IC-kort vs ID-kort: Sådan vælger du det rigtige adgangskort til dit system

Denne artikel nedbryder de reelle forskelle mellem IC-kort og ID-kort, ikke kun specifikationsarkversionen, men de forskelle, der faktisk påvirker din indkøbsbeslutning, dit systemsikkerhed og dine samlede ejeromkostninger.

 

IC-kort og ID-kort: Kerneforskellen på 30 sekunder

ID-kort

 

(125 kHz, f.eks. EM4100/TK4100): Gemmer kun et fast serienummer. Kortet udsender dette nummer til enhver læser inden for rækkevidde. Ingen kryptering, ingen skrivefunktion, ingen godkendelseshåndtryk. Læseren tjekker blot, om nummeret matcher en databasepost.

IC kort

 

(13,56 MHz, f.eks. MIFARE Classic/DESFire): Indeholder en mikroprocessorchip med læsbar og skrivbar hukommelse opdelt i uafhængige sektorer. Understøtter kryptering, gensidig godkendelse mellem kort og læser og brug af flere-applikationer på et enkelt kort.

Det er lærebogens svar. Men hvis du vurderer disse til en rigtig implementering, fortæller lærebogen dig ikke, hvad der rent faktisk går galt, eller hvad der rent faktisk betyder noget for dit budget.

 

 

Fem forskelle Indkøbsspecifikationer vil ikke fortælle dig

 

1

Adgangskortsikkerhed er ikke binær - Det er et spektrum

 

Den mest almindelige fejl ved anskaffelse af adgangskort: at antage "IC-kort=sikkert, ID-kort=ikke sikkert." Virkeligheden er mere lagdelt end som så.

 

ID-kort har nul kryptering. En hvilken som helst 125 kHz-læser, eller en håndholdt kloner til $15, læser og duplikerer serienummeret. Der er ingen måde at forhindre dette på kortniveau, fordi kortet ikke har nogen godkendelsesmekanisme.

 

IC-kort er mere sikre, men hvor meget mere afhænger helt af, hvilken chip du vælger. MIFARE Classic, den mest udbredte IC-chip globalt, bruger et krypteringsskema kaldet CRYPTO1, der blev fuldstændig omvendt-udviklet af forskere ved Radboud Universitet tilbage i 2008. I dag kan værktøjer som Flipper Zero gendanne MIFARE Classic-nøgler og klonekort uden specialudstyr.

 

I august 2024 blev situationen værre: Quarkslab-forskere opdagede en hardware-bagdør i Fudan FM11RF08S-chips, en meget brugt MIFARE Classic-kompatibel chip fra Shanghai Fudan Microelectronics. Denne bagdør giver alle med viden om en enkelt universel nøgle mulighed for at kompromittere alle bruger-definerede nøgler på disse kort inden for få minutter. De berørte chips er installeret på hoteller, kontorer og transitsystemer på tværs af USA, Europa, Kina og Indien.

Sikkerhedsniveau	Chip eksempler	Kryptering	Velegnet til
Ingen	EM4100, TK4100 (ID-kort)	Ingen	Parkering, besøgende vikar passerer
Ældre (kompromitteret)	MIFARE Classic 1K/4K	CRYPTO1 (brudt)	Lav-sikkerhedsdeltagelse
Mellem-niveau	MIFARE Plus (SL3-tilstand)	AES-128	Kontoradgang, campuskort
Høj	MIFARE DESFire EV2/EV3 (EAL5+ certificeret)	AES-128, gensidig aut	Datacentre, finansielle faciliteter
Højest	CPU-kort (Java-kort)	PKI-kompatibel	Regering, militær

 

En detalje, tabellen ikke kan vise: MIFARE Plus har tre sikkerhedsniveauer (SL1, SL2, SL3), men mange integratorer implementerer Plus-kort i SL1-tilstand for bagudkompatibilitet med eksisterende Classic-læsere. I SL1-tilstand er kortets sikkerhed stort set den samme som en standard MIFARE Classic. Dette er et almindeligt "spec-opgradering på papir, ingen opgradering i praksis". Bekræft altid, hvilket sikkerhedsniveau der faktisk er aktiveret, ikke kun hvilken chipmodel der er trykt på ordrebekræftelsen.

 

Syntek leverer adgangskort på tværs af alle fem niveauer anført ovenfor, fraEM4100/TK4100 ID-kortgennem MIFARE DESFire EV2/EV3 ogCPU-kort til høj-adgangskontrol. Hvert IC-kort sendes med chipmodellen trykt på følgesedlen, fordi et kort uden en dokumenteret chipspecifikation er et kort, du ikke kan verificere.

 

 

 

Med 0,08-0,15 USD pr. enhed for EM4100 ID-kort mod 0,30-0,60 USD for MIFARE DESFire, ser besparelsen pr.-kort på en ordre på 5.000-kort ægte ud. Men prisen pr. kort er kun én linje på det samlede omkostningsark.

 

ID-kortsystemer gemmer nul data på selve kortet. Enhver adgangsbeslutning kræver, at læseren forespørger i en central database i realtid. Det betyder, at hver læser har brug for en netværksforbindelse (mere kabler, flere fejlpunkter), systemudvidelse betyder, at nye læsere skal kobles tilbage til serveren, og der er ingen offline-drift: Hvis netværket går ned, forbliver dørene enten låst eller åbnes som standard.

 

IC-kortsystemer gemmer tilladelser på kortet. Læsere kan træffe adgangsbeslutninger lokalt. Udvidelse af systemet betyder at installere en læser og konfigurere kortsektorer, ingen ny kabling til serveren kræves.

 

Et ejendomsadministrationsfirma i Shenzhen fandt ud af dette, efter en intern revision havde markeret, at deres parkeringshus udstedte flere månedskort, end systemet havde registreret. Undersøgelsen sporede kløften til medarbejdere, der duplikerede 125 kHz ID-kort ved hjælp af tomme kort fra Taobao. Fordi kortene ikke havde nogen kryptering, var der ingen teknisk barriere: enhver med en $15-kloner kunne producere en arbejdskopi. Virksomheden skrottede hele ID-kortsystemet og gen-installeret med krypterede IC-kort og betalte to gange for det, der skulle have været gjort én gang.

 

 

Seksten uafhængige sektorer. Det er, hvad et standard MIFARE Classic 1K IC-kort giver dig, og hver sektor kan betjene en anden applikation med sine egne krypteringsnøgler: adgangskontrol på sektor 1, tidsregistrering på sektor 2, cafeteriabetaling på sektor 3.

 

ID-kort kan ikke gøre dette. Et kort, et serienummer, en funktion. Hvis du vil tilføje cafeteriabetaling til dit adgangssystem, udsteder du enten et ekstra kort eller erstatter hele infrastrukturen.

 

Til campus- og industriparkinstallationer, hvor "ét-kort-til-alt" er målet, alene dette udelukker 125 kHz ID-kort. Syntek producerer multi-applikations IC-kort og dobbelt-kompositkort, der kombinerer en 125 kHz chip og en 13,56 MHz chip på et enkelt korthus, hvilket også er hvordan de fleste fasede migreringer fungerer.

 

 

 

Dine medarbejderes smartphones driver NFC ved 13,56 MHz, samme frekvens som IC-kort. Dette betyder, at IC-kortlegitimationsoplysninger potentielt kan leveres til telefoner, hvilket muliggør NFC-baseret mobiladgang uden fysiske kort.

 

ID-kort ved 125 kHz er fuldstændig usynlige for telefonens NFC-hardware. Der findes ingen løsning. Hvis dit anlægs køreplan inkluderer mobil adgang inden for de næste tre til fem år, er et 125 kHz ID-kortsystem en blindgyde. For et dybere kig på, hvordan NFC fungerer inden for adgangskontroløkosystemer, se Synteksintroduktion til RFID adgangskontrolsystemer.

 

 

Hvis du i øjeblikket kører et 125 kHz ID-kortsystem, og sikkerhedshullerne bekymrer dig, er en komplet systemudskiftning ikke den eneste mulighed. Dobbelt-frekvenslæsere kan håndtere både 125 kHz og 13,56 MHz kort samtidigt. Kombineret med sammensatte kort med dobbelt-frekvens (et kort, der indlejrer både en ID- og IC-chip), kan du migrere brugere i faser: ingen enkelt-dages cutover, ingen tjenesteafbrydelse.

 

Hvor lang tid en dobbelt-frekvensmigrering faktisk tager, afhænger af antallet af adgangspunkter, medarbejderomsætningshastigheden, og om din backend-software skal opdateres. En 20-dørs kontorbygning står måske færdig om tre måneder. En industripark med flere-bygninger med outsourcet personale og høj omsætning kan tage godt over et år bare at trække det sidste parti gamle kort tilbage. Den røde tråd er, at tilgangen med to frekvenser lader dig sprede anlægsudgifter på tværs af dine budgetcyklusser i stedet for at absorbere dem som et enkelt engangsbeløb.

Sådan bekræfter du, hvad du faktisk får

 

Før du afgiver en bulk-adgangskortbestilling, skal du bekræfte tre ting med din leverandør: