W ostatnich latach infrastruktura ładowania samochodów elektrycznych przestała być dodatkiem, a stała się koniecznym elementem nowoczesnych biurowców, zakładów produkcyjnych i obiektów komercyjnych. Wraz z jej rozwojem pojawia się jednak temat, który bardzo często jest bagatelizowany, choć potrafi położyć całą inwestycję już na etapie przekazania jej użytkownikom. Chodzi o karty dostępu RFID.
Dopóki nie trzeba włączyć stacji do firmowego systemu kontroli dostępu, temat wydaje się banalny: stacja ma czytnik, karta jest plastikowa, przykładam i działa. I tak by było, gdybyśmy żyli w świecie idealnym, ale w rzeczywistości to zagadnienie jest dużo bardziej złożone. Zdecydowanie bardziej, niż większość klientów — a czasem i instalatorów — zakłada.
Najczęstszy scenariusz wygląda tak: klient pyta, czy stacje obsługują częstotliwość 13,56 MHz. Instalator potwierdza, bo to prawda — większość obecnych na rynku urządzeń pracuje właśnie w tym paśmie. W tym momencie obie strony czują, że temat jest zamknięty. Tymczasem to dopiero początek rozmowy, nie jej koniec.
Po kilku dniach przychodzi jednak wiadomość: „Czy to oznacza, że stacje obsługują również bezpieczne układy kryptograficzne MIFARE DESFire EV2/EV3, z pełnym szyfrowaniem AES128 i wzajemnym uwierzytelnianiem?”
I właśnie w tym momencie zaczyna się prawdziwa techniczna opowieść o tym, jak wiele osób myli samą częstotliwość z funkcjonalnością. Bo 13,56 MHz nie oznacza automatycznie obsługi DESFire — i to jest najważniejsza rzecz, którą trzeba zrozumieć, zanim zacznie się oferować klientowi jakąkolwiek integrację.
Czym w ogóle jest 13,56 MHz i dlaczego nie świadczy o bezpieczeństwie?
Częstotliwość 13,56 MHz określa wyłącznie sposób komunikacji między kartą a czytnikiem. Możemy ją porównać do ustalenia, że mówimy po polsku. To oczywiście coś znaczy, ale nie mówi jeszcze ani o kompetencjach rozmówcy, ani o poziomie zaawansowania dyskusji. W języku polskim można recytować wiersze Mickiewicza, wygłaszać mowy w Sejmie, ale można też powiedzieć „kup mi chleb”.
Dokładnie tak samo wygląda komunikacja RFID. W paśmie 13,56 MHz działają bardzo różne technologie:
- prymitywne układy bez zabezpieczeń,
- starsze standardy typu MIFARE Classic,
- nowsze technologie wykorzystujące kryptografię, takie jak DESFire EV1, EV2 i EV3,
- NFC w telefonach,
- systemy biletowe, dostępowe, biblioteczne i wiele innych.
Wszystko to mieści się pod jednym parasolem częstotliwości. Nic dziwnego więc, że samo stwierdzenie „obsługuje 13,56 MHz” jest tak naprawdę informacją równie ogólną, jak odpowiedź „tak, jemy obiady”, kiedy ktoś pyta o preferencje dietetyczne. Teoretycznie prawda, ale praktycznie nie mówi to nic.
Dlaczego korporacje wymagają DESFire EV2/EV3?
W dużych firmach karta pracownika jest elementem systemu bezpieczeństwa. To nie jest zwykły plastik, który otwiera drzwi. To klucz do wielu zasobów, często zintegrowany z systemami czasu pracy, drukowania, rezerwacji stanowisk, dostępu do stref wrażliwych, a nawet z systemami IT.
Karty DESFire w wersjach EV2 i EV3 stały się standardem właśnie dlatego, że spełniają bardzo wyśrubowane wymagania bezpieczeństwa. Mogą być chronione za pomocą szyfrowania AES128, posiadają mechanizmy wzajemnego uwierzytelniania, a dane zapisane na karcie mogą być przechowywane w wielu aplikacjach, z których każda ma własne klucze i poziomy dostępu. To coś znacznie więcej niż identyfikator — to mobilny nośnik wielowarstwowego bezpieczeństwa.
Dlatego korporacje traktują kartę pracownika jak fragment architektury bezpieczeństwa, a nie jak gadżet. Kiedy więc inwestują w stacje ładowania, oczekują, że ta część infrastruktury również będzie zgodna z obowiązującym standardem. Naturalne jest więc pytanie: czy stacja obsłuży tę samą kartę, którą pracownik otwiera drzwi?
Odpowiedź brzmi: nie zawsze. I często nie z powodów oczywistych.
Dlaczego większość stacji ładowania nie obsługuje DESFire?
Trzeba powiedzieć to jasno: większość stacji ładowania na rynku, nawet tych uznanych producentów, obsługuje jedynie najprostszy model autoryzacji, czyli odczyt numeru UID karty. Ten numer jest unikalny dla danej karty, ale nie jest szyfrowany ani w żaden sposób chroniony. To tak, jakby klucz do biura miał wybity na sobie numer i ochroniarz wpuszczałby ludzi na podstawie tego, co jest napisane z przodu, a nie tego, co rzeczywiście zapisane jest w zamku.
Karty MIFARE DESFire potrafią znacznie więcej. Mogą przechowywać unikalne aplikacje, klucze kryptograficzne, dane użytkownika, zaszyfrowane znaczniki czasu i wiele innych informacji. Stacja, która naprawdę wspiera DESFire, musi umieć odczytać te aplikacje, nawiązać sesję uwierzytelniania, wymienić klucze, odszyfrować dane i dopiero wtedy zatwierdzić użytkownika. To nie jest funkcjonalność, którą dostaje się „w pakiecie” z samym faktem używania 13,56 MHz.
Producenci stacji ładowania często stosują zwykłe, tanie moduły RFID, ponieważ w ogromnej części zastosowań to wystarcza. Mają przecież działać karty operatora, karty prywatne, karty klubu użytkownika. Większość klientów nie oczekuje integracji z systemem dostępu firmy. Ale gdy trafia się inwestor korporacyjny, sytuacja wygląda zupełnie inaczej.
Różnica między „działa z DESFire” a „zapewnia bezpieczeństwo DESFire”
To jedno z najważniejszych nieporozumień w branży. Karta DESFire może zostać wykryta przez czytnik 13,56 MHz, ale to nie oznacza, że stacja wykorzystuje jej możliwości. Jeśli czytnik odczytuje jedynie numer UID, to integracja działa pozornie, ale faktycznie nie korzysta z żadnej kryptografii.
To trochę tak, jakbyśmy mieli smartfon najnowszej generacji, ale używali go wyłącznie jako latarki. Technicznie działa, ale nie wykorzystujemy jego możliwości.
Dla korporacji jest to nie do przyjęcia, bo prowadzi do trzech zagrożeń:
- łatwość sklonowania karty,
- brak zgodności z polityką bezpieczeństwa firmy,
- brak audytowalności i kontroli nad dostępem.
Firmy nie chcą stacji, które weryfikują pracownika „na pół gwizdka”. Chcą autoryzacji zgodnej z ich standardem, a tym standardem jest pełne uwierzytelnianie DESFire.
Dlaczego czytnik musi wspierać konkretny model DESFire?
Technologia DESFire jest rozwijana od wielu lat, a każda kolejna wersja przynosi nowe możliwości. Obsługa DESFire EV1 nie oznacza jeszcze obsługi EV2, a obsługa EV2 nie gwarantuje kompatybilności z EV3. To osobne generacje o różnych zestawach funkcji i wymaganiach sprzętowych.
W stacjach ładowania obsługę DESFire realizuje nie sama stacja, ale moduł RFID zamontowany w jej obudowie. To właśnie ten moduł decyduje o tym:
- czy stacja wspiera AES128,
- czy jest możliwe wzajemne uwierzytelnianie,
- czy można odczytywać aplikacje zapisane na karcie,
- czy można integrować stację z firmowym systemem kontroli dostępu.
Moduły, które to potrafią, to zwykle produkty firm takich jak ELATEC czy FEIG. Są droższe, bardziej zaawansowane i wymagają konfiguracji. Dlatego nie stanowią standardowego wyposażenia większości ładowarek.
Dlaczego nie da się potwierdzić obsługi DESFire na podstawie częstotliwości?
Częstotliwość jest jak alfabet. Może być używana do pisania poezji i do pisania haseł na murach. Ale alfabet sam w sobie nie mówi nic o tym, co jest zapisane.
Tak samo jest z częstotliwością 13,56 MHz. Obsługują ją zarówno technologie primitywne, jak i te najbardziej zaawansowane. Dlatego zdanie „nasze stacje mają czytnik 13,56 MHz” nie odpowiada na pytanie klienta korporacyjnego. To jedynie informacja, że stacja komunikuje się w prawidłowym paśmie. A klient pyta o konkretne funkcje kryptograficzne, które nie wynikają z samej częstotliwości.
Co powinien zrobić instalator, zanim obieca integrację?
W praktyce najważniejsza rzecz do przekazania brzmi: nigdy nie należy obiecywać klientowi, że jego karta firmowa będzie działać ze stacją ładowania tylko dlatego, że jedna i druga używa 13,56 MHz. To zbyt duże uproszczenie. Instalator powinien zawsze poprosić o specyfikację kart używanych w firmie oraz o informacje, na jakich aplikacjach i kluczach pracuje system kontroli dostępu.
Następnie należy ustalić z producentem stacji, jaki dokładnie moduł RFID jest w niej zamontowany. Dopiero wtedy można odpowiedzieć na pytanie, czy integracja jest możliwa. Jeśli moduł obsługuje DESFire EV2/EV3, a producent umożliwia konfigurację aplikacji i kluczy, integracja jest jak najbardziej realna. Jeśli nie — pozostają dwie opcje: używanie osobnych kart albo wymiana czytnika na inny, jeżeli producent stacji przewiduje taką możliwość.
Dlaczego integracja z firmowymi kartami to nie „fanaberia klienta”, tylko realna potrzeba
Firmy chcą jednej karty do wszystkiego, ponieważ chaos kartowy generuje problemy organizacyjne, koszty i ryzyka. Pracownik, który musi nosić dodatkową kartę tylko do ładowania samochodu, często ją gubi lub zostawia w aucie. Dział administracji musi wtedy wydawać duplikaty, prowadzić rejestry, zarządzać odrębnymi uprawnieniami. W dużych firmach to wszystko przekłada się na realny koszt.
Jest też czynnik bezpieczeństwa. Systemy kontroli dostępu są kluczowym elementem infrastruktury ochrony danych i ludzi w firmie. Stacja ładowania staje się ich częścią w momencie, gdy bierze udział w procesie autoryzacji pracownika. Dlatego musi działać w taki sposób, aby nie obniżać poziomu bezpieczeństwa całego systemu.
Najważniejsze, co trzeba zapamiętać
Choć temat kart RFID wydaje się drobny i techniczny, w praktyce może zadecydować o tym, czy inwestycja w stacje ładowania będzie działać spójnie z resztą infrastruktury firmy. Częstotliwość 13,56 MHz to dopiero początek rozmowy, a nie jej koniec. To tylko fundament komunikacji. Prawdziwa wartość leży w tym, jakie technologie są na niej zbudowane.
- DESFire EV2/EV3 nie działa automatycznie tylko dlatego, że stacja ma 13,56 MHz.
- Obsługa DESFire zależy od konkretnego modułu czytnika RFID.
- Korporacje wymagają DESFire, ponieważ zapewnia wysoki poziom bezpieczeństwa.
- Instalatorzy powinni weryfikować specyfikacje kart i czytników przed złożeniem obietnic.
- Integracja jest możliwa, ale tylko wtedy, gdy stacja naprawdę obsługuje pełną kryptografię.
Podsumowanie
Dzisiejszy świat bezpieczeństwa jest bardziej wymagający niż kiedykolwiek. Karta pracownika nie jest zwykłym plastikiem, a systemy kontroli dostępu nie są już prostymi układami otwierającymi drzwi. Dlatego integracja stacji ładowania z firmowym systemem musi być wykonana świadomie, z pełnym zrozumieniem technologii i ograniczeń.
Częstotliwość 13,56 MHz jest jak alfabet — umożliwia rozmowę, ale jeszcze nie gwarantuje, że rozmówcy posługują się tym samym językiem. Aby stacja była kompatybilna z kartami firmowymi, musi wspierać pełne DESFire EV2/EV3, a to nie jest funkcja, którą dostaje się „w pakiecie” z częstotliwością. To świadomy wybór producenta stacji oraz zastosowanego modułu RFID.