Systemy kontroli dostępu są znane i używane od dziesięcioleci. Tak jak wszystkie dziedziny techniki, podlegają one ciągłej ewolucji. Pierwsze systemy, które można już nazwać elektronicznymi, pojawiły się w latach siedemdziesiątych zeszłego stulecia. Działanie kart identyfikacyjnych opierało się na wykorzystaniu tak zwanego efektu Wieganda oraz protokołu komunikacyjnego o tej samej nazwie.
Budowa kart identyfikacyjnych Wieganda
Pierwsze karty identyfikacyjne były podobne pod względem rozmiarów do wizytówki lub karty kredytowej. Ich zasada działania była bardzo prosta. W ich wnętrzach zatopione były stalowe druciki. Rdzeń każdego drucika był wykonany z materiału miękkiego magnetycznie, a płaszcz z materiału twardego magnetycznie. Tak przygotowane druciki miały bardzo stabilną charakterystykę magnesowania, którą zawdzięczały wspomnianemu wcześniej efektowi Wieganda, czyli zjawisku fizycznemu występującemu w materiałach magnetycznych, którego opis wykracza poza ramy tego artykułu. Wystarczy stwierdzić, że wprowadzenie kodu polegało na odpowiednim namagnesowaniu kolejnych drucików. Odczyt następował podczas przeciągnięcia karty przez szczelinę w czytniku.
Komunikacja między kartą a czytnikiem była jednokierunkowa. Dane były przenoszone z karty do czytnika i nie podlegały żadnej weryfikacji. Na karcie nie można było zapisać żadnych dodatkowych danych poza jej fabrycznym kodem. Ze względu na niewielkie rozmiary karty można było umieścić w niej jedynie 37 drucików. W związku z tym generowany był kod o maksymalnej długości 37 bitów. W zeszłym stuleciu nie stanowiło to problemu, jednak obecnie takie ograniczenie jest nie do przyjęcia.
Protokół Wieganda i konsekwencje jego stosowania
Do komunikacji między czytnikami a kontrolerami drzwiowymi wykorzystywany był protokół Wieganda, opracowany specjalnie w tym celu. W latach, w których powstawały pierwsze systemy kontroli dostępu nie kładziono nacisku na bezpieczeństwo. Nikt nie zastanawiał się, czy kartę Wieganda można podrobić, nikt nie rozpatrywał sytuacji, w której włamywacz rozcina kable i podłącza do systemu jakieś obce urządzenia.
Zasadniczo protokół Wieganda wykorzystuje transmisję szeregową z użyciem dwóch przewodów sygnałowych i przewodu masowego, jednak do połączenia czytników z kontrolerami stosowane były kable kilkunastożyłowe. Każdy z elementów czytnika, to znaczy dioda świecąca się światłem czerwonym, dioda świecąca się światłem zielonym, brzęczyk, przycisk, styk antysabotażowy i inne podobne elementy, wymagał użycia osobnego przewodu.
Dziś karty mają złożoną budowę, zawierają mikroprocesor, pamięć i inne układy elektroniczne, a czytniki są skomplikowanymi urządzeniami wymagającymi zaprogramowania. W czytnikach zapamiętywane są pewne dane, które są niezbędne do podjęcia decyzji o zaakceptowaniu albo odrzuceniu danej karty identyfikacyjnej. Sam protokół komunikacyjny Wieganda nie zmienił się jednak od dziesięcioleci.
Z natury protokołu Wieganda wynika, że transmisja danych trwa tylko w chwili, gdy ktoś przykłada kartę do czytnika. Przez pozostały czas czytnik znajduje się w stanie czuwania i żadna transmisja nie zachodzi. Gdy czytnik jest w stanie czuwania, przewody sygnałowe interfejsu Wieganda przyjmują wysoki stan logiczny. Inaczej mówiąc, są pod napięciem 5 V wymuszanym przez kontroler. Jeśli w takiej sytuacji ktoś odetnie przewody sygnałowe, do kontrolera nie jest wysyłana informacja, że czytnik jest odłączony. Co więcej, po odcięciu przewodów można w to samo miejsce podłączyć inny, odpowiednio zaprogramowany czytnik – z kodami znanymi włamywaczowi. Pozostaje jeszcze skopiowanie głównego kodu karty, ale dobrze przygotowany włamywacz i z tym sobie poradzi.
Kolejnym zagrożeniem w przypadku systemu kontroli dostępu jest możliwość podsłuchania transmisji radiowej między kartą identyfikacyjną a czytnikiem. Przestępca może tego dokonać na znaczną odległość, więc pozostaje niezauważony. Potrzebuje odpowiednio skonstruowanego odbiornika radiowego oraz laptopa z odpowiednim oprogramowaniem. Dzięki takiemu wyposażeniu może przechwycić kod zapisany na karcie i przygotować własny duplikat.
Modyfikacje czytników Wieganda
Z biegiem czasu opisane powyżej wady systemów kontroli dostępu stały się bardzo uciążliwe, co zmusiło konstruktorów do modyfikacji konstrukcji czytników i kart identyfikacyjnych. Postęp w dziedzinie elektroniki i miniaturyzacja urządzeń mikroprocesorowych umożliwiły wprowadzenie szyfrowania transmitowanych danych. Już na początku tego stulecia czołowi producenci czytników i kart identyfikacyjnych zastosowali szyfrowanie interfejsu radiowego. Od tego momentu przechwycenie danych metodą podsłuchu stało się bezużyteczne.
Niestety sam protokół Wieganda nie uległ modyfikacji. We współczesnych kontrolerach liczba przewodów łączących czytniki z kontrolerami została ograniczona do sześciu, ale to nie rozwiązało problemów związanych z bezpieczeństwem. Niektórzy producenci opracowali własne protokoły transmisji szeregowej i zastosowali magistralowe połączenie czytników, jednak pojawił się problem z kompatybilnością. Projektanci byli zmuszeni do stosowania wszystkich urządzeń wchodzących w skład systemu jednej marki, co w wielu sytuacjach stanowiło poważne ograniczenie funkcjonalności.
Dopiero pojawienie się otwartego protokołu OSDP rozwiązało większość opisanych problemów.
Protokół OSDP
OSDP (od ang. Open Supervised Device Protocol) to otwarty protokół stosowany do dwukierunkowej komunikacji między urządzeniami w systemach bezpieczeństwa. OSDP szyfruje połączenie między czytnikiem a karta? zbliżeniową? oraz między czytnikiem a kontrolerem, dzięki temu próba podsłuchania transmisji radiowej lub przechwycenia danych transmitowanych droga? kablowa? jest bezużyteczna. Protokół utrzymuje stałe połączenie między czytnikiem a kontrolerem, więc każda próba odłączenia lub uszkodzenia czytnika jest natychmiast wykrywana.
Do połączenia czytnika z kontrolerem wystarcza jedna para przewodów, jednakże ze względu na konieczność´ doprowadzenia zasilania i realizacji funkcji pomocniczych przeważnie stosowanych jest sześć przewodów. Transmisja jest znacznie szybsza niż˙ w starszych rozwiązaniach, co powoduje, że system szybciej reaguje na zbliżenie karty do czytnika.
Żeby protokół OSDP mógł być wykorzystany, zarówno kontrolery, jak i czytniki muszą być do tego przystosowane. Ze względu na zalety tego protokołu jego popularność ciągle rośnie i czołowi producenci systemów kontroli dostępu wprowadzają go do swoich urządzeń.
Protokół OSDP nie tylko zapewnia szyfrowanie danych transmitowanych w obrębie systemu, lecz ma także inne, dotychczas niedostępne funkcje. Za jego pomocą można transmitować dane konfiguracyjne do czytników. W dużych, wieloobiektowych systemach jest to bardzo użyteczna funkcja. Przykładowo, jeśli z jakichś powodów konieczna jest zmiana kodów we wszystkich czytnikach, można jej dokonać z poziomu stanowiska operatorskiego, bez konieczności podchodzenia do każdego z czytników z osobna i odwiedzania odległych obiektów objętych działaniem systemu.
Protokół OSDP umożliwia utworzenie w systemie tak zwanego bezpiecznego kanału transmisyjnego, zaszyfrowanego za pomocą AES-128, który znajduje zastosowanie w obiektach o szczególnym znaczeniu i jest akceptowany przez instytucje rządowe wielu krajów. Ze względu na to, że współczesne systemy kontroli dostępu często obejmują swoim zasięgiem obiekty rozmieszczone w różnych częściach świata, ta cecha protokołu OSDP nabiera szczególnego znaczenia.
Gdy OSDP nie wystarcza
W większości przypadków, szczególnie w obiektach cywilnych, poziom bezpieczeństwa uzyskiwany dzięki zastosowaniu protokołu OSDP można uznać za wystarczający, jednakże w obiektach specjalnych, rządowych lub wojskowych konieczne jest zastosowanie silniejszych zabezpieczeń. Jednym z nich jest wprowadzenie dodatkowych kluczy do kart identyfikacyjnych i do czytników. W efekcie uzyskuje się symetryczne kodowanie transmisji radiowej między kartą a czytnikiem. Wprowadzanie kluczy odbywa się w procesie programowania kart i czytników. Stanowi to kolejny poziom zabezpieczenia, gdyż oprócz kodu zapisanego w karcie musi zgadzać się klucz szyfrujący.
Dalsza poprawa poziomu bezpieczeństwa jest możliwa dzięki umieszczeniu w czytnikach odpowiednio zaprogramowanych modułów SAM (od ang. Secure Access Module), z wyglądu przypominających zwykłe karty SIM. Czytniki muszą być do tego przygotowane. Muszą zawierać odpowiednie gniazda, w których umieszcza się moduły SAM. Obecnie wielu producentów produkuje takie czytniki.
Moduły SAM zawierają? zestaw 128 kluczy szyfrujących, które są? wykorzystywane w sposób losowy. Te same klucze musza? być´ wprowadzone do oprogramowania zarządzającego systemem oraz do kart zbliżeniowych. Ta ostatnia czynność´ przebiega automatycznie, w momencie przygotowywania kart dla użytkowników systemu.
Siła zabezpieczenia z użyciem modułów SAM bierze się z zastosowania dwóch składników. Po pierwsze wprowadzone klucze są? długie, mogą? mieć nawet 256 bitów, więc skuteczność szyfrowania jest wysoka. Po drugie klucze są? wybierane w sposób losowy i nigdy nie wiadomo, który z nich jest aktualnie w użyciu.
W systemie działają zatem trzy rodzaje zabezpieczeń, które uzyskuje się dzięki zastosowaniu protokołu OSDP, dodatkowych kluczy w czytnikach i kartach identyfikacyjnych, a także modułów SAM.
Ktoś mógłby podać w wątpliwość sens stosowania aż tak silnych zabezpieczeń, jednakże we współczesnym świecie należy się liczyć z pewnymi dotychczas nie występującymi zagrożeniami. Nie chodzi tu o zwyczajne zabezpieczenia antywłamaniowe czy o kontrolę dostępu na terenie przeciętnego budynku. W takim przypadku wystarczą podstawowe zabezpieczenia. Są jednak obiekty specjalne, takie jak biura konstrukcyjne korporacji przemysłowych, laboratoria badawcze, obiekty przemysłowe o specjalnym znaczeniu, biurowce rządowe i obiekty wojskowe, do których może próbować włamać się nie zwykły złodziej, lecz doskonale wyszkolony i wyposażony wywiadowca, którego zadaniem jest zdobycie określonych informacji. Tej klasy specjalista dysponuje zarówno wiedzą, jak i sprzętem, a systemy zabezpieczające mają przeszkodzić mu w działaniu na skutek czasochłonności ich pokonywania.
Wiadomo, że każde zabezpieczenie można pokonać – to tylko kwestia użycia odpowiednich środków. Na wszystko potrzebny jest jednak odpowiedni czas. Żaden włamywacz nie może pozwolić sobie na manipulowanie przy systemie przez kilkanaście godzin w celu odszyfrowania danych. Właśnie dlatego zastosowanie silnych zabezpieczeń elektronicznych ma sens.
Andrzej Walczyk