آریفآئڈی ڈیٹا سیکیورٹی کیا ہے؟

Dec 10, 2025

ایک پیغام چھوڑیں۔

آریفآئڈی ڈیٹا سیکیورٹی کیا ہے؟

 

پچھلے سال ایک مؤکل نے ہمیں غصے میں کہا۔ ان کے رسائی کنٹرول کارڈ "ہیک" کردیئے گئے تھے۔ پتہ چلتا ہے کہ وہ ابھی بھی ایک دہائی قبل سے 125 کلو ہرٹز قربت کارڈ چلا رہے تھے۔ کسی نے فون - سائز کے آلے کے ساتھ سب وے پر کسی ملازم کو صاف کیا ، اور اگلی صبح ، ان کے گودام کو ایک نامعلوم پارٹی نے کلون کارڈ کا استعمال کرتے ہوئے حاصل کیا۔

 

ہم قریب 20 سالوں سے Syntek میں RFID مصنوعات بنا رہے ہیں۔ اس طرح کی کہانیاں غیر معمولی نہیں ہیں۔ ہم نے دیکھا ہے کہ کمپنیاں اثاثوں سے باخبر رہنے کے نظام پر لاکھوں خرچ کرتی ہیں ، صرف یہ جاننے کے لئے کہ ALIEXPRESS کا کوئی بھی $ 30 قاری اپنے ٹیگ کو دوبارہ لکھ سکتا ہے۔ ہم نے ایک ساتھ تین مختلف شہروں میں ڈپلیکیٹ کارڈز -} ایک ہی کارڈ نمبر کے ساتھ موجود حاضری کے نظام کو دیکھا ہے۔

"آریفآئڈی ڈیٹا سیکیورٹی پیچیدہ لگتی ہے ، لیکن بنیادی مسئلہ مردہ آسان ہے: وائرلیس سگنلز کو روکا جاسکتا ہے۔ مشکل حصہ؟ زیادہ تر خریداروں کو اندازہ نہیں ہے کہ وہ سیکیورٹی کی سطح کو کس حد تک حاصل کر رہے ہیں۔"

یہاں جس چیز کے بارے میں کوئی بات نہیں کرتا ہے

 

آریفآئڈی ایک کھلا وائرلیس سسٹم ہے۔ آپ کا ٹیگ اور قاری ریڈیو لہروں کے ذریعے بات چیت کرتے ہیں۔ صحیح گیئر والا کوئی بھی سن سکتا ہے۔

 

RFID system principles

وائرلیس مواصلات کھلی ہوا میں ہوتا ہے ، جس سے جسمانی رابطے کے بغیر مداخلت ممکن ہوتی ہے۔

 

مسئلہ جلد شروع ہوا۔ جب مینوفیکچررز نے سب سے پہلے ان چپس کو ڈیزائن کیا تو ، انہوں نے "کیا ہم اسے پڑھ سکتے ہیں؟" پر توجہ مرکوز کی۔ نہیں "کیا ہم آپ کو اسے پڑھنے دیں؟" بہت سے چپس میں صفر کی توثیق ہوتی ہے۔ قاری پوچھتا ہے "آپ کون ہیں؟" اور صرف ٹیگ ... جوابات۔ اس سے کوئی فرق نہیں پڑتا ہے کہ یہ کوئی جائز آلہ ہے یا کوئی لڑکا ہے جس کے بیگ میں پراکس مارک ہے۔

تصور کریں کہ سڑک پر چلیں اور زور سے آپ کے سوشل سیکیورٹی نمبر کا اعلان ہر شخص کو کریں جو پوچھتا ہے۔ بنیادی طور پر یہ ہے کہ بہت سارے آریفآئڈی کارڈ کیسے کام کرتے ہیں۔

کیوں 125 کلو ہرٹز کارڈ سیکیورٹی کا مذاق ہیں

 

یہاں کچھ ایسی چیز ہے جس کی صنعت کی تشہیر نہیں ہوتی ہے: آج بھی استعمال میں آنے والے ایک بہت بڑا حصہ 1990 کی دہائی کی ٹکنالوجی پر چل رہا ہے۔Why 125kHz Cards Are A Security Joke

یہ کارڈ 125 کلو ہرٹز پر چلتے ہیں۔ چپ ماڈل عام طور پر EM4100 یا TK4100 ہوتا ہے۔ وہ کیسے کام کرتے ہیں؟ پاور اپ ، براڈکاسٹ ID ، ہو گیا۔ کوئی خفیہ کاری نہیں۔ کوئی توثیق نہیں۔ چپ پر ذخیرہ صرف ایک مقررہ نمبر۔

 

 

کلون کو لاگت؟ ہوسکتا ہے کہ کسی قاری کے لئے $ 20 - مصنف ایمیزون سے دور ، خالی کارڈوں کے لئے ایک اور $ 5۔ کام کے تین منٹ۔

کلائنٹ بعض اوقات ہم سے پوچھتے ہیں: "کیا آپ انکرپٹڈ 125 کلو ہرٹز کارڈ بنا سکتے ہیں؟"

مختصر جواب: نہیں۔ پروٹوکول خود سنجیدہ سیکیورٹی کی حمایت نہیں کرتا ہے۔ آپ تحفظ چاہتے ہیں ، آپ 13.56 میگاہرٹز اعلی تعدد یا UHF میں منتقل ہوجاتے ہیں ، جس میں میفیر ڈیسفائر یا آئیکوڈ ڈی این اے جیسے چپس ہیں جو دراصل AES خفیہ کاری کی حمایت کرتے ہیں۔

 

کیا حملے دراصل کی طرح نظر آتے ہیں

 

ہمارے مؤکلوں کے ساتھ بات چیت کی بنیاد پر ، یہاں یہ ہے کہ عملی طور پر آریفآئڈی سیکیورٹی ناکام ہوجاتی ہے۔

ایکسیس کارڈ کلوننگ

 

حملہ آور کو آپ کے کارڈ کو چھونے کی ضرورت نہیں ہے۔ ایک اعلی - حاصل کرنے والا قارئین میسنجر بیگ میں پوشیدہ ہے ، کچھ سیکنڈ آپ کے پیچھے لفٹ یا لنچ لائن میں کھڑا ہے - جو ڈیٹا کو پکڑنے کے لئے کافی ہے۔ اسے کسی خالی کارڈ پر لکھیں ، اور اب انہیں آپ کی رسائی مل گئی ہے۔

 

پراپرٹی مینجمنٹ کی ایک کمپنی نے ہمیں اپنے رہائشی کمپلیکس میں وقفے - ins کے بارے میں بتایا۔ پولیس کو آخر کار پتہ چلا کہ چور رہائشی رسائی کارڈوں کو کلون کررہا ہے۔ عمارت کے اندراج لاگ؟ سب نے متاثرین کے اپنے کارڈ نمبر دکھائے۔ اصل گھسنے والے کا کوئی سراغ نہیں۔

ڈیٹا چھیڑ چھاڑ

 

اگر آپ کا RFID سسٹم انوینٹری یا اثاثوں کو ٹریک کرتا ہے تو ، ٹیگز صرف IDs نہیں بلکہ اصل معلومات کو محفوظ کرتے ہیں۔ اسی جگہ پر چیزیں گندا ہوجاتی ہیں۔

 

قابل ذکر ٹیگز اپ ڈیٹس - مفید خصوصیت کے لئے ڈیزائن کیے گئے ہیں۔ لیکن تحریری تحفظ کے بغیر ، کوئی بھی تبدیلیاں کرسکتا ہے۔ سپلائی چین میں موجود کوئی شخص ٹیگ ڈیٹا پر "پریمیم" سے "معیاری گریڈ" تبدیل کرتا ہے ، یا چھ ماہ تک تیاری کی تاریخ کو آگے بڑھاتا ہے۔ یہ ہوتا ہے۔

ری پلے حملے

 

یہ ایک ڈرپوک ہے۔ حملہ آور کو کسی بھی چیز کو ڈکرپ کرنے کی ضرورت نہیں ہے۔ وہ صرف آپ کے ٹیگ اور قاری کے مابین گفتگو کو ریکارڈ کرتے ہیں ، پھر اسے بعد میں واپس کھیلیں۔

 

اس کے بارے میں اس طرح سوچئے: آپ دروازہ کھولنے کے لئے اپنے کارڈ کو سوائپ کرتے ہیں ، اور کوئی قریبی کوئی ریکارڈ کرتا ہے کہ ریڈیو کا پورا تبادلہ۔ اگلی بار ، وہ اپنے آلے کو قاری پر اشارہ کرتے ہیں اور کھیل کو ہٹ کرتے ہیں۔ دروازہ کھلتا ہے۔ قاری سوچتا ہے کہ اس نے ابھی آپ کا کارڈ دوبارہ دیکھا ہے۔

 

اس کو روکنے کے لئے ، نظاموں کو چیلنج - رسپانس پروٹوکولز - بنیادی طور پر ایک - وقت کے پاس ورڈز کی ضرورت ہے۔ ہر توثیق مختلف ہے ، لہذا ریکارڈنگ بیکار ہوجاتی ہے۔

لاگت بمقابلہ سیکیورٹی ٹریڈ آف (اور یہ سیدھا کیوں نہیں ہے)

 

کلائنٹ ہم سے ہر وقت پوچھتے ہیں: کیا زیادہ مہنگے چپس کا مطلب بہتر سیکیورٹی ہے؟

تقریبا ہاں ، لیکن یہ لکیری نہیں ہے۔

 

چپ کی قسم تقریبا لاگت سلامتی کی حیثیت
125KHz EM4100 $0.10 کوئی نہیں
13.56MHz Mifare کلاسیکی ~$0.40 سمجھوتہ (2008)
mifare desfire ev3 $1-2 AES-128 / اعلی

 

125 کلو ہرٹز EM4100 کارڈ کی لاگت $ 0.10 ہے۔ 13.56 میگاہرٹز میفیر کلاسیکی تک قدم اٹھائیں ، اور آپ شاید 40 0.40 پر سیکیورٹی زیادہ بہتر نہیں ہیں (اس چپ کی خفیہ کاری کو 2008 میں واپس کردیا گیا تھا)۔ AES-128 اور باہمی توثیق کے ساتھ Mifare Desfire EV3 پر جائیں ، آپ فی کارڈ -1 1-2 کی تلاش کر رہے ہیں ، لیکن عوامی سطح پر کوئی نامعلوم کارنامے موجود نہیں ہیں۔

 

سوال یہ ہے کہ: کیا آپ کو واقعی اس سطح کی ضرورت ہے؟

اگر آپ کسی فیکٹری میں رنچوں کا سراغ لگا رہے ہیں تو ، کسی کو کھونے کا مطلب متبادل کا آرڈر دینا ہے۔ اگر آپ کسی بینک والٹ تک رسائی پر قابو پا رہے ہیں تو ، کلون کارڈ کا مطلب بہت مختلف ہے۔

 

گاہکوں کو ہمارا مشورہ: "اگر اس سے سمجھوتہ کیا جاتا ہے تو بدترین معاملہ کیا ہے؟" پھر پیچھے کی طرف کام کریں۔ آدھا وقت یہ ٹیک مسئلہ نہیں ہے ، یہ ایک تاثر کا مسئلہ ہے۔

 

ہر چیز کی جگہ لے کر آپ کیا کرسکتے ہیں

 

کچھ حالات کو حقیقی طور پر سستے ٹیگ - ایونٹ کلائی بینڈز ، اعلی - حجم لاجسٹک لیبل کی ضرورت ہوتی ہے۔ ہر چیز کے لئے پریمیم چپس حقیقت پسندانہ نہیں ہیں۔ لیکن آپ کو دوسرے اختیارات مل گئے ہیں:

پڑھنے کی حد کو محدود کریں

طویل پڑھنے کی حد ہمیشہ بہتر نہیں ہوتی ہے۔ این ایف سی کو کچھ سینٹی میٹر - کے لئے ڈیزائن کیا گیا ہے آپ کو بنیادی طور پر قاری کو چھونا ہوگا۔ ریموٹ سکمنگ کو بہت مشکل بنا دیتا ہے۔

 

کچھ اعلی - سیکیورٹی کلائنٹ جو ہم منسلک ہاؤسنگز کے اندر انسٹال قارئین کے ساتھ کام کرتے ہیں۔ اندراج کے لئے کارڈ کو مکمل طور پر داخل کرنا ہوگا۔ جسمانی طور پر سائیڈ کو بلاکس - چینل کے حملے۔

RFID شیلڈنگ

فراڈے کیج اصول۔ ٹیگ کو کنڈکٹو میٹریل میں لپیٹیں ، ریڈیو لہریں اندر یا باہر نہیں آسکتی ہیں۔ آستینوں اور بٹوے کو مسدود کرنے والے آستینوں اور بٹوے کو روکتا ہے۔ ہم اپنی سائٹ پر "RFID سگنل بلاکر" سیکشن چیک کریں۔

 

جب آپ کارڈ استعمال نہیں کررہے ہیں تو ، یہ آستین میں بیٹھتا ہے۔ کوئی بھی اسے اسکین نہیں کرسکتا۔ جب آپ کو اس کی ضرورت ہو تو اسے باہر نکالیں۔ آسان ، موثر ، سستا۔

ڈیٹا سے ID الگ کریں

ایک اور نقطہ نظر: ٹیگ پر صرف ایک بے ترتیب ، بے معنی ID اسٹور کریں۔ اپنے بیک اینڈ ڈیٹا بیس میں اصل حساس ڈیٹا رکھیں۔ یہاں تک کہ اگر کوئی ٹیگ کلوز کرتا ہے تو ، اسے بیکار تار مل جاتا ہے۔ بیک اینڈ ریکارڈز کے مماثل کے بغیر ، یہ کوڑا کرکٹ ہے۔

 

اس سے ٹیگ سے آپ کے سرور انفراسٹرکچر میں خطرہ ہوتا ہے۔ لیکن یہ ٹیگ کے اخراجات کو کم رکھتا ہے۔

باہمی توثیق - قابل فہم

 

مذکورہ چیلنج - اس سے پہلے جواب۔ مجھے اس پر وسعت کرنے دو کیونکہ یہ اکثر غلط فہمی میں مبتلا ہوتا ہے۔

روایتی RFID توثیق ایک - طریقہ ہے: قاری ٹیگ کی تصدیق کرتا ہے۔ لیکن اعلی - سیکیورٹی ایپلی کیشنز کو دو - وے کی توثیق {{4} کی ضرورت ہے} ٹیگ بھی اس بات کی تصدیق کرتا ہے کہ قاری جائز ہے۔

 

یہاں بہاؤ ہے:

1

قاری ایک بے ترتیب نمبر (چیلنج) ٹیگ بھیجتا ہے

2

ٹیگ اس نمبر کو اپنی داخلی کلید کے ذریعہ چلاتا ہے ، واپس بھیجتا ہے

3

ریڈر ایک ہی کلید کے ساتھ ایک ہی حساب کتاب چلاتا ہے ، موازنہ کرتا ہے

4

پھر ٹیگ قارئین کو بے ترتیب نمبر بھیجتا ہے

5

قاری کا حساب کتاب کرتا ہے ، واپس بھیجتا ہے ، ٹیگ کی تصدیق کرتا ہے

کسی بھی حقیقی ڈیٹا ایکسچینج ہونے سے پہلے دونوں فریقوں کو گزرنا پڑتا ہے۔ اس کا مطلب ہے کہ ایک جعلی قاری معلومات کو ترک کرنے میں ٹیگز کو چال نہیں سکتا ہے۔

مفیئر ڈیسفائر اس کی حمایت کرتا ہے۔ ہم بینکوں یا سرکاری ایجنسیوں کے ساتھ جو بھی پروجیکٹ کرتے ہیں اس کے لئے بہت زیادہ لازمی ہے۔

 

جانے سے پہلے عملی چیزیں

 

1۔ معلوم کریں کہ آپ فی الحال کیا چل رہے ہیں

بہت ساری کمپنیوں کے پاس کسی ایسے شخص کے ذریعہ انسٹال کیا گیا ہے جو برسوں پہلے چھوڑ گیا تھا۔ موجودہ اس کا اندازہ نہیں ہے کہ اصل میں کیا تعینات ہے۔ اپنے فروش سے چشمی حاصل کریں - کم سے کم میں ، تعدد اور چپ ماڈل کو جانیں۔

 

2. اپنے بدترین معاملے کی مقدار درست کریں

اگر آپ کے رسائی کارڈ کلون ہوجاتے ہیں تو ، کیا نقصان ہے؟ اگر انوینٹری ٹیگز کے ساتھ چھیڑ چھاڑ ہوجاتی ہے تو ، نمائش کیا ہے؟ اس پر ایک نمبر لگائیں۔ پھر فیصلہ کریں کہ آیا اپ گریڈ اس کے قابل ہے یا نہیں۔

 

3. اپنی سلامتی پرت

ہر چیز کو زیادہ سے زیادہ تحفظ کی ضرورت نہیں ہے۔ باقاعدہ ملازم بیجز درمیانی - درجے کے چپس چلا سکتے ہیں۔ سرور روم اور فنانس آفس کے دروازوں کو اعلی - سیکیورٹی چپس ملتے ہیں۔ گودام کی توثیق کے ساتھ گودام لاجسٹک ٹیگز سستے ہوسکتے ہیں۔

 

4. باقاعدگی سے آڈٹ

RFID سیٹ نہیں ہے - اور - بھول جائے۔ بے ضابطگیوں کے لئے رسائی کے نوشتہ جات چیک کریں۔ ایک ہی کارڈ بیک وقت دو مقامات پر ظاہر ہوتا ہے۔ - گھنٹوں تک رسائی کی کوششوں کے بعد۔ ایسے نمونے جو معنی نہیں رکھتے ہیں۔

 

5. اپ گریڈ کے لئے منصوبہ بنائیں

اگر اب بجٹ سخت ہے اور آپ درمیانی - درجے کے حل کے ساتھ جارہے ہیں تو ، کم از کم ایک ایسا فن تعمیر منتخب کریں جو مستقبل میں اپ گریڈ کی اجازت دے۔ اپنے آپ کو کسی بند نظام میں بند نہ کریں جس کے لئے تین سالوں میں مکمل متبادل کی ضرورت ہو۔

 

سوالات؟ ہم تقریبا دو دہائیوں سے Syntek میں یہ کام کر رہے ہیں۔ آپ کی توقع سے کہیں زیادہ ناکامی کے طریقوں کو دیکھا۔ چاہے آپ کسی نئے سسٹم کی تعبیر کر رہے ہو یا کسی موجودہ کا آڈٹ کر رہے ہو ، بات کرنے میں خوش ہوں۔

انکوائری بھیجنے