SAM (Security Access Module)
Velmi bezpečný přístup XTC
Současné systémy karet a přívěsků s integrovanými čipy s bezkontaktními rozhraními jsou atraktivním nástrojem pro zajištění širokého spektra různých funkcí. Nejčastěji používaná řešení však zcela nevyhovují současným nárokům na bezpečnost, neboť jsou založena na pouhé identifikaci prostřednictvím UID čipu. Vzhledem k relativně snadné emulaci UID čipu je důležité využít pokrokovější řešení založené na kryptografických funkcích, jehož součástí by měly být rovněž například SAMs moduly (Security Access Modules) pro bezpečné uložení šifrovacích klíčů.
Zámky pro velmi bezpečný přístup XTC byly vyvinuty ve spolupráci s Českým vysokým učením technickým v Praze a jsou vhodné všude tam, kde je vyžadována vyšší úroveň zabezpečení, než pouhá autentizace formou jednoznačného identifikačního čísla čipu (UID).
UID čipů přístupových karet a přívěsků jsou poskytována v nešifrované podobě a může je tudíž kdokoli nejen přečíst, ale také emulovat a tudíž uspět v autentizačních procesech bez vlastnictví přístupové karty či přívěsku (například otevřít si neoprávněně dveře).
Zámky pro velmi bezpečný přístup XTC využívají pro autentizaci uživatelů šifrovaná přístupová data algoritmem 3DES, uložená na čipech s bezkontaktním rozhraním typu MIFARE DESFire EV1.
Šifrovací klíče jsou pak uloženy v SAM modulech instalovaných ve čtečkách XTC připojených k zámkům určeným pro velmi bezpečný přístup.
XTC prozatím nabízí následující základní varianty zámků:
1.1 Varianta off-line
V off-line variantě je uživateli uložen na kartu (nebo do přívěsku) seznam bezpečných zámků, které smí uživatel odemykat. Velmi bezpečné zámky autentizují uživatele zcela autonomně, a to na základě šifrovaného seznamu přístupových bodů uloženého na přístupové kartě nebo v přívěsku. Zámky pro velmi bezpečný přístup obsahují seznam zakázaných přístupových karet, tzv. black-list. Aktualizace black listu se provádí dvojím způsobem:
1.1.1 Aktualizace black-listu off-line
Off-line aktualizace black-listu lze provést přiložením administrátorské karty, obsahující seznam zakázaných karet, ke čtečce zámku XTC.
1.1.2 Aktualizace black-listu on-line
Black-list zámku XTC pro velmi bezpečný přístup uložený na serveru se může periodicky automaticky aktualizovat pomocí šifrované komunikace prostřednictvím počítačové sítě Ethernet (kabelem UTP nebo bezdrátovou sítí WiFi).
1.2 Varianta on-line
Po načtení šifrovaných informací z přístupové karty uživatele pak čtečka XTC provádí autentizaci uživatele po šifrovaném komunikačním kanálu vůči serveru, který rozhoduje o povolení přístupu.
2. Rizika plynoucí z využívání čipů s bezkontaktním rozhraním
Čipové karty a přívěsky se používají zejména pro identifikaci osob při zabezpečení vstupu do budov a kanceláří, pro sledování docházky, k platbám za stravování, k platbám za veřejnou dopravu, k ukládání elektronických jízdních dokladů, vstupenek a podobně. Při zneužití karet a přívěsků tak hrozí neoprávněné vstupy, cestování bez řádně zaplacených jízdenek, podvodná vybírání peněz a další zpronevěry.
Základem zabezpečení je nutnost správného vyhodnocení míry rizika a předpokládaných způsobů provedení podvodů a neoprávněných vstupů do budov, kanceláří, archívů, serveroven a dalších místností.