Sitat av
woff
Du får PRØVE å tenke deg at jeg ikke KUN har spikret opp kabel da ser du! Med omtrent hele livet som tekniker både innen tele kom og avanserte sikkerhetsløsninger har jeg nok absolutt en utmerket bakgrunn for å uttale meg her i denne tråden. Og uten kvalifikasjoner jobber du neppe lenge i noen bransjer med KRAV til kunnskapsrike medarbeidere.
Dette er pisspreik.
For å avgjere om ein autentiseringsprotokoll er trygg eller ikkje må du ha høgare utdanning innan t.d. matematikk - med krypto som spesialfelt. Og sjølv då er det enkelt å gjere grove feil. Det er ikkje utan grunn at Bruce Schneier har sagt at alle er i stand til å lage eit kryptosystem dei ikkje er i stand til å knekke.
Kort sagt; basert på det du har formidla om deg sjølv her på forumet, har eg null tru på at du er i stand til å evaluere om f.eks. Athena er eit trygt smartkort over RFID. For all del, eg har ikkje kunnskapen til å evaluere det sjølv heller, men eg er i det minste klar over at eg ikkje har det.
Sitat av
woff
Vet ikke om du forsøker deg på å teoretisk knekke mine kortlesere? Du kan faktisk GJERNE kopiere en av mine rf-id tags, men det betyr nok ikke at du klarer å få opp ei dør eller en port her. Du er neppe i nærheten glup nok for å si det forsiktig! Som sagt er dette et SIKKERHETSANLEGG og det tilfredsstiller absolutt FG-240:2..
Eg har ikkje påstått at eg er glup nok. Eg har påstått at du neppe har forutsetninger for å evaluere sikkerheta i eit komplekst produkt. Og FG-240:2...
Sitat av https://www.fgsikring.no/siteassets/regler/innbrudd/fysisk-sikring/las-mekelmek/publisert-utgave/fg-240_2-elektronisk-avlasing.pdf
Det skal kun foretas avlesning i kortleseren. All annen signalbehandling skal foregå i sentralenheten. Kodebærerens kode skal ikke kunne avleses visuelt og ha minst 100.000 varianter.
I tillegg til kodebærer skal det i systemet utenom åpnings- / arbeidstid benyttes en PIN-kode (personlig identifikasjonsnummer) med minimum 10.000 varianter
Altså. Det er trivielt å utforme eit totalt usikkert system, som tilfredsstiller krava lista opp der. For det første har NFC typisk bitrate på >100kb/s. Om vi antar at kvar kombinasjon er 100b i kommunikasjon, vil det ta under to minutt å spole gjennom alle om det ikkje er ratelimitering. Og ratelimitering stiller ikkje FG krav til...
Ei heller hindrer det replay-angrep.
Viare er det trivielt å svekke ein slik protokoll vesentleg. Kva hjelper det med mange unike nøkler, om kortleseren har buffer overflow om den får eit uventa format? Ja, denslags har skjedd.
Den standarden der er med all respekt å melde ikkje verdt fem flate øre. At du tillegg den så stor vekt understreker mitt poeng. Trygg bruk av RFID impliserer typisk smartkort og PKI, der lesar må autentisere seg for kortet, og kortet må autentisere seg for leser. Det hindrer replay-angrep, og dagens smartkort er ganske gode på å sikre nøkkelmateriale.