Oder: Wieso bieten wir nur Hardware basierten Kopierschutz an?

Unser rf:key System ist in Sachen Sicherheit sehr rigoros. Ein echter Kopierschutz ist unserer Meinung nach technisch nur möglich, wenn grundsätzlich zwei Bedingungen erfüllt sind:

  1. Speicherung aller Crypto Informationen in einem sicheren Speicher, der weder ausgelesen noch manipuliert werden kann
  2. Alle Crypto-Informationen eines (rf:key) Systems dürfen keinem anderen (rf:key) System bekannt sein

 

Um das zu gewährleisten haben wir uns – hier muss ich betonen, im Gegensatz zu so ziemlich jedem anderen Hersteller – zu folgender Lösung entschieden:

  1. Möchte man DESfire Verschlüsselung nutzen, braucht man beim rf:key System zwingend einen vandalismussicheren und ausleseresistenten Speicher für die Crypto-Informationen. Das ist bei uns die Crypto-Erweiterung. Diese ist tatsächlich eine Tochterplatine mit speziellen Sicherheitschips, die zusätzlich auf das Mainboard der Zentraleinheit aufgesteckt wird. Also ein Stück Hardware. Und deshalb gibt es Verschlüsselung beim rf:key nicht kostenlos, sondern falls der Kopierschutz benötigt wird muss der Kunde leider mit einem gewissen Kostenpunkt für die HSEC Erweiterung leben.Das Speichern der Sicherheitsschlüssel „per Software“ bieten wir im Gegensatz zu anderen Herstellern aufgrund von erheblichen Sicherheitsbedenken schlicht und ergreifend nicht an.Das heisst: möchte man DESfire Transponder mit Kopierschutz nutzen, so muss man (bei uns) zwingend die HSEC Crypto-Erweiterung verwenden.
  2. Es gibt beim rf:key System keine allgemein gültigen Security Keys, auch keine gemeinsamen öffentlichen Schlüssel. Das ist in unserer Branche irgendwie auch heute noch ziemlich einmalig, aber es at sich bewährt.Gerade Freitag vor einer Woche erst wurde wieder ein System, das von fast allen großen Herstellern genutzt wird (namens ZigBee – vgl. https://www.heise.de/security/meldung/Deepsec-ZigBee-macht-Smart-Home-zum-offenen-Haus-3010287.html ), mit einfachsten Mitteln geknackt. Wieder einmal war die ausgenutzte Sicherheitslücke ein über alle Geräte gleicher öffentlicher Schlüssel.Und das wiederum heisst: Jedes rf:key System mit Crypto-Erweiterung bekommt weltweit einmalige Crypto-Schlüssel.

 

Was bedeutet das nun für Kunden?

DESfire Karten müssen für ein rf:key System mit HSEC Erweiterung mit den passenden Sicherheitsschlüsseln versehen werden.

Hierzu gibt es zwei Möglichkeiten:

  • Original rf:key Transponder bei uns kaufen. Wir liefern fertig für Ihr rf:key System vorbereitete Blanko-Karten (nur mit Crypto-Infos versehen, aber ohne Zutrittsberechtigung denn das muss der Kunde nach wie vor selbst in seiner rf:key Zentraleinheit einrichten)
  • Oder Sie führen die Initialisierung der Karten komplett selbst durch

 

Zu Fall 1 – HSEC Erweiterung mit standard rf:key Transpondern

Alle Crypto-Erweiterungen werden sofern nicht ausdrücklich anders gewünscht von uns vorbereitet. Die Sicherheitsschlüssel speichern wir in einer geschützten Datenbank bei uns im Rechenzentrum, um Nachbestellungen von Ausweiskarten zu ermöglichen. Ginge der Key verloren, so wäre die gesamte Zutrittskontrolle beim Kunden nicht mehr änderbar. Es könnten dann keine neuen Schlüssel ausgestellt werden. Diesen Punkt muss man unbedingt beachten, wenn man die Erst-Initialisierung der Karten selbst durchführen möchte.

Nochmal: Jedes Kundensystem wird bei uns weltweit einmalig behandelt. Als Transponder können demnach logischerweise auch nur original rf:key Transponder verwendet werden. (Hintergrund: bei vielen anderen Herstellern wird immer derselbe Schlüssel verwendet, was ein eklatantes Sicherheitsrisiko darstellt.)

Eine Nachbestellung von Karten ist in diesem Fall nur durch schriftlich berechtigte Mitarbeitern des Kunden möglich. Die Verwendung einer „Ihrer“ Karten an einem anderen rf:key System als dem Ihrigen ist demnach auch nicht möglich.

 

Zu Fall 2 – OHSEC Erweiterung mit beliebigen DESfire Transpondern

Im zweiten Fall – Initialisierung der Karten durch den Kunden selbst – kümmern Sie sich selbständig um alles. In diesem Fall benötigen Sie statt der HSEC Erweiterung die OHSEC Erweiterung, bei der auch eine Windows Software zum erstmaligen Beschreiben der Sicherheitsschlüssel enthalten ist.

Wirklich lohnen tut sich die „große“ Variante nur, wenn Sie entweder dazu verpflichtet sind, die Keys selbst zu verwalten. Das ist z. B. für die meisten Automotive Zulieferer der Fall. Oder dann, wenn Sie sehr viele Ausweise benötigen und statt unserer original Karten günstige Nachbauten z. B. bei ebay und Co. kaufen möchten.

Schlussendlich ist das dann ein einfaches Rechenbeispiel:

  • Die OHSEC Erweiterung inklusive Software zum selbst initialisieren der Karten kostet 1899,- €. Eine Blanko-Karte kostet bei uns 3,60€ (ab 500 Stück) und nachgemachte Karten bekommt man sicherlich schon für 2-3,- € auch bei kleineren Stückzahlen.
  • Die HSEC Erweiterung kostet nur 299,- € aber Sie benötigen original rf-key Karten von uns (ab 1 Stück 22,50€, ab 100 Stück 16,80€, ab 500 Stück 14,50€ – Stand 30.11.15)

 

Welche Variante für Sie die bessere ist kann ich nicht auf Anhieb beantworten. Das hängt einerseits von der Stückzahl benötigter Ausweise ab und andererseits davon, ob Sie sich einen extra Rechner in eigenem Netzwerk nur für Zutrittskontrolle anschaffen möchten (ganz wichtig, sonst ist das Sicherheitskonzept auch schon wieder dahin).

Bei anderen Herstellern mag es auf den ersten Blick „einfacher“ sein, Karten vermeintlich selbst personalisieren zu können, aber das ist – wie das Hacking-Experiment mit ZigBee gerade erst eindrucksvoll gezeigt hat – nichts als Augenwischerei. Einen echten Kopierschutz gibt es unserer Meinung nach nicht wenn man nicht jedes System mit einmaligen Schlüsseln versieht.

 

Eines muss ich abschließend noch einmal ganz ausdrücklich erwähnen:

Von uns vorbereitete Karten haben zwar die notwendigen Sicherheitsschlüssel gespeichert, aber keine Zugangsberechtigung!

Wir (oder auch jemand anderes) können in keinem der hier beschriebenen Fälle Schlüssel für Ihre Zurittskontrolle „nachbauen“. Die Berechtigungen müssen Sie natürlich trotzdem selbst in Ihrer Zutrittskontrolle verwalten. Beim Thema „DESfire Schlüssel“ geht es einzig und allein darum, die Karten überhaupt erst einmal für eine Zentraleinheit zu berechtigen. Eine Tür öffnen können Sie mit den Blanko Karten nicht, das geht erst nachdem in der Zentraleinheit festgelegt wurde, wo die Karte wann Zutritt erhalten soll.

 

Patrick Ruppelt
30.11.2015