Forma correcta de verificar la integridad de la tarjeta de acceso

Navega tus respuestas
0

He pensado en construir un sistema electrónico de cierre de puertas.

¿El siguiente mecanismo sería seguro para evitar la manipulación de información de texto sin formato en la tarjeta?

  1. clave de sistema privada hash junto con datos del titular de la tarjeta
  2. guardar el hash y los datos del titular de la tarjeta en una tarjeta RFID
  3. el bloqueo (que solo tiene la clave privada) toma los datos del titular de la tarjeta y el hash al autenticar
  4. la cerradura crea un hash usando su clave privada (la misma que se usó para crear la tarjeta) y los datos de texto sin formato de la tarjeta.
  5. El bloqueo compara el hash que generó con el hash en la tarjeta

¿Alguna otra vulnerabilidad en particular que no sea la fuerza bruta?

    
pregunta Julius Eskola 16.07.2018 - 12:04
fuente

1 respuesta

0

Un hash se puede copiar mediante un breve acceso a la tarjeta inteligente. Este enfoque es básicamente el mismo que para comparar cadenas; crypto no agrega ningún beneficio real en su escenario, solo oscuridad, ya que cualquier persona con acceso a sea la clave privada o el hash podrá autenticarse. También será vulnerable a los ataques de repetición simples.

Las tarjetas RFID modernas actúan como tarjetas inteligentes . Almacene una clave privada en la tarjeta inteligente y pídale a la tarjeta inteligente que se autentique ante el lector utilizando estas teclas. Las tarjetas inteligentes generalmente se configuran para no entregar su clave, solo se usa para el procesamiento.

Al utilizar el cifrado adecuado, esencialmente creará un sistema seguro, siempre y cuando no haya problemas de seguridad en las tarjetas inteligentes, lo que permite copiar claves. Por lo general, también protegerá contra los ataques de reproducción, ya que los datos que manipula la tarjeta cambiarán para cada contacto.

    
respondido por el vidarlo 16.07.2018 - 14:08
fuente

Lea otras preguntas en las etiquetas

MITMF no está conectando Metasploit (Inyección HTTP) ¿Cómo sabe Google si estoy iniciando sesión desde una máquina nueva (usando el navegador web)? [duplicar]