Kampüs Kart Güvenliği: Şifreleme, Karşılıklı Kimlik Doğrulama ve Klonlama Önleme

2024 yılında, Avrupalı bir üniversitedeki bir lisansüstü öğrencisi, internetten satın aldığı 50 USD değerindeki ekipmanları kullanarak, kurumun MIFARE Classic tabanlı sistemindeki herhangi bir kampüs kartını kopyalayabileceğini kanıtladı. Birkaç hafta içinde bu açık sosyal medyada paylaşıldı. Üniversite duruma müdahale edemeden yetkisiz bina girişleri, sahte yemekhane işlemleri ve sınav güvenliğinin ihlal edilmesi gibi sorunlar baş gösterdi. Bu olay ciddi bir uyarı niteliğindeydi; ancak asla bir sürpriz olmamalıydı. MIFARE Classic’in Crypto-1 şifrelemesi 2008 yılında kamuya açık bir şekilde kırılmıştı.

Kampüs kartı güvenliği soyut bir kavram değildir. Güvenliği ihlal edilmiş bir kart sistemi; binalarda yetkisiz kişilerin bulunması, çalınan yemekhane bakiyeleri, sahte kütüphane ödünç işlemleri, manipüle edilmiş baskı kredileri ve en kötü senaryoda fiziksel güvenlik riskleri anlamına gelir. Kampüs kartlarını koruyan (veya koruyamayan) şifreleme teknolojilerini anlamak, her üniversite bilgi işlem ve güvenlik uzmanı için hayati önem taşır.

Kampüs Kartlarının Kriptografik Durumu

125 kHz Yakınlık (Proximity) Kartları: Sıfır Güvenlik

Bazı kampüslerde hâlâ rastlanan en eski teknoloji, 125 kHz yakınlık kartlarıdır (HID Prox, EM4100). Bu kartlar, kapsama alanındaki herhangi bir okuyucuya statik ve şifrelenmemiş bir kimlik numarası yayınlar. Burada kimlik doğrulama, şifreleme ve kopyalamaya karşı herhangi bir koruma yoktur. Maliyeti 20 USD’nin altında olan bir cihaz, kart sahibinin haberi olmadan, birkaç fit uzaklıktan bir yakınlık kartını saniyeler içinde okuyabilir ve kopyalayabilir.

Eğer kampüsünüz herhangi bir erişim kontrolü işlevi için hâlâ 125 kHz yakınlık kartlarını kullanıyorsa, durum acildir. Bu kartlar, kilitsiz bir kapıyla aynı güvenliği sunar; yani hiçbir içeriği olmayan, sadece dışarıdan var gibi görünen bir kontrol hissi.

MIFARE Classic: Kırılmış Şifreleme (Crypto-1)

MIFARE Classic kartlar (13,56 MHz frekansında çalışan, ISO 14443A), piyasaya sürüldüklerinde yakınlık kartlarına göre muazzam bir gelişmeydi. Kart ve okuyucu arasındaki kimlik doğrulama için Crypto-1 akış şifrelemesini kullanırlar. Ne yazık ki Crypto-1, 2008 yılında Radboud University Nijmegen’deki araştırmacılar tarafından tersine mühendislikle çözüldü. Bu saldırı yöntemi daha sonra o kadar geliştirildi ki, kolayca temin edilebilen donanımlarla bir MIFARE Classic kartı kopyalamak artık bir dakikadan kısa sürüyor.

Buna rağmen MIFARE Classic, şaşırtıcı sayıda kurumda kullanılmaya devam ediyor. Kartlar ucuzdur, altyapı kuruludur ve geçiş süreci çaba ile bütçe gerektirir. Ancak risk gerçek ve net bir şekilde belgelenmiştir: Temel teknik bilgiye ve ucuz ekipmanlara sahip olan herkes bu kartları kopyalayabilir.

MIFARE DESFire EV2/EV3: Modern Güvenlik

MIFARE DESFire EV2 ve EV3, kampüs kartları için güncel güvenlik standardını temsil eder. Bu çipler, devlet kurumları tarafından gizli bilgileri korumak için kullanılan şifreleme standardının aynısı olan AES-128 şifrelemesini (128 bit anahtarlı Gelişmiş Şifreleme Standardı) uygular.

Karşılıklı kimlik doğrulama en kritik gelişmedir. Bir DESFire EV3 kart bir okuyucuya yaklaştığında, herhangi bir veri alışverişi gerçekleşmeden önce hem kartın hem de okuyucunun birbirlerine kimliklerini kanıtlaması gerekir. Kart doğru şifreleme anahtarına sahip olduğunu kanıtlar, okuyucu da aynısını yapar. Bu, hem kart kopyalamayı (sahte bir kart kimlik doğrulaması yapamaz) hem de yetkisiz okuyucuları (sahte bir okuyucu kart verilerini çekemez) engeller.

Çeşitlendirilmiş anahtarlar başka bir güvenlik katmanı ekler. Sistem, her kart için aynı anahtarı kullanmak yerine, kartın seri numarasına ve bir ana anahtara dayanarak her kart için benzersiz bir anahtar türetir. Bir kartın anahtarı bir şekilde ele geçirilse bile, bu anahtar sistemdeki başka hiçbir karta saldırmak için kullanılamaz.

İşlem MAC'i, belirli bir işlemin belirli bir kart ile belirli bir okuyucu arasında, belirli bir zamanda gerçekleştiğine dair kriptografik kanıt sağlar. Bu, özellikle işlem anlaşmazlıklarının ortaya çıkabileceği nakitsiz ödeme uygulamaları için önemlidir.

DESFire EV3’ün Güvenli Dinamik Mesajlaşma (SDM) özelliği, özel bir uygulamaya gerek duymadan NFC özellikli akıllı telefonlarla güvenli veri alışverişi yapılmasını sağlar; bu da bir öğrencinin doğrulanmış kimlik bilgilerini paylaşmak için kartını bir telefona dokundurması gibi dijital kimlik doğrulama senaryolarını destekler.

HID SEOS: Tescilli Modern Güvenlik

HID’nin SEOS platformu, tescilli bir çerçeve içinde AES-128/256 şifrelemesini uygular. Güvenlik mimarisi, katmanlı şifreleme ve Secure Identity Object (SIO) modelini kullanarak oldukça güçlüdür. SEOS kimlik bilgileri kopyalamaya karşı dayanıklıdır ve karşılıklı kimlik doğrulamayı destekler. Buradaki ödünleşim ise tek bir üreticiye bağımlı kalmaktır (vendor lock-in); SEOS güvenliği HID’nin kapalı ekosistemi içinde çalışır.

Gerçek Dünyadan Kampüs Kartı Saldırıları

Tehdit ortamını anlamak, gerçek olaylara bakmayı gerektirir:

Geçiş Önceliği Çerçevesi

Üniversiteniz kart güvenliğini değerlendiriyorsa, işte bir öncelik çerçevesi:

Kritik — Derhal Geçiş Yapın

İzleyin — 2-3 Yıl İçinde Geçiş Planlayın

Güncel — Modern Güvenlik Standartlarını Karşılıyor

Pratik Güvenlik Önerileri

Çip seçiminin ötesinde, kampüs kartı güvenliği daha geniş bir sisteme dikkat edilmesini gerektirir:

CampusRFID olarak, en son çip teknolojilerini (DESFire EV2, DESFire EV3, SEOS ve geçiş senaryoları için çoklu teknoloji kombinasyonları) kullanarak kampüs kartları üretiyoruz. Ürettiğimiz her kart, kurumunuzun özel anahtar yapılandırması ve güvenlik parametreleriyle programlanır.

*Kampüs kartı güvenliğiniz konusunda endişeli misiniz? Güvenlik değerlendirmesi ve geçiş planlama danışmanlığı için ekibimizle iletişime geçin.*