Otto Sykora schrieb:
Es gibt Attacken auf Mifare, die einzig Zugriff auf einen Reader *oder* eine Karte voraussetzen. Was daran ist nicht soooo einfach?
Erklär mir das doch bitte. Das Problem ist bei Mifare Classic (die werden heute noch verkauft) doch systeminhärent, also nicht so einfach zu beheben. (Und es zeigt, dass »Security by obscurity« nie eine gute Entscheidung ist.)
Christian
-- Christian Zietz - CHZ-Soft - czietz (at) gmx.net WWW: http://www.chzsoft.com.ar/ PGP/GnuPG-Key-ID: 0x6DA025CA
Otto Sykora schrieb:
Das sehe ich deutlich anders. Die UID einer berechtigten Karte kann ich problemlos herausbekommen, ohne dass der Besitzer dieser Karte das merkt. An die Daten einer Magnetstreifenkarte kommt ein Außenstehender deutlich schlechter dran.
Auch dürfte das nötige Equipment, um ein RFID-Tag mit beliebig wählbarer UID zu emulieren, weiter verbreitet sein als das zum Kopieren von Magnetstreifenkarten.
Christian
-- Christian Zietz - CHZ-Soft - czietz (at) gmx.net WWW: http://www.chzsoft.com.ar/ PGP/GnuPG-Key-ID: 0x6DA025CA
Otto Sykora schrieb:
Das ist falsch, zumindest für Karten nach ISO14443. Dort ist ein Antikollisionsverfahren festgelegt, bei dem theoretisch unendlich viele Karten gleichzeitig im Feld sein dürfen und trotzdem einzeln selektiert werden können. 5 Tags gleichzeitig schafft selbst mein Billig-Reader.
Christian
-- Christian Zietz - CHZ-Soft - czietz (at) gmx.net WWW: http://www.chzsoft.com.ar/ PGP/GnuPG-Key-ID: 0x6DA025CA
Moin!
Zumal der Betrag wohl üblicherweise nicht auf der Karte, sondern auf dem Kassenserver gespeichert ist. Daß sich zwei Karten stören, hab ich allerdings schon erlebt.
Gruß, Michael.
Hi Otto,
RFID habe ich bisher nicht unter 79 ct zzgl MwSt gesehen, wenn Du billigere Quelle hast, nur her damit. Magnetkarten gibt es den 1000er Pack ab 84 Euro. Antik ist da dran nichts, das ist Massenware.
Wenn überhaupt dann den von Pollin, aber nie aus der blauen Apoteke. Mir scheint, Du hast den totalen Marktüberblick.
Marte
Hi Otto,
Und wer macht ab sofort die ganzen Kreditkarten, EC-Karten ... Ich hätte noch nicht mitbekommen, dass da eine Umstellung im Gange wäre.
Wenn Du die bei Conrad kaufst, dann mag das durchaus so sein. Ich habe da bisher einen anderen Eindruck. Da müsstest Du schon griffigere Argumente bringen.
Marte
Da Du Dich damit befaßt hast, kennst Du einen Hersteller, der bezahlbar in kleinen Mengen Karten mit einem holographischen Sicherheitsmerkmal (halt so einem schillernden Silberstreifen nach Vorgabe) liefern kann?
-ras
-- Ralph A. Schmid http://www.dk5ras.de/ http://www.db0fue.de/ http://www.bclog.de/
Hallo Ralph,
Gesehen hab ich das zwischendurch auch schon. Da mich das aber eher weniger interessiert hatte, hab ich mir die Anbieter nicht gemerkt. Sorry, aber wenn mir wieder was begegnet, meld ich mich.
Marte
Kein Problem; dachte ja nur, evtl. kennst da jemanden. Ist auch noch nicht so akut...
-ras
-- Ralph A. Schmid http://www.dk5ras.de/ http://www.db0fue.de/ http://www.bclog.de/
Hallo Marte,
Du hast ja schon eine Menge Antworten bekommen. Ich geb trotzdem meinen Senf dazu, vielleicht hilfts ja was.
Ich wuerde von den Magnetkarten abraten. Du sagst, dass Du Magnet aus Kostengruenden bevorzugst. Ich glaube aber nicht dass diese Rechnung aufgeht. Ein Magnet Leser/Schreiber hat eine Menge mechanischer Teile und ein komplexes Steuerprotokoll. Da kannst Du schnell eine Menge Kroeten ausgeben, selbst auf Ebay, und hinterher eine noch groessere Menge Arbeitsstunden nachlegen.
Viel einfacher sind reine "digitale" Loesungen. Also entweder iButton oder Smartcard oder RFID.
Am einfachsten ist der iButton. Das ist das sog. 1-wire Protokoll und ist ein bisschen aehnlich wie SPI und I2C. Nachteil: die Dinger gibts nicht geschenkt. Sie sind aber auch nicht teuer, und die Kosten verteilen sich auf die Vereinsmitglieder. Du kannst auch noch ein paar Cents sparen indem Du nicht fertige Schluesselanhaenger sondern lose 1-wire chips mit Seriennummer benutzt (und die selbst irgendwie in einen Schluesselanhaenger umbaust). Aufwand: 100 EUR fuer Material und Muster, und 3 Wochen Bauen, Programmieren, Testen und Gehaeuse feilen.
Kaum schwerer sind simple synchrone Smartcards, also solche ohne T=0/1 Protokoll. Die gibts als I2C (leicht kopierbar) und als programmierbare PIC/AVR Karten (sog. Wafercards). Zudem kannst Du auch kommerzielle Karten recyclen (=GRATIS), zB verbrauchte Telefonkarten. Wenn Du fit im Programmieren bist, kannst Du auch ziemlich leicht das T=0 Protokoll verwenden, welches Dir z.B die Geldkarte der Mitglieder eroeffnet, oder leere GSM SIM Karten. Ueber die ICCID (Seriennummer) kannst Du ein simples Zugangssystem einrichten. Aufwand: 70 EUR und ebenfalls so 3 Wochen.
Und zuguterletzt gibt es auch noch die RFIDs. Das ist ein Tick teurer als die anderen Loesungen, aber auch wesentlich komfortabler. Die Tags sind in allen moeglichen Formen und Preislagen verfuegbar. Den Reader musst Du fuer eine guenstige Loesung aber wohl selbst bauen. Im Prinzip reichen eine Antennenschleife, ein Mikro (PIC/AVR) und passende Software. Der Aufwand kommt in den Bereich der Magnetkarten, aber das Ergebnis ist ansprechender. Wenn Du Glueck hast, gibt es vielleicht sogar ein Projekt im Internet welches Dir einen Teil der Arbeit erspart. Aufwand: 150 EUR und bestimmt 6 Wochen, zudem brauchst Du ein mittelmaessiges Digitaloszi.
Viel Erfolg, Marc
Moin!
Marte sprach von Durchzuglesern, die haben keine beweglichen Teile.
Wo bekommt man da denn 1000 Stück für lau?
Zudem meine ich mich zu erinnern, daß Telefonkarten keine individuelle Seriennummer haben, sondern nur Chargennummern. Bei 1000 Stück aus einer Quelle kanns da schon viele mehrfach geben...
Nicht jeder möchte seine Kontodaten auf einem Server in der Turnhalle gespeichert haben. Und ich wüsste niemanden, der eine Geldkarte zusätzlich zur EC-Karte hätte.
Gruß, Michael.
Hi all,
Es ist noch nicht ganz durch, aber es scheint sich die Variante mit RFID doch durchsetzen zu können. Die Aussicht, auf eine mechanisch solidere Gestaltung des Lesers findet zusehend Anhänger in der Kundschaft. Da ist ein Kaugummi einfacher wegzumachen und behindert die Funktion nicht. Den Schlüssel nicht aus der Tasche nehmen zu müssen findet auch Freunde, speziell der herannahende Winter bringt hier anscheinend eine Wende mit sich. Komfort darf kosten...
Alles ist noch im Fluß. Die derzeit favorisierten Transponder haben nur so wenig Platz für Werbung ;-) Man kanns eben nie allen recht machen...
Marte
Michael Eggert ha escrito:
uelle
salle
Der Vorteil des Smartcard Interface liegt darin, dass alle Karten durch Software-Aenderungen ansteuerbar werden. Nicht jedes Mitglied muss zwingend denselben Kartentyp benutzen. Jedes der 1000 (?) Mitglieder des "chronisch klammen" Vereins kann eine beliebige Smartcard mitbringen welche dann eingelesen und zum Tueroeffner erhoben wird. Ob das eine extra gekaufte Karte ist, oder eine alte Karte, oder eine aktuell (eigentlich fuer einen anderen Zweck) benutzte Karte ist, ist Schnuppe.
Doppelte Seriennummern sind kein Problem, sofern nur die Funktion "Oeffnen" gebraucht wird (und nicht "Zutritts-Log"). Andernfalls muessen die kollidierenden Karten halt aus dem System ausgeschlossen werden.
Uebrigens ist die ICCID einer Geldkarte nicht dasselbe wie Deine Kontodaten. Sie ist fuer jeden frei lesbar und stellt kein Risiko dar. Alte GSM SIM Karten eigenen sich uebrigens auch ganz gut. Man kann ein paar Challenge-Response Paare auslesen und in den Tueroeffner einbauen um so ein wenig (nicht viel) Sicherheit zu gewinnen.
Bedenke dass diese Ideen und Tipps vor allem auf die finanizellen Anforderungen des OP zugeschnitten sind.
Gruesse und viel Spass beim Programmieren Marc
Moin!
Ohne den Verein zu kennen: Eigentlich sollte auch jeder nen Euro für ne Smartcard oder 2 Euro fürn RFID übrighaben.
Ich würde definitiv nicht 1000 Schlüssel rausgeben, wenn ich die nicht auch einzeln sperren könnte. Bedenke nur, wieviele von 1000 in einem Jahr ihre Karte verlieren, wieviele den Verein verlassen ohne ihre Karte abzugeben und schlussendlich: wieviele von 1000 Mann Durchschnittsbevölkerung schlicht bekloppt sind. Da reichen schon 5 Hanseln und Du hast jede Woche Deine Freude, ob es herunter- geschmissene Bierpullen sind, Graffitis an den Wänden, zerstörtes Mobiliar oder ehemaliger Mageninhalt in der Ecke. Bei 1000 Leuten _will_ man wissen, wer da war, und man will auch, daß diejenigen das letzte mal da waren. Wer 1000 identische Schlüssel verteilt, der kann die Tür auch gleich offen lassen.
Ja, aber erklär das mal demjenigen, den Du nach seiner EC-Karte fragst, wenn er nur Zutritt zur Turnhalle möchte. Jeder zweite wird Dich schief anschauen und nachhaken, daß Du auch ja nichts abbuchst.
Die anderen sind dann diejenigen mit 5 Payback-Karten, die an der Kasse auch immer brav ihre Postleitzahl angeben. :-)
Da wären wir wieder beim ersten Punkt...
Gruß, Michael.
"Marte Schwarz" schrieb im Newsbeitrag news: snipped-for-privacy@mid.uni-berlin.de...
also unsere Werksausweise sind RFID, damit wird auch an den Automaten und in der Kantine bargeldlos bezahlt. Geht prima und die Karten sind hin- reichend robust. Klar, es gibt immer ein paar Spezialisten, aber die schrotten sich ihre EC-Card dabei gleich mit. Gegen Magnetkarten spricht bei uns auch, dass ich nur einmal einen un- günstigen Weg durch die Motorenfertigung nehmen muss...BZZZZT--jelöscht.
CU Ralf
ElectronDepot website is not affiliated with any of the manufacturers or service providers discussed here. All logos and trade names are the property of their respective owners.