Radio Frequency IDentification (RFID) II.
1
Ismétlés •Több működési frekvencia •Energiaellátás szerint különböző megoldások
•ISO 14443-A – 13.56 Mhz, passzív energiaellátás, 10 cm-es hatókör •Implementációk: Sony Felica, Calypso, MIFARE •Adatszervezés szempontjából: •Memória szervezés
•Alkalmazás/Fájl szervezés
2
Memória szervezés •
Az elérhető memóriaterület szektorokra és azon belül is blokkokra kerül felosztásra.
•
Minden blokk külön címezhető
•
A blokkokkal végezhető műveletek pl.: írás, olvasás, inkrementálás, dekrementálás
•
Dedikált blokkok:
•
0. szektor, 0. blokk – Gyártói információk tárolása
•
Minden szektor utolsó blokk – A szektorra vonatkozó jogosultsági beállítások és a szimmetrikus 3 kulcsok
Fájl/Alkalmazás szervezés
4
MIFARE Ultralight •512 bit memóriaterület -> 1 szektor (4 blokk) •Nincs kártya által támogatott titkosítás
•Kifejezetten olcsó -> eldobható jegyek tárolása •2006-os foci VB jegyek •Közlekedésben a vonaljegy/napijegy tárolására alkalmas
2008-ban bejelentették az Ultralight C(rypto)
•1536 bit -> 3 szektor •3DES authentikáció 5
MIFARE Plus •A MIFARE Classic kártyák lecserélését célozza meg •4 SL (Security Level)
•SL0 - Gyártói beállítások default kulcsokkal •SL1 - 100%-ban megegyezik a MIFARE Classic funkcionalitással •SL2 – AES authentikáció •SL3 – AES authentikáció, adat titkosítás •2/4 Kbyte memória terület
•NEK (Nemzeti Egységes Kártyarendszer) kialakulóban •Új diákigazolványok 6
MIFARE SAM •Secure Acces Module (SAM) •Kontaktussal rendelkező chip •Kriptográfiai kulcsok és funkciók bintonságos tára •Támogatott szimmetrikus kulcsok és algoritmusok: MIFARE Crypto-1, 3DES, AES •Kulcs diverzifikáció •128 szimmetrikus kulcs bejegyzés tárolható •3 RSA aszimmetrikus kulcs tárolható •Aláírás generálás és ellenőrzés funkcionalitás •16 számláló a kulcsok használatához 7
MIFARE SAM
AV1 és AV2 chipek között funkcionális különbségek
8
MIFARE SAM
Társprocesszorok a kriptográfiai műveletek elvégzésére
9
MIFARE Application Directory •Adatszervezéstől függetlenül szeretnénk ugyanazon kártyánk segítségével
több
alkalmazást
támogatni
•Minden alkalmazás/rendszer a saját maga módján oldotta meg az adattartalom menedzsmentet a chipen •Vízió: Interoperabilitás. Szükség van a kártyák hordozhatóságára a rendszerek között. •A nagyvilágban elérhető alkalmazások legyenek felírhatók a kártyáinkra, és a saját alkalmazásunkat is szeretnénk felírni más kártyákra •Így a rendszereket használó személynek egyetlen kártyára van csak szüksége (pl.: Európában a személyi igazolvány lehetne ilyen)
Szükség van egy egységes alkalmazás nyilvántartásra
10
MIFARE Application Directory •Adatszervezéstől független segítség az alkalmazások feltérképezésére a kártyán
•Memória szervezésnél az első szektor lefoglalásra kerül •Fájl/Alkalmazás szervezésnél a DESFire operációs rendszer által nyújtott alkalmazás kiválasztási mechanizmus nyújtja ezt a lehetőséget
11
MIFARE Application Directory
•Sztenderd, ami általános menedzsmentjére a kártyán
adatstruktúrát
nyújt
az
alkalmazások
•NXP által fenntartott RA (Registration Authority) -> regisztrált világszinten egyedi alkalmazás azonosító
• Gyors kezelést tesz lehetővé (nem kell a teljes kártyát beszkennelnie az olvasónak az alkalmazást keresve) •Anti-collision (a pénztárcámban több kártyám is van, mindegyiken MAD), így csak a MAD-eket nézi meg az olvasó és el tudja dönteni melyik kártyán van az az alkalmazás amit keres 12
MIFARE Application Directory MAD1 •MIFARE Classic 1K-ra készült eredetileg 16 szektorig használható. •Elhelyezkedése a 0. szektor 1.-2. blokkjában MAD2 •Az 1K-nál nagyobb memória szervezésű kártyákhoz
•Elhelyezkedése a 16. szektor 0.-2.blokkjában •Visszafelé teljesen kompatibilis MAD2 = MAD1+16. szektor MAD3 •DESFire kártyák esetében a regisztrált AID-kből a DESFire AID-k képzésének módja 13
MIFARE Application Directory Tehát mit kell tennünk, „kompatibilissá” tenni?
ha szeretnénk a
rendszerünket MAD
•Memória szervezésű kártyáink első blokkját lefoglaljuk a MAD számára és a megfelelő formátumban kezeljük. •Igénylünk az NXP-től AID-t (Application Identifier) •Az első szektor olvasását lehetővé tesszük a publikus olvasó kulcs számára •Állíthatunk be titkos író kulcsot rá (ha csak mi, vagy egy meghatározott kör akarunk tudni a kártyára alkalmazást írni) •Az olvasó terminálokban az alkalmazások címzésére az indirekt MAC címzést használjuk 14
MIFARE Application Directory Az AID felépítése
cluster code (hex) function 00 card administration 01-07 miscellaneous applications 08 airlines 09 ferry trafic 10 railway services 12 transport 18 city traffic 19 Czech Railways 20 bus services 21 multi modal transit 28 taxi 30 road toll 38 company services 40 city card services 47-48 access control & security 49 VIGIK 4A Ministry of Defence, Netherlands 4B Bosch Telecom, Germany 4A Ministry of Defence, Netherlands
cluster code (hex) function 4B Bosch Telecom, Germany 4A Ministry of Defence, Netherlands 4C European Union Institutions 50 ski ticketing 51-54 access control & security 58 academic services 60 food 68 non food trade 70 hotel 75 airport services 78 car rental 79 Dutch government 80 administration services 88 electronic purse 90 television 91 cruise ship 95 IOPTA 97 Metering 98 telephone A0 health services
Function cluster code az AID-k osztályozására szolgál
Regisztrált AID-k listája: http://www.nxp.com/documen ts/other/MAD_list_of_registrat ions.pdf 15
MIFARE Application Directory A MAD1 felépítése
2 byte-onként az egyes szektorok AID-jei helyezkednek el az 1-15. szektorig 1K esetében
16
MIFARE Application Directory A MAD2 felépítése
2 byte-onként az egyes szektorok AID-jei helyezkednek el az 17-39. szektorig max 4K esetében
17
MIFARE Application Directory A MAD3 felépítése
Nincs szükség a kártyakibocsátó által karbantartott MAD táblára, ezt elvégzi helyette a chip maga A chipen levő alkalmazások és azok AID-je lekérdezhető A DESFire 3 byte-os AID-vel látja el az alkalmazásait, míg a MAD AID-k 2 byte-osak
Az első 4 bit fix, dedikálva arra hogy jelezze hogy MAD AID-ről van szó, az utolsó 4 bit az ugyanazon AID-hez tartozó több példány tárolását teszi lehetővé a DESFire kártyán 18
Elektronikus azonosítás biztonsági megoldásai
Köszönjük a figyelmet!
19