Реализация и безопасность чипов DesFire сторонними разработчиками.

Реализация и безопасность чипов DesFire сторонними разработчиками., UniFi Access

EHS1

Guest

29.01.2025 22:51:00

Я присматриваюсь к покупке хаба и ридера для тестирования, чтобы, надеюсь, смочь внедрить систему в работу, и у меня есть вопросы о том, как Ubiquiti на самом деле подключает сторонние чипы DesFire. В основном пользователи будут использовать телефоны и брелоки (которые могут быть UI Fobs), но у нас есть вендор, предлагающий физические ключи, а также несколько специализированных устройств со встроенными чипами DesFire для целей контроля доступа, которые мы хотели бы использовать с системой для нескольких конкретных задач. Чипы пустые и требуют программирования. Я не вижу никакой документации UI относительно того, как сторонний NFC на самом деле реализован в контроле доступа к дверям. Я не нахожу ничего, что касается программирования карт, поэтому немного обеспокоен, что система просто считывает и сохраняет UID для целей контроля доступа, что не подходит нам. Может ли кто-нибудь подтвердить, как Door Access обрабатывает сторонние чипы DesFire? Если они используют только UID, планирует ли UI добавить функциональность программирования DesFire в систему в ближайшее время (скажем, в течение года или около того)?

EHS1

Guest

03.03.2025 07:35:00

Наконец-то оборудование собрал в лаборатории. Жду, когда придут пустые EVVA fobs, чтобы можно было потестировать. Обновлю, как они приедут и я смогу проверить клонирование UID. Похоже, теперь вопрос в том, захочет ли Ubiquiti вложить деньги в разработку UI и бэкенда для программирования этих карт. Я полностью понимаю. Я был бы более чем рад заплатить за дополнение, которое откроет функциональность программирования карт. Может быть, даже небольшую плату за программирование сторонних карт (в разумных пределах). Я действительно думаю, что им нужно предложить решение для этого, если они хотят пробиться на этот рынок.

f.kriewitz

Guest

01.03.2025 22:35:00

@EHS1 жду результатов. У нас ситуация похожая: используем карты DESfire EV3 (и планируем перейти на новые карты MIFARE DUOX) с несколькими приложениями для нескольких систем. Особенно функция проверки близости EV3 нужна некоторым нашим системам, чтобы снизить риск релейных атак. Мы бы с удовольствием использовали систему доступа Unifi в нескольких зданиях, где не нужна самая высокая степень безопасности. Но, поскольку мы не хотим носить с собой еще одну RFID-метку, ограничение только официальными метками для нас — это полный стоп. @UI-Team не могли бы вы рассказать, почему карты DESfire, закупленные у сторонних поставщиков, не поддерживаются (только проверка UID)? Это коммерческий вопрос (Ubiquity хочет продавать больше меток)?

EHS1 Guest	#4 24.02.2025 20:26:00 Я уже смотрел этот документ. Сложно сказать наверняка, но вполне возможно. Только что получил тестовое оборудование. Попробую закончить настройку и протестировать это на этой неделе.

evdcraats Guest	#5 24.02.2025 10:36:00 Не уверен на все 100%, но кажется, они добавляют CSN на карты с поддержкой Desfire. Судя по документации API и схеме потока. Смотрите страницу 103 https://assets.identity.ui.com/unifi-access/api_reference.pdf

EHS1

Guest

20.02.2025 08:54:00

"Украина сможет читать и принимать их только на основе UID, а не CSN." Вот именно это меня и беспокоило. Вчера пришлось заказывать оборудование для тестов, чтобы разобраться. 🤦‍♂️ Надеюсь, они откроют возможность программировать карты. Думаю, это единственный способ проникнуть на рынок в большем масштабе. Не должно быть сложно добавить эту функциональность. Попробую найти время, чтобы после тестов отправить запрос на добавление этой функции.

evdcraats

Guest

20.02.2025 04:12:00

Было бы здорово, если бы была какая-нибудь документация по этому вопросу. Сейчас я жду, когда корпоративные кампусных свитчи начнут регистрировать UA на наших площадках с количеством пользователей более 100 и количеством дверей более 50. Для тестирования я купил door hub и reader 3.0, чтобы использовать сторонние карты. UA может читать и принимать их только на основе UID, а не CSN. Карты, использующие Random ID’s, работать не будут. Для этой реализации было бы лучше иметь возможность программировать карты с приложением и ключом шифрования, чтобы CSN можно было использовать со всеми картами Desfire. Это также могло бы открыть другие возможности и дать больше гибкости для интеграции нескольких приложений с одним ключом Mifare.

EHS1

Guest

30.01.2025 10:41:00

Спасибо за ответ. Я знаком с картами DesFire, которые предлагает Ubiquiti. До этого мне не приходилось работать с системами контроля доступа, так что сейчас я ввожу себя в курс дела. Судя по этому видео, вероятно, они используют site key вместе с UID чипа для генерации секретной passphrase, и записывают её на карту. Лучше, чем ничего, но было бы неплохо получить какую-нибудь документацию от Ubiquiti. Если формальной документации нет, придётся, наверное, использовать Proxmark, чтобы перехватить данные, которые записываются на карту во время регистрации, чтобы понять, что они там делают. Не уверен, что готов покупать оборудование для пентестинга ради этого прямо сейчас. 🤦‍♂️🤣

jamestaco Guest	#9 30.01.2025 02:32:00 Забудьте про броский заголовок видео...https://m.youtube.com/watch?v=hZMU4kPJ_zQ. Unifi Access Card – это тип карты DesFire, она также работает с Ubikey, имеющим защиту, которую нельзя клонировать с помощью Flipy. Карты добавляются в Protect вручную, сканируя их с помощью считывателя доступа. Можно сканировать карты, давать им имена, а затем назначать пользователю – или перейти к пользователю, назначить карту и сканировать/именовать её таким образом. Я не знаю все типы карт, доступных для покупки у сторонних поставщиков, – я не тестировал ничего, кроме обычной NFC-карты.

Читают тему (гостей: 1)