Vaihtamassa MIFARE DESFireen?

MIFARE DESFirestä on tullut yksi suosituimmista korttiteknologioista nykyaikaisessa kulunvalvonnassa. Se on korvannut vanhemmat UID‑pohjaiset ratkaisut paremman turvallisuuden, avoimen standardin ja laajan tuen vuoksi. Useimmille organisaatioille MIFARE DESFire on järkevin valinta.

Projektin alkuvaiheessa jää usein kuitenkin vähemmälle huomiolle, kuka päättää turva-avaimista. Vaikka MIFARE DESFire on avoimen standardin teknologia, siihen keskeisesti kuuluvien turva‑avainten hallinta ratkaisee, pysyykö järjestelmä käytännössä avoimena vai alkaako se muistuttaa suljettua ratkaisua. Tämä voi vaikuttaa yllättävän paljon järjestelmän elinkaareen pitkällä aikavälillä.

 

Miten MIFARE DESFire toimii

DESFire‑teknologia ei perustu yksinkertaiseen kortin sarjanumeroon. Kortille tallennettu tieto on suojattu, ja korttia voi lukea vain, kun kortti ja lukija tunnistavat toisensa. Tämä kahdenvälinen tunnistatuminen perustuu turva‑avaimiin.

Turva‑avaimia käytetään:

  • kortin tunnistamiseen,
  • tiedonsiirron salaamiseen,
  • kortille tallennetun tiedon suojaamiseen.

Käytännössä tietoturva ei siis koske vain korttia tai lukijaa, vaan myös turva‑avaimia ja sitä, kuka niitä hallitsee.

Roolinsa vuoksi turva‑avaimet on:

  • luotava turvallisesti,
  • säilytettävä suojatuissa ympäristöissä,
  • hallittava selkeiden prosessien mukaisesti.

Sekä avoimet MIFARE DESFire ‑järjestelmät että jotkin suljetut, toimittajakohtaiset ratkaisut perustuvat turva‑avaimiin. Oikein toteutettu avainten hallinta on keskeinen osa järjestelmän tietoturvaa. Samalla avainten hallinta määrittää, kuka voi tulevaisuudessa ohjelmoida kortteja ja lukijoita ja käyttää niitä.

 

Avoimet ja suljetut järjestelmät voivat molemmat olla turvallisia

Kulunvalvonnassa sekä avoimen standardin järjestelmät että suljetut, toimittajakohtaiset järjestelmät voidaan toteuttaa turvallisesti.

Suljettu järjestelmä voi:

  • rajata komponentit yhden toimittajan tuotteisiin,
  • hallita tiukasti konfiguraatiota ja integraatioita,
  • vähentää vaihtelua ja selkeyttää vastuita.

Avoimen standardin järjestelmä, kuten MIFARE DESFire:

  • mahdollistaa eri toimittajien komponentit,
  • tukee useita alustoja ja integraatioita,
  • tarjoa asiakkaille enemmän joustavuutta ajan myötä.

Puhtaasti teknisestä tietoturvan näkökulmasta molemmat voivat tarjota vahvan suojan oikein toteutettuina. Ero ei ole ensisijaisesti turvallisuudessa, vaan hallinnassa, joustavuudessa ja pitkän aikavälin vaihtoehdoissa.

 

Kun avoin teknologia alkaa muistuttaa suljettua järjestelmää

MIFARE DESFire on itsessään avoimen standardin teknologia. Eri valmistajien kortit, lukijat ja järjestelmät voivat teknisesti toimia yhdessä. Toteutustapa kuitenkin ratkaisee.

Jos lukijavalmistaja:

  • luo DESFire‑turva‑avaimet,
  • säilyttää ne omassa ympäristössään,
  • eikä anna asiakkaan tai integraattorin hallita niitä,

lopputulos voi käytännössä muistuttaa suljettua järjestelmää, vaikka teknologia on avoin. Tässä tapauksessa MIFARE DESFire ei tarjoa täyttä hyötyä.

 

Käytännön tilanteet, joissa tämä tulee esiin

Päivittäisessä käytössä ero ei yleensä näy. Kortit toimivat, ovet avautuvat ja järjestelmä toimii odotetusti.

Haasteet ilmenevät tyypillisesti myöhemmin, esimerkiksi kun:

  • organisaatio haluaa ottaa käyttöön toisen kulunvalvontajärjestelmän,
  • useita toimipisteitä halutaan yhtenäistää yhteisen käytännön alle,
  • järjestelmää laajennetaan,
  • toimittajaa tai integraattoria vaihdetaan.

Jos MIFARE DESFire ‑turva‑avaimet eivät ole käytettävissä, olemassa olevia kortteja ja lukijoita ei välttämättä voida hyödyntää uudessa järjestelmässä.

 

Yhteenveto: vaihtoehdot turvallisen järjestelmään

  1. Suljettu, toimittajakohtainen teknologia

Järjestelmä voi olla turvallinen, mutta toimittaja hallitsee tiukasti jatkokehitystä sekä lukija‑ ja korttilaajennuksia. Järjestelmä on täysin riippuvainen toimittajan valinnoista, tuotekehityksestä ja hinnoittelusta.

  1. Avoin standardi (esim. MIFARE DESFire) toimittajan hallitsemilla avaimilla

Teknologia on avoin, mutta lukijatoimittaja hallitsee turva‑avaimia eikä luovuta niitä, jos haluat ostaa lukijoita ja tunnisteita jostain muualta.

  1. Avoin standardi (esim. MIFARE DESFire) asiakkaan ehdoilla

Toimittaja:

  • antaa asiakkaalle mahdollisuuden ohjelmoida lukijat ja kortit itse,
  • tai antaa asiakkaan päättää, kuka ohjelmoi lukijat ja kortit,
  • voi tarjota turva‑avainten hallinta‑ ja ohjelmointipalveluja,
  • vastaa avainten turvallisesta käsittelystä hyvän tietoturvakäytännön mukaisesti niin kauan, kuin avaimet ovat hänen hallinnassaan,
  • luovuttaa turva‑avaimet kolmannelle osapuolelle, jos asiakas niin päättää.

Lisätietoa MIFARE DESFirestä