniu 2019-03-18 o 14:40, Piotr Gałka pisze:
ogólnie całe łamanie to były chyba wtedy godziny. Teraz to podobno
sekundy.
Mifare każe sobie czekać 100ms na podanie następnej komendy, więc atak
typu brutal force na 48bitowe hasło... well, świat krócej istnieje.

Tu chodziło o to, że algorytm słaby. Algorytm ma to do siebie, że musi
być wszędzie gdzie dane rozwiązanie jest stosowane więc jest mnóstwo
miejsc z których można próbować go (tajnego) wydobyć i jest tylko
kwestią czasu kiedy ktoś to zrobi. Klucze w odróżnieniu od algorytmu są
tylko w jednym miejscu (każdy w innym).
A algorytmy tajne są zazwyczaj nie przebadane przez kryptologów więc
jest duża szansa, że jak się za niego wezmą to znajdą słabe punkty.
Tyle mniej więcej ci faceci napisali w tej książce. I o ile się
orientuję właśnie na słabości algorytmu był oparty atak. Na pewno
słabość generatora liczb losowych była pierwszym punktem zaczepienia.
P.G.

J.F.
Guest

Tue Mar 19, 2019 9:28 pm   



Dnia Tue, 19 Mar 2019 20:52:04 +0100, Piotr Gałka napisał(a):
Quote:
Tu chodziło o to, że algorytm słaby. Algorytm ma to do siebie, że musi
być wszędzie gdzie dane rozwiązanie jest stosowane więc jest mnóstwo
miejsc z których można próbować go (tajnego) wydobyć i jest tylko
kwestią czasu kiedy ktoś to zrobi.

Z tym, ze to moze byc polowa algorytmu.

Quote:
Klucze w odróżnieniu od algorytmu są
tylko w jednym miejscu (każdy w innym).
A algorytmy tajne są zazwyczaj nie przebadane przez kryptologów więc
jest duża szansa, że jak się za niego wezmą to znajdą słabe punkty.
Tyle mniej więcej ci faceci napisali w tej książce.

Taka oficjalna wersja.
Im wiecej naukowcow pracuje i nie moze zlamac - tym wieksza szansa, ze
algorytm mocny.
Ale trzeba przyznac, ze utajnienie mocno utrudnia, a kryptologow
producent/wynalazca moze zatrudnic.

Zobacz na Niemcow. Enigma byla niemal jawna, i jak skonczyli.

J.

Goto page 1, 2, 3  Next

elektroda NewsGroups Forum Index - Elektronika Polska - karty RFID

NOWY TEMAT

Regulamin - Zasady uzytkowania Polityka prywatnosci Kontakt RTV map News map