Szyfrowanie kontroli dostępu: poziomy bezpieczeństwa w SKD Unicard Systems

Dowiedz się, jak Unicard Systems podchodzi do zagadnień takich jak szyfrowanie kontroli dostępu, wykorzystując nowoczesne technologie identyfikacji – w tym karty MIFARE® DESFire oraz Plus, które obecnie uchodzą za jeden z najbezpieczniejszych standardów na rynku.

Jak działa system kontroli dostępu?

Systemy kontroli dostępu składają się z kilku elementów:

• identyfikatorów (np. kart zbliżeniowych),
• czytników,
• oprogramowania zarządzającego,
• przejścia chronionego (drzwi, kołowrót, bramofurta).

Rolą systemu jest umożliwienie lub zablokowanie dostępu na podstawie zdefiniowanych uprawnień przypisanych do konkretnego użytkownika. W praktyce oznacza to, że tylko osoby posiadające odpowiednio zaprogramowany identyfikator mogą dostać się do danego obszaru – na przykład biura, serwerowni, magazynu czy strefy chronionej.

W systemach Unicard Systems wykorzystujemy autorskie czytniki polskiej produkcji oraz szeroką gamę identyfikatorów – w formie kart plastikowych, breloków, mobilnych identyfikatorów dla systemów Android® i iOS®. Ważnym aspektem każdego rozwiązania pozostaje jednak poziom bezpieczeństwa zastosowanego standardu.

Szyfrowanie kontroli dostępu: rekomendowane poziomy bezpieczeństwa 

MIFARE® DESFire – profesjonalna ochrona danych

Technologia MIFARE DESFire została zaprojektowana z myślą o środowiskach o wysokich wymaganiach bezpieczeństwa. Karty bazują na międzynarodowych standardach ISO/IEC 14443 A (części 1–4) oraz ISO/IEC 7816, co zapewnia ich zgodność z większością czytników oraz systemów mikropłatności i kontroli dostępu.

Karty DESFire wykorzystują:

• zaawansowane algorytmy szyfrujące (AES, 3DES, 3KDES),
• struktury wieloaplikacyjne,
• kontrolę dostępu na poziomie plików,
• szyfrowanie transmisji end-to-end.

Od kilku lat powszechnie stosowaną wersją tej technologii jest DESFire EV2, która znacząco rozszerzyła funkcjonalność, wprowadzając m.in.:

• transakcje atomowe,
• obsługę NFC,
• bezpieczne kanały komunikacyjne.

W wielu wdrożeniach przemysłowych, miejskich czy kampusowych DESFire EV2 pozostaje sprawdzonym i rekomendowanym standardem, łączącym wysokie bezpieczeństwo z niezawodnością i dużą elastycznością projektową.

Zastosowania MIFARE® DESFire:

• infrastruktura krytyczna (energia, transport),
• systemy miejskie, uczelnie, banki,
• e-government i mikropłatności.

MIFARE® Plus – elastyczne rozwiązanie nowej generacji

MIFARE Plus to bezpośredni następca Classic, ale z zachowaniem możliwości migracji. Najważniejszą cechą jest tu obsługa trzech poziomów bezpieczeństwa (Security Level, SL):

• SL1 – działa jak Classic (Crypto‑1), dla kompatybilności,
• SL2 – tryb przejściowy, pozwalający na stopniowe wdrażanie AES,
• SL3 – pełna ochrona z użyciem 128-bitowego szyfrowania AES i szyfrowanej komunikacji.

MIFARE Plus EV2 oferuje nie tylko szybsze działanie i większą elastyczność w przełączaniu między trybami SL2 i SL3, ale również zaawansowane mechanizmy bezpieczeństwa znane z DESFire – takie jak Transaction MAC, Transaction Timer czy certyfikacja EAL5+.

W praktyce MIFARE Plus EV2 to:

• pełna obsługa szyfrowania AES już od pierwszego wdrożenia,
• kompatybilność z istniejącymi systemami i możliwość migracji z Classic,
• niższy koszt niż DESFire przy zachowaniu dobrego poziomu ochrony.

Doskonale sprawdza się w biurowcach, uczelniach, zakładach przemysłowych, firmach z potrzebą kontroli dostępu i logiki uprawnień, ale bez wymogu wieloaplikacyjności.

Które standardy MIFARE® nie są już rekomendowane?

Nie wszystkie technologie z rodziny MIFARE® spełniają dziś wymagania bezpieczeństwa stawiane systemom kontroli dostępu. Nie oznacza to jednak, że każdy ich przypadek użycia jest z góry niewłaściwy – wiele zależy od tego, co konkretnie chcemy chronić i jakie ryzyko jesteśmy w stanie zaakceptować.

W zastosowaniach o niskim poziomie krytyczności – jak np. dostęp do stref ogólnodostępnych – część starszych standardów wciąż bywa wykorzystywana.

MIFARE® Classic

MIFARE® Classic, wprowadzony w 1994 roku, był kamieniem milowym w rozwoju kart bezstykowych. Oferował zapis danych i podstawową ochronę poprzez klucze A/B oraz szyfrowanie Crypto-1. Dziś w systemach kontroli dostępu może jednak stanowić zagrożenie, ponieważ Crypto-1 został złamany, a karty MIFARE Classic można obecnie sklonować.

W 2024 roku opublikowano atak „Unsaflok”, który umożliwiał otwieranie milionów zamków hotelowych opartych na tym standardzie. W tym samym roku ujawniono również lukę typu backdoor (CVE-2025-4053), która pozwalała zdalnie uzyskać dane z kart określonych producentów.

Wnioski:

• MIFARE Classic nie powinien być stosowany w nowych wdrożeniach.
• Systemy oparte na Classic należy zmodernizować.

MIFARE® Ultralight

MIFARE Ultralight to najprostsza i najtańsza karta w ofercie NXP. Została zaprojektowana z myślą o jednorazowych lub tymczasowych zastosowaniach, takich jak bilety na wydarzenia, komunikacja publiczna czy automaty biletowe.

Choć pewne warianty (np. Ultralight C, EV1) posiadają ograniczone mechanizmy kryptograficzne, nadal nie oferują realnej ochrony przed kopiowaniem lub emulacją. Brakuje im m.in. zaawansowanego zarządzania kluczami, szyfrowanej komunikacji czy wieloaplikacyjności.

Rekomendacja:

• Ultralight można stosować do rozwiązań niskiego ryzyka.
• Nie używaj ich w systemach kontroli dostępu do chronionych stref.

Szyfrowana kontrola dostępu: czy Twój system SKD jest bezpieczny?

Pierwszym krokiem do oceny bezpieczeństwa Twojego systemu jest sprawdzenie, z jakiej technologii korzystają używane karty i czytniki. Jeśli system kontroli dostępu opiera się na przestarzałych standardach lub nie masz pewności, w jakim trybie pracują karty MIFARE – to właściwy moment, aby to zweryfikować.

Jeśli chcesz podnieść poziom bezpieczeństwa, zaplanować migrację lub po prostu upewnić się, że Twoja infrastruktura spełnia dzisiejsze standardy – skontaktuj się z nami. Przeprowadzimy analizę i doradzimy najlepsze rozwiązanie!