Radio Frequency IDentification (RFID) II. 1
Ismétlés Több működési frekvencia Energiaellátás szerint különböző megoldások ISO 14443-A 13.56 Mhz, passzív energiaellátás, 10 cm-es hatókör Implementációk: Sony Felica, Calypso, MIFARE Adatszervezés szempontjából: Memória szervezés Alkalmazás/Fájl szervezés 2
Memória szervezés Az elérhető memóriaterület szektorokra és azon belül is blokkokra kerül felosztásra. Minden blokk külön címezhető A blokkokkal végezhető műveletek pl.: írás, olvasás, inkrementálás, dekrementálás Dedikált blokkok: 0. szektor, 0. blokk Gyártói információk tárolása Minden szektor utolsó blokk A szektorra vonatkozó jogosultsági beállítások és a szimmetrikus kulcsok 3
Fájl/Alkalmazás szervezés 4
MIFARE Ultralight 512 bit memóriaterület -> 1 szektor (4 blokk) Nincs kártya által támogatott titkosítás Kifejezetten olcsó -> eldobható jegyek tárolása 2006-os foci VB jegyek Közlekedésben a vonaljegy/napijegy tárolására alkalmas 2008-ban bejelentették az Ultralight C(rypto) 1536 bit -> 3 szektor 3DES authentikáció 5
MIFARE Plus A MIFARE Classic kártyák lecserélését célozza meg 4 SL (Security Level) SL0 - Gyártói beállítások default kulcsokkal SL1-100%-ban megegyezik a MIFARE Classic funkcionalitással SL2 AES authentikáció SL3 AES authentikáció, adat titkosítás 2/4 Kbyte memória terület NEK (Nemzeti Egységes Kártyarendszer) kialakulóban Új diákigazolványok 6
MIFARE SAM Secure Acces Module (SAM) Kontaktussal rendelkező chip Kriptográfiai kulcsok és funkciók bintonságos tára Támogatott szimmetrikus kulcsok és algoritmusok: MIFARE Crypto-1, 3DES, AES Kulcs diverzifikáció 128 szimmetrikus kulcs bejegyzés tárolható 3 RSA aszimmetrikus kulcs tárolható Aláírás generálás és ellenőrzés funkcionalitás 16 számláló a kulcsok használatához 7
MIFARE SAM AV1 és AV2 chipek között funkcionális különbségek 8
MIFARE SAM Társprocesszorok kriptográfiai műveletek elvégzésére a 9
MIFARE Application Directory Adatszervezéstől függetlenül szeretnénk több alkalmazást támogatni ugyanazon kártyánk segítségével Minden alkalmazás/rendszer a saját maga módján oldotta meg az adattartalom menedzsmentet a chipen Vízió: Interoperabilitás. Szükség van a kártyák hordozhatóságára a rendszerek között. A nagyvilágban elérhető alkalmazások legyenek felírhatók a kártyáinkra, és a saját alkalmazásunkat is szeretnénk felírni más kártyákra Így a rendszereket használó személynek egyetlen kártyára van csak szüksége (pl.: Európában a személyi igazolvány lehetne ilyen) Szükség van egy egységes alkalmazás nyilvántartásra 10
MIFARE Application Directory Adatszervezéstől független segítség az alkalmazások feltérképezésére a kártyán Memória szervezésnél az első szektor lefoglalásra kerül Fájl/Alkalmazás szervezésnél a DESFire operációs rendszer által nyújtott alkalmazás kiválasztási mechanizmus nyújtja ezt a lehetőséget 11
MIFARE Application Directory Sztenderd, ami általános adatstruktúrát nyújt az alkalmazások menedzsmentjére a kártyán NXP által fenntartott RA (Registration Authority) -> regisztrált világszinten egyedi alkalmazás azonosító Gyors kezelést tesz lehetővé (nem kell a teljes kártyát beszkennelnie az olvasónak az alkalmazást keresve) Anti-collision (a pénztárcámban több kártyám is van, mindegyiken MAD), így csak a MAD-eket nézi meg az olvasó és el tudja dönteni melyik kártyán van az az alkalmazás amit keres 12
MIFARE Application Directory MAD1 MIFARE Classic 1K-ra készült eredetileg 16 szektorig használható. Elhelyezkedése a 0. szektor 1.-2. blokkjában MAD2 Az 1K-nál nagyobb memória szervezésű kártyákhoz Elhelyezkedése a 16. szektor 0.-2.blokkjában Visszafelé teljesen kompatibilis MAD2 = MAD1+16. szektor MAD3 DESFire kártyák esetében a regisztrált AID-kből a DESFire AID-k képzésének módja 13
MIFARE Application Directory Tehát mit kell tennünk, ha szeretnénk a rendszerünket MAD kompatibilissá tenni? Memória szervezésű kártyáink első blokkját lefoglaljuk a MAD számára és a megfelelő formátumban kezeljük. Igénylünk az NXP-től AID-t (Application Identifier) Az első szektor olvasását lehetővé tesszük a publikus olvasó kulcs számára Állíthatunk be titkos író kulcsot rá (ha csak mi, vagy egy meghatározott kör akarunk tudni a kártyára alkalmazást írni) Az olvasó terminálokban az alkalmazások címzésére az indirekt MAC címzést használjuk 14
MIFARE Application Directory Az AID felépítése cluster code (hex) function 00 card administration 01-07 miscellaneous applications 08 airlines 09 ferry trafic 10 railway services 12 transport 18 city traffic 19 Czech Railways 20 bus services 21 multi modal transit 28 taxi 30 road toll 38 company services 40 city card services 47-48 access control & security 49 VIGIK 4A Ministry of Defence, Netherlands 4B Bosch Telecom, Germany 4A Ministry of Defence, Netherlands cluster code (hex) function 4B Bosch Telecom, Germany 4A Ministry of Defence, Netherlands 4C European Union Institutions 50 ski ticketing 51-54 access control & security 58 academic services 60 food 68 non food trade 70 hotel 75 airport services 78 car rental 79 Dutch government 80 administration services 88 electronic purse 90 television 91 cruise ship 95 IOPTA 97 Metering 98 telephone A0 health services Function cluster code az AID-k osztályozására szolgál Regisztrált AID-k listája: http://www.nxp.com/documen ts/other/mad_list_of_registrat ions.pdf 15
MIFARE Application Directory A MAD1 felépítése 2 byte-onként az egyes szektorok AID-jei helyezkednek el az 1-15. szektorig 1K esetében 16
MIFARE Application Directory A MAD2 felépítése 2 byte-onként az egyes szektorok AID-jei helyezkednek el az 17-39. szektorig max 4K esetében 17
MIFARE Application Directory A MAD3 felépítése Nincs szükség a kártyakibocsátó által karbantartott MAD táblára, ezt elvégzi helyette a chip maga A chipen levő alkalmazások és azok AID-je lekérdezhető A DESFire 3 byte-os AID-vel látja el az alkalmazásait, míg a MAD AID-k 2 byte-osak Az első 4 bit fix, dedikálva arra hogy jelezze hogy MAD AID-ről van szó, az utolsó 4 bit az ugyanazon AID-hez tartozó több példány tárolását teszi lehetővé a DESFire kártyán 18
Elektronikus azonosítás biztonsági megoldásai Köszönjük a figyelmet! 19