NXP à annoncé le 2 juin la sortie de ses puces Desfire EV3 destinées aux smart-city. Nous allons voir en détails les caractéristiques de cette nouvelle puce et la comparer aux version précédentes : Desfire EV2 et Desfire EV1. Cet article est préliminaire, l’annonce étant récente, l’ensemble des informations de cet article proviennent des documents NXP et ne tiennent pas compte des futures implémentations de la puce par les constructeurs de badge et fabricants de contrôle d’accès.
Les nouveautés annoncées de la puces Desfire EV3
NXP annonce les nouveautés suivantes :
Perfomances améliorées
- Plus grande durée de rétention des données (25 ans contre 10 ans précédemment)
- Plage de fonctionnement améliorée et des vitesses de transaction plus élevées par rapport à ses prédécesseurs (1,5 fois plus rapide que les desfire EV1)
Sécurité améliorée
- Ajout d’un Timer de transaction permettant d’eviter les attaques de type « man-i-the-middle »
- Nouvelle fonctionnalité de messagerie Secure Unique NFC (SUN), offre un moyen plus sûr de maintenir la confidentialité et l’intégrité des données (pour les mobiles).
Prise en charge mobile et multi-applications
- Déploiement possible sur mobile NFC via le service cloud mifare 2GO
- clés préchargées pour la gestion déléguée des applications permettent d’ajouter de nouveaux services à la carte déjà déployée
Caractéristiques et comparatif des puces Desfire
Le tableau comparatif ci-dessous synthétise les éléments techniques des puces Mifare Desfire EV1, Desfire EV2, Defire EV3
| Caractéristiques | Mifare Desfire EV1 | Mifare Desfire EV2 | Mifare Desfire EV3 |
|---|---|---|---|
| Mémoire de données EEPROM | 2/4/8KB | 2/4/8/16/32KB | 2/4/8KB |
| Taille UID | 7 octets | 7 octets | 7 octets |
| Certification critères communs | EAL 4+ | EAL 5+ | EAL 5+ |
| Algorithmes cryptographiques | DES, 3DES, AES128 | DES, 3DES, AES128 | DES, 3DES, AES128 |
| Protection des communications | D40 Natif1, EV1 | D40 Natif1, EV11, EV2 | D40 Natif1, EV11, EV2 |
| Nombre d’applications | 28 | Illimité2 | Illimité2 |
| Nombre de fichiers par application | 32 | 32 | 32 |
| Max de fichier avec sauvegardes | 32 | 32 | 32 |
| Commandes ISO/IEC7816-4 | 8 | 8 | 8 |
| ID aléatoire | oui | oui | oui |
| ATS configurable | Oui, octets historiques seulement | Oui, tous paramètres (FSCI supporte jusqu’à 256 octets) | Oui, tous paramètres (FSCI supporte jusqu’à 256 octets) |
| Buffer de communication | 64 octets | jusqu'à 128 octets | jusqu'à 256 octets |
| Chaining durant le transfert de données | Natif (AFh) | Natif (AFh) ou ISO/IEC14443-4 | Natif (AFh) ou ISO/IEC14443-4 |
| Multiple jeu de clés tournantes | non | oui | oui |
| MIsmartApp (Gestion déléguée des applications) | non | oui | oui |
| Support de la fonction NXP AppXplorer | non | oui, autoconfiguration | oui, Clefs DAM3 préchargées en usine |
| Gestion des applications partagées | non | oui | oui |
| Plusieurs clés par droit d'accès | non | oui | oui |
| Commande d’actualisation d’enregistrement | non | oui | oui |
| Transaction MAC | non | oui | oui |
| Timer de transaction | non | non | oui |
| Messagerie dynamique sécurisée | non | non | oui |
| Architecture de badge virtuel | non | oui | oui |
| Contrôle de proximité du badge | non | oui | oui |
| Contrôle de puce originale | non | oui | oui |
| SUN (Secure Unique NFC Message) | non | non | oui, compatible avec NTAG DNA |
| Durée de rétentions des données | 10 ans | 10 ans | 25 ans |
| Nombre de cycles d'écriture | 500 000 | 500 000 | 1 000 000 |
| Distance de lecture | jusqu'à 10cm | jusqu'à 10cm | jusqu'à 10cm |
| gestion des accés | par fichier (clef de lecture et/ou d'ecriture) | par fichier (clef de lecture et/ou d'ecriture) | jusqu'à 8 clefs par droit d’accès |
1 : Permet la rétrocompatibilité
2 : Autant que la taille de la mémoire le permet
3 : Delegated Application Management (Multi-Application) Gestion des applications déléguées (MIsmartApp) pour donner des droits à la création et à la gestion d’applications tierces.
Révolution ou évolution ?
La lecture des éléments technique ci-dessus me font penser que cette nouvelle évolution de la puce Desfire est essentiellement tournée vers les application mobiles et NFC et le service Cloud associé. Les gains en performance et en sécurité sont somme toute assez léger.
Toutefois, la fonctionnalité de clefs préchargées conçue afin de faciliter le déploiement de nouvelles applications sur un parc de badges existant semble intéressante. Cette fonctionnalité pourrait être mise à profit dans le cadre de badges unique multiservices notamment. Il reste à voir maintenant comment les solutions logiciels vont tirer parti de cela.
Enfin, plus largement on note une accélération autour des technologies sans contact avec de nouvelles évolutions de plus en plus rapprochées. Demain nous aurons certainement des entreprises ou administration avec des parcs de badges EV1, EV2 et EV3 en circulation. Heureusement toutes ces évolutions sont rétrocompatible mais au détriment des nouvelles fonctionnalités. Serions-nous entrain de rentrer dans la même course aux nouveautés que celle qui anime le monde des logiciels ou des cameras ?
Pour aller plus loin sur la sécurité des technologies de badges
Au delà de la sécurité intrinsèque du produit je vous invite à lire cet article : « La certification CSPN des produits de contrôle d’accès est-ce suffisant ? » pour comprendre pourquoi il est important de prendre en compte l’ensemble des élément constituant un système de sécurité. Pour vous accompagner dans cette démarche, ASFA Conseil vous propose des prestations d’audit de sécurité du SI de sûreté et d’accompagnement à la Conception d’architectures sûreté.
Cet article est une synthèse des documents suivant, je vous invite à les consulter pour aller plus loin :
- https://www.nxp.com/products/rfid-nfc/mifare-hf/mifare-desfire/mifare-desfire-ev3-high-security-ic-for-contactless-smart-city-services:MF3DHx3
- https://www.nxp.com/docs/en/data-sheet/MF3DHx3_SDS.pdf
- https://www.mifare.net/wp-content/uploads/2020/06/NXP-MIFARE-DESFire-EV3-IC-Fact-Sheet.pdf
- https://www.nxp.com/docs/en/fact-sheet/MIFARE-DESFIRE-EV2-FS.pdf
- https://www.nxp.com/docs/en/fact-sheet/MIFARE-DESFIRE-EV1-FS.pdf
- https://media.nxp.com/news-releases/news-release-details/nxp-introduces-mifare-desfire-ev3-ic-ushers-new-era-security-and
