...
- les groupes/rôles sont construits via des règles sur l'eppn uniquement ...
Peut-on utiliser esup-nfc-tag pour modifier la master key d'une carte
Dans certains cas (par exemple l'utilisation de carte vièrge dans le cadre du SGC) il peut être nécessaire de positionner une cle master sur une carte avant de pouvoir l'encdoder normalament (ceci sans passer par les différents contrôles proposés par esup-nfc-tag). En effet esup-nfc-tag propose, dans son fonctionnement le plus courant, de contrôler l'existence de la carte puis de vérifier sa validité dans le système d'information (tagIdCheck et validateTag).
L'idée ici est de shunter ces deux étapes en utilisant les implémentations Dummy proposées dans esup-nfc-tag-server. Ces implémentations valident systématiquement les tags en retournant "true" quelle que soit la carte badgée.
Il est donc possible de créer un bean AppliExtApi reprenant l'implémantation AppliExtDummy en précisant un nom de salle (location) personnalisé.
De plus il faut déclarer un DesfireWriteConfig et un DesfireTag qui décrivent les actions à opérer sur la carte.
Dans ce cas il faut donc ajouter la configuration suivante:
applicationContext-desfire.xml (pour modifier la master key par defaut par une clé AES)
| Bloc de code | ||
|---|---|---|
| ||
<bean id="desfireChangeMasterKeyTagEsupSgc" class="org.esupportail.nfctag.beans.DesfireTag" p:formatBeforeWrite="true" p:keyStart="0000000000000000" p:keyTypeStart="DES" p:keyFinish="12345678901234567890123456789012" p:keyTypeFinish="AES" p:keyVersionFinish="01">
</bean>
<bean id="desfireAuthConfigChangeKeyMasterEsupSgc" class="org.esupportail.nfctag.service.api.impl.DesfireWriteConfig">
<property name="desfireTag" ref="desfireChangeMasterKeyTagEsupSgc" />
<property name="description" value="Changement de la Master Key"/>
</bean> |
applicationContext-custom.xml (ajout d'une application dummy dediée)
| Bloc de code | ||
|---|---|---|
| ||
<bean id="dummyChangeMasterKeyExtApi" class="org.esupportail.nfctag.service.api.impl.AppliExtDummy">
<property name="description" value="Changement Master Key"/>
<property name="locationsNames">
<util:list>
<value>Change Master Key</value>
</util:list>
</property>
</bean> |
Puis il faut créer une application esup-nfc-tag au niveau de l'IHM en utilisant les paramètres suivants :
- Nom : Change Master Key
- Configuration NFC : Changement de la Master Key
- Application externe : Changement Master Key
Nous souhaitons mettre en place l'encodage des cartes pour du contrôle d'accès basé sur Desfire
ESUP-SGC et ESUP-NFC-TAG permettent cette mise en oeuvre de l'encodage Desfire pour des usages très sécurisés comme le contrôle d'accès.
C'est la partie la plus délicate de l'installation d'une telle plateforme dans un établissement ou un groupement d'établissements : Desfire est assez éloignée de nos coeurs de métiers dans nos SI !
Pour une telle mise en oeuvre, nous vous conseilleurs de prendre connaissance et lire attentivement les documentations suivantes sur les espaces ESUP-SGC / ESUP-NFC-TAG :
- Tags NFC - getting started
- Contrôle d'accès à l'Université de Rouen Normandie
- Configuration Desfire avancée
- Configuration spécifique COMUE Normandie Université
Quels types de cartes ESUP-NFC-TAG est-il capable d'encoder ?
ESUP-NFC-TAG propose l'encodage (et décodage/lecture sécurisée) des cartes Mifare Desfire ; c'est à dire les cartes actuellement les plus utilisées dans nos établissements car considérées comme les plus sécurisées et permettant ainsi de proposer en confiance un moyen de paiement et de contrôle d'accès.
...
Nous souhaitons mettre en place l'encodage des cartes pour du contrôle d'accès basé sur Desfire
ESUP-SGC et ESUP-NFC-TAG permettent cette mise en oeuvre de l'encodage Desfire pour des usages très sécurisés comme le contrôle d'accès.
C'est la partie la plus délicate de l'installation d'une telle plateforme dans un établissement ou un groupement d'établissements : Desfire est assez éloignée de nos coeurs de métiers dans nos SI !
Pour une telle mise en oeuvre, nous vous conseilleurs de prendre connaissance et lire attentivement les documentations suivantes sur les espaces ESUP-SGC / ESUP-NFC-TAG :
- Tags NFC - getting started
- Contrôle d'accès à l'Université de Rouen Normandie
- Configuration Desfire avancée
- Configuration spécifique COMUE Normandie Université
Avant toute chose cependant, assurez-vous d'être en possession de la "master key" de vos cartes !
Sans cette clef, vous n'aurez pas la possibilité d'ajouter des "applications Mifare Desfire" sur vos cartes.
J'ai besoin de connaître la master key de ma carte ?
La "master key" de la carte Mifare Desfire est une clef (DES ou AES) qui permet d'ajouter des "applications Desfire" pour du contrôle d'accès ou tout autre type d'usage.
Ces applications Desfire peuvent être positionnées par esup-nfc-tag si vous avez en votre possession la master key de la carte.
Pour plus d'information sur NFC et Mifare Desfire, vous pouvez consulter la page wiki Tags NFC - getting started.
Vous avez donc besoin de connaitre effectivement la master key de votre carte uniquement si vous souhaitez ajouter des applications Mifare Desfire dans vos cartes.
Cependant nous vous conseillons fortement d'avoir la main sur vos propres cartes, c'est à dire de faire en sorte d'avoir en votre possession la master key de vos cartes.
Quelle est la master key de ma carte ?
Les cartes Mifare Desfire vierges ont une master key en DES à 0, sa représentation en hexa est 0000000000000000.
Dès qu'on encode une carte, il est d'usage de prendre la main sur la carte et de modifier cette master-key par défaut par une clef différente, usuellement en AES (car plus sécurisé).
Si vos cartes sont pré-encodées ou ont été encodées par un sous-traitant, demandez leur de positionner une master-key unique pour l'ensemble de vos cartes (et d'en avoir connaissance).
Comment avoir la master-key sur des cartes pré-encodées CROUS ?
On conseille de faire pré-encoder vos cartes avec l'application CROUS/IZLY, cela vous évite de manipuler des clefs sam, dll windows, etc.
Au moment du pré-encodage, pour des questions de sécurité, une master-key est positionnée par l'entreprise qui encode vos cartes.
Par défaut cette master-key est diversifiée, non unique pour l'ensemble de vos cartes, et fonction de la clef SAM crous ; en d'autres termes cette master key vous est inconnue et vous ne pouvez pas alors ajouter de nouvelles applications avec votre esup-sgc / esup-nfc-tag.
Aussi, on vous recommande fortement de demander à positionner une master-key sur vos cartes. Pour ce faire, vous devez transmettre cette clef en suivant la procédure "MasterKeyGenerator : Génération & communication de clés" mise au point par le CROUS.
Cette procédure, accompagnée d'un programme java (jar)à vous permet d'obtenir votre master-key à positionner et 3 fichiers supplémentaires, qui assemblés, permettent au prestataire de positionner la master-key sur vos cartes (sans pour autant en avoir connaissance).
Ces 3 fichiers doivent être envoyés par mail chiffrés (c'est le prestataire qui vous donne les 3 mails et 3 clefs de chiffrement respectives à utiliser pour ce faire).
Quels types de cartes ESUP-NFC-TAG est-il capable d'encoder ?
ESUP-NFC-TAG propose l'encodage (et décodage/lecture sécurisée) des cartes Mifare Desfire ; c'est à dire les cartes actuellement les plus utilisées dans nos établissements car considérées comme les plus sécurisées et permettant ainsi de proposer en confiance un moyen de paiement et de contrôle d'accès.
De fait ESUP-NFC-TAG supporte à la fois les cartes Mifare Desfire EV1 et Mifare Desfire EV2.
Peut-on utiliser esup-nfc-tag pour modifier la master key d'une carte
Dans certains cas (par exemple l'utilisation de carte vièrge dans le cadre du SGC) il peut être nécessaire de positionner une cle master sur une carte avant de pouvoir l'encoder normalament (ceci sans passer par les différents contrôles proposés par esup-nfc-tag). En effet esup-nfc-tag propose, dans son fonctionnement le plus courant, de contrôler l'existence de la carte puis de vérifier sa validité dans le système d'information (tagIdCheck et validateTag).
L'idée ici est de shunter ces deux étapes en utilisant les implémentations Dummy proposées dans esup-nfc-tag-server. Ces implémentations valident systématiquement les tags en retournant "true" quelle que soit la carte badgée.
Il est donc possible de créer un bean AppliExtApi reprenant l'implémantation AppliExtDummy en précisant un nom de salle (location) personnalisé.
De plus il faut déclarer un DesfireWriteConfig et un DesfireTag qui décrivent les actions à opérer sur la carte.
Dans ce cas il faut donc ajouter la configuration suivante:
applicationContext-desfire.xml (pour modifier la master key par defaut par une clé AES)
| Bloc de code | ||
|---|---|---|
| ||
<bean id="desfireChangeMasterKeyTagEsupSgc" class="org.esupportail.nfctag.beans.DesfireTag" p:formatBeforeWrite="true" p:keyStart="0000000000000000" p:keyTypeStart="DES" p:keyFinish="12345678901234567890123456789012" p:keyTypeFinish="AES" p:keyVersionFinish="01">
</bean>
<bean id="desfireAuthConfigChangeKeyMasterEsupSgc" class="org.esupportail.nfctag.service.api.impl.DesfireWriteConfig">
<property name="desfireTag" ref="desfireChangeMasterKeyTagEsupSgc" />
<property name="description" value="Changement de la Master Key"/>
</bean> |
applicationContext-custom.xml (ajout d'une application dummy dediée)
| Bloc de code | ||
|---|---|---|
| ||
<bean id="dummyChangeMasterKeyExtApi" class="org.esupportail.nfctag.service.api.impl.AppliExtDummy">
<property name="description" value="Changement Master Key"/>
<property name="locationsNames">
<util:list>
<value>Change Master Key</value>
</util:list>
</property>
</bean> |
Puis il faut créer une application esup-nfc-tag au niveau de l'IHM en utilisant les paramètres suivants :
- Nom : Change Master Key
- Configuration NFC : Changement de la Master Key
- Application externe : Changement Master Key
Quelle est la différence entre Mifare Desfire EV1 et Mifare Desfire EV2 ?
...