Kartenverwaltung

tags: Feature

Ziel

Ziel dieses Features soll es sein, dass jeder Nutzer eine eigene Smart Card erhält, mit der er sich an allen Endpunkten anmelden kann.

Als Kartenlösung verwenden wir Mifare DesFire EV2 Karten.
EV2 Karten haben Rolling Keys.
Die Kommunikation zu der Karte erfolgt nur zwischen Karte und BFFH (Backend), der Reader dient nur als Proxy.
Je Nutzer können eine oder mehrere Karten hinterlegt werden.
Die Karten können bei Verlust gesperrt werden.
Der Space der die Karte ausgibt hat als einziger den Master Key der Karte und es wird nur eine Application mit eigenen Keys benötigt, somit können die Karten auch von anderen Systemen verwendet werden.
Externe Spaces müssen keine eigenen Karten ausgeben, sondern die Nutzer können ihre Karte überall anmelden.

Die Karte wird als primäre Identifizierungs und Authentifizierungs Methode genutzt.
Man benötigt kein Handy, um sich zu authentifizieren.
Zur Authentifizierung wird die OTA Implementierung von Mifare DesFire verwendet.
Dadurch erhält der Reader, also das Endgerät, keine Schlüssel für die Karte des Nutzers.
Somit kann auch über einen entfernten Space die Karte authentifiziert werden, ohne das der lokale Space den Schlüssel benötigt.

Nutzer können Maschinen über diese Karte nutzen oder ausleihen.

FAQ

Warum verwendet ihr keine Mifare Classic Karten?

Aus Gründen
Einfach Nein!

Wie werden neue Reader angemeldet?

Mit einer MASTER Karte werden die READER authentifiziert und erhalten darauf ein Zertifikat vom Server womit jede weitere Kommunikation authentifiziert wird.

Reader authentifiziert sich mit einem TLS Two-Way Handshake gegenüber dem BFFH.

Was steht auf der MASTER Karte?

Es gibt zwei Möglichkeiten

Muss

1. Karte enthält ein Zertifikat
   • Domain für BFFH (Steht auch im Zertifikat)
   • Zertifikat mit dem der Reader sich anmelden kann
2. Karte dient als Authentifizierung
   • Domain für BFFH
   • Karte kann sich authentifizieren

Welche Verschlüsselung verwenden wir für die DESFire Karten?

AES