Tipos de chips MIFARE®
Breve introducción
MIFARE® es la marca comercial propiedad de NXP Semiconductors que fue una división de Philips Semiconductors hasta que la empresa se separó de Philips.
La marca MIFARE® ofrece diferentes productos y tecnología basada en el estándar ISO/IEC 14443 Type A 13.56 MHz para las tarjetas inteligentes sin contacto (contactless smart cards). Actualmente, podemos afirmar sin temor a equivocarnos que la marca MIFARE® es un referente mundial tanto por su amplitud de utilización como número de chips que existen en el mercado.
Las aplicaciones más comunes que utilizan el chip contactless MIFARE® son:
Sistemas de billetaje en transporte público, identificación de tarjetas para controles de acceso, tarjetas para sistemas de fidelización, micro-pagos, sistemas de pagos en peajes de autopistas, billetaje en móviles (a través de pegatinas contactless), tarjetas de identificación ciudadana, identificación para acceso en parkings, autentificación de productos, control de producción, acceso en parque de atracciones, gestión de flotas, publicidad interactiva, gestión de residuos, servicios de información y un largo etcétera.
MIFARE Classic® y MIFARE Classic® EV1
El chip MIFARE® Classic fue lanzado en 1994 y básicamente se trata de una memoria que se encuentra dividida en sectores y bloques con un sistema de seguridad bajo.
Bajo la familia MIFARE Classic® se ofrecen varios productos:
♦ MIFARE Classic® de 1K con una capacidad de 1.024 bytes, dividida en 16 sectores y protegida por 2 claves de seguridad diferentes (A y B). Cada sector está estructurado en 4 bloques de 16 bytes. Tiene una capacidad para aplicaciones de 752 bytes.
♦ MIFARE Classic® de 4K con una capacidad de 4.096 bytes, dividida en 40 sectores. Con una capacidad para aplicaciones de 3.440 bytes.
♦ MIFARE® mini con 320 bytes divididos en 5 sectores. Con una capacidad para aplicaciones de 224 bytes.
NXP utiliza para esta familia un protocolo propietario de seguridad (Crypto-1) en la autentificación y el cifrado.
El chip MIFARE Classic®, de uso muy extendido y utilizado en todo el mundo, tiene ya un sucesor, el chip MIFARE Classic® EV1. Este chip sucede todas las versiones previas del chip MIFARE Classic® y es compatible con ellas. Estas son algunas de las nuevas características del chip MIFARE Classic® EV1:
♦ Está disponible con UID de 7 bytes o bien con un NUID (non-unique identifier) de 4 bytes
♦ El UID de 7 bytes también puede ser aleatorio
♦ Disponible en versiones de 1 KB o 4 KB
♦ Soporta hasta 200.000 ciclos de escritura (en lugar de 100.000 ciclos)
MIFARE Ultralight® y MIFARE Ultralight® EV1
La característica principal del producto MIFARE Ultralight® es que no ofrece seguridad criptográfica y dispone de tan sólo 64 bytes de memoria, dividida en 16 páginas de 4 bytes. Este producto está destinado básicamente a aplicaciones de 1 sólo uso, por ello, se puede escribir en la memoria 1 sola vez bloqueando la función de escritura, una vez que se ha grabado.
Sin embargo, y siguiendo con la misma filosofía de producto pero con funcionalidades extendidas en seguridad se lanza la MIFARE Ultralight® EV1 en versiones con 48 bytes o 128 bytes de memoria. Las funciones de seguridad que incluyen son bloqueo (por página) de los bits para re-escritura con contadores configurables, password de 32 bits y contadores para evitar recargas.
MIFARE Ultralight® C
Se trata de una versión de bajo coste para aplicaciones de 1 sólo uso pero con seguridad 3DES que permite ser integrado en muchas infraestructuras existentes sin tener que realizar modificaciones. La autentificación 3DES previene la clonación de las tarjetas.
Este chip ofrece una capacidad de 192 bytes con la misma estructura que la MIFARE Ultralight® (páginas de 4 bytes), además cumple completamente con la ISO/IEC 14443 partes 1-3, dispone de un contador de 16 bit y un número de serie único de 7 byte.
MIFARE® DESFire® y MIFARE® DESFire® EV1
MIFARE® DESFire® ofrece características de seguridad en hardware y software avanzadas en comparación a las características de MIFARE Classic®. Este chip está pre-programado con un sistema operativo ofreciendo una estructura de directorio y archivos. Este chip cumple con la norma ISO/IEC 14443 partes 1-4. La extensión del nombre “EV1” indica primera evolución del original.
Existen 4 variantes según su capacidad de memoria y características de encriptación:
♦ Memoria con 4 KBytes , encriptación 3DES, para MIFARE® DESFire®
♦ Memoria con 2 KBytes, encriptación AES, para MIFARE® DESFire® EV1
♦ Memoria con 4 KBytes, encriptación AES, para MIFARE® DESFire® EV1
♦ Memoria con 8 KBytes, encriptación AES, para MIFARE® DESFire® EV1
Otras características comunes para EV1: número de identificación aleatorio, certificado EAL 4+
MIFARE® DESFire® EV2
Esta nueva evolución incluye nuevas prestaciones como:
- Aplicación MismartApp que permite ofrecer espacio de memoria interno a otras empresas sin necesidad de compartir las claves de acceso
- Autentificación de las transacciones de terceras partes mediante transacción MAC
- Verificación de proximidad contra ataques en la transmisión
- Arquitectura de tarjeta virtual para protección de la privacidad
- Certificado de seguridad common criteria EAL 5+ para el IC (hadware y software, en proceso actualmente)
- Rendimiento de lectura hasta 100 mm (versiones de 70 pF)
- Compatibilidad con las versiones antiguas de MIFARE® DESFire®
MIFARE® DESFire® Light
MIFARE® DESFire® Light es totalmente compatible con el protocolo para tarjetas inteligentes de proximidad sin contacto según las tramas de comunicación ISO / IEC 14443-4 e ISO / IEC 7816-4 haciéndolo compatible con la mayoría de los dispositivos de infraestructura sin contacto existentes y con dispositivos NFC, como los teléfonos móviles habilitados para NFC.
MIFARE® DESFire® Light tiene una estructura de memoria basada en archivos que cumple con la norma ISO / IEC 7816-4 con una configuración fija y predefinida de seis archivos individuales (EF).
La configuración predefinida permite varios supuestos de uso y permite la gestión de datos según sea la aplicación. La memoria está organizada en un único directorio (DF) y los derechos de acceso son configurables. MIFARE® DESFire® Light ofrece tres archivos de datos estándar individuales con un total de 544 bytes de memoria para el almacenamiento de datos específicos de la aplicación.
La memoria que ofrece es de 640 bytes, equivalente a la memoria de usuario del chip MIFARE® Classic de 1kB.
El UID es de 7 bytes, pero permite configurarlo para que sea de 4 bytes en formato aleatorio.
Aplicaciones: gestión de acceso, venta de entradas, billetes de transporte, vales o cupones, aplicaciones de juego y apuestas, tarjetas de fidelización.
MIFARE Plus® (MIFARE Plus® S o MIFARE Plus® X)
La nueva versión y reemplazo para el MIFARE Classic®. Ofrece facilidades para operar en infraestructuras existentes aumentando significativamente la seguridad. La gestión de los datos es idéntica a la mifare® Classic, excepto la gestión de las características de seguridad que habitualmente requieren de modificaciones en los lectores instalados.
La características principales son:
♦ Memoria de 2 KBytes o 4 KBytes
♦ Número de serie único (UID) de 7 o 4 bytes, con soporte para número UID aleatorio de 4 bytes
♦ Soporta encriptación datos basado en AES 128 bit y Crypto-1
♦ Nivel de seguridad EAL 4+
♦ 2 versiones: Plus S para una migración rápida de sistemas existentes o Plus X con comandos adicionales (especialmente en el apartado de seguridad)
MIFARE® SAM
MIFARE® SAM no es una tarjeta sin contacto inteligente. Es un módulo de acceso de seguridad (Security Access Module) para almacenar de forma segura las claves y funciones criptográficas que se instala en los lectores contactless para operar de forma segura con las tarjetas contactless MIFARE® ofreciendo una garantía de seguridad en las comunicaciones entre lector y tarjeta contactless.
La versión MIFARE® SAM AV2 (evolución 2) ofrece las siguientes características principales:
♦ Compatible con las soluciones MIFARE® existentes
♦ Soporta criptografía Crypto-1, 3DES, RSA y AES
♦ Diversificación de claves de acceso
♦ Sistema segura para la descarga y almacenamiento de claves
♦ 128 claves de acceso
♦ Velocidad de comunicación hasta 1.5 Mbit/segundo según ISO/IEC 7816
♦ Funcionalidad X-mode
♦ Infraestructura de claves pública (PKI)
♦ SHA1, SHA-224 y SHA-256
Como otras tarjetas de acceso seguro ofrece el almacenamiento seguro de las claves y permite la autentificación y encriptación de datos entre la tarjeta contactless, el lector/grabador contactless MIFARE® ISO14443A/B y el SAM, y finalmente con el sistema host que soporta el aplicativo.
La evolución de los chip MIFARE® en relación a capacidad de memoria, aplicaciones, número de bytes para el número de serie, sistemas y algoritmos de seguridad, ha evolucionado muy rápido en los últimos 10 años desde que en 1.994 se introdujo el chip MIFARE Classic® de 1K.
Esto ha provocado que muchos lectores contactless MIFARE® ISO14443A/B que estaban instalados se hayan quedado obsoletos en el transcurso del tiempo. Teniendo que operar con sistemas de seguridad bajos (principalmente por ataques del algoritmo de seguridad y su publicación en las redes) o con tarjetas sin contacto que no disponen de un número de serie único (se están fabricando tarjetas con UID duplicados).
Por lo tanto, la implementación de lectores en los sistemas de seguridad que ofrezcan la posibilidad de actualizar el firmware (local o remotamente), ofrecen unas ventajas competitivas superiores a los lectores que no dispongan de esta opción, ya que entonces, existe la posibilidad de mantenerlos al día, de manera que si van apareciendo nuevos chips MIFARE® en el mercado o cambia alguna especificación de los mismos (por ejemplo la longitud del UID), los van a poder soportar para trabajar con ellos, sin la necesidad de cambiar el lector.
El cambio de un lector contactless en un sistema, no significa solamente cambiar uno por otro, habitualmente los problemas que se derivan son de diversa índole: modificaciones mecánicas, modificaciones de software, implementaciones de nuevas funcionalidades, nuevos protocolos, etc.
Tabla resumen de las principales características de los chips MIFARE®
NUID: sin número de identificación único
UID: con número de identificación único