Welche Verschlüsselungsarten gibt es und wie erstelle ich eigene Verschlüsselungen?

Diese Anleitung erklärt, wie Sie die RFID‑Verschlüsselung für Kentix SmartAccess festlegen: „Aus“, „Kentix“ (Standard) oder „Eigene“. Außerdem erfahren Sie, wie Sie eine eigene DESFire‑Konfiguration als JSON hochladen.

Voraussetzungen

• Zugriff auf das KentixONE Web‑Interface
• Rolle mit Rechten zum Bearbeiten der Konfiguration
• Für „Eigene“: JSON‑Konfigurationsdatei gemäß DESFire‑Profil (siehe Beispiel)

Schritt‑für‑Schritt‑Anleitung

1. Navigieren Sie zur Sicherheit

Öffnen Sie Konfiguration → Sicherheit und scrollen Sie zum Abschnitt „RFID‑Einstellungen“.

2. Option „RFID Verschlüsselung“ wählen

• Aus: Nur die UID des Tokens wird gelesen. Keine Verschlüsselung — geeignet für Tests, jedoch klonbar und unsicher.
• Kentix: Kentix‑spezifische Verschlüsselung (Standard). Zusätzlich zur UID wird ein verschlüsselter Bereich geprüft.
• Eigene: Nutzung einer selbst definierten DESFire‑Konfiguration. Damit können Sie organisationsspezifische Schlüssel und Strukturen verwenden.

hinweis

Kentix‑spezifische Verschlüsselung: Funktioniert nur mit Tokens, die nach 06/2018 von Kentix geliefert wurden.

warnung

„Aus“ erlaubt das Auslesen/Klonen der UID mit beliebigen MIFARE DESFire‑Lesern. Verwenden Sie diese Einstellung nicht im Produktivbetrieb.

hinweis

Tokens mit Kentix‑spezifischer Verschlüsselung sind nicht mit „Eigene“ kombinierbar.

3. Eigene Verschlüsselung hochladen (optional)

Wählen Sie „Eigene“ und laden Sie Ihre JSON‑Konfigurationsdatei hoch. Über „Vorlage herunterladen“ können Sie ein Muster beziehen.

Die JSON definiert u. a. App‑ID, Dateinummer, Leseoffset und Authentifizierungsmethode. Beispiel:

{
  "mifare_desfire": {
    "app_id": "0xb2c3d4",
    "file_number": 0,
    "file_offset": 0,
    "file_length": 32,
    "file_type": 1,
    "auth_method": 2,
    "des_key": "0xa1b2c3d4e5f6a1b2c3d4e5f6a1b2c3d4",
    "key_number": 1,
    "card": {
      "data": [
        {
          "name": "OEM Code",
          "position_start": 1,
          "position_end": 64,
          "encoding": "hexadecimal"
        },
        {
          "name": "Card Number",
          "position_start": 65,
          "position_end": 128,
          "encoding": "hexadecimal"
        }
      ]
    }
  }
}

4. Speichern und testen

Speichern Sie die Einstellung. Prüfen Sie anschließend die Buchung eines berechtigten Tokens an einem DoorLock/WA3.

Vorlage zur Kartenkonfiguration

tipp

1. Bereitstellung für den Kartenhersteller

• Die enthaltenen Daten und Parameter können vom Kartenhersteller direkt zur Personalisierung der Karte genutzt werden.
• Die standardisierte Struktur des Templates ermöglicht eine automatisierte Verarbeitung in den Produktionssystemen.

2. Eigene Nutzung mit einem Kartenlesegerät

• Das Template kann auch mit kompatiblen Lesegeräten verwendet werden.
• Die enthaltenen Informationen dienen hier als Konfigurations- und Referenzdaten zur Initialisierung, Prüfung oder Verwaltung der Karte.

Hinweis: Bitte nur die grün markierten Felder ausfüllen.

Beispielvorlage:

Beispielvorlage.pdf

↑ Funktioniert noch nicht!

Beispielvorlage.pdf als JSON

rfid-profile.json

{
    "mifare_desfire": {
        "app_id": "0x012345", //Application ID eintragen (Vorlage Seite 3)
        "file_number": 0,
        "file_offset": 0,
        "file_length": 16,
        "file_type": 1,
        "auth_method": 2,
        "des_key": "0x0123456789ABCDEF0123456789ABCDEF", //Key Nummer eintragen (Vorlage Seite 2&3)
        "key_number": 1,
        "card": {
            "data": [
                {
                "name": "number",
                "position_start": 65,
                "position_end": 128,
                "encoding": "hexadecimal"
                 }
             ]
        }
    }
}

Tipps & Tricks

• Nutzen Sie „Kentix“ als sicheren Standard, sofern keine eigene Schlüsselverwaltung erforderlich ist.
• Halten Sie „key_number“ und Berechtigungen konsistent über alle Karten/Leser hinweg.
• Dokumentieren Sie Ihre JSON‑Profile versioniert und beschränken Sie den Zugriff auf Schlüsselmaterial.

Fehlerbehebung

• Token wird nicht erkannt: Prüfen Sie, ob die gewählte Verschlüsselungsart zum Token passt (Kentix vs. Eigene vs. Aus).
• Eigene JSON schlägt fehl: Länge/Offset stimmen nicht mit der Datei auf der Karte überein; Authentifizierungsmethode/Schlüssel passen nicht; falsche App‑ID oder file_number.
• Ältere Tokens (vor 06/2018): Unterstützen die Kentix‑Verschlüsselung ggf. nicht – verwenden Sie „Aus“ oder neue Medien.

Glossar

• App ID: 3‑Byte‑Kennung zur Identifikation einer DESFire‑Applikation.

• file_number: Die Dateinummer ist eine 1-Byte-Zahl im Bereich von 0 bis 31.

• file_offset: Der Offset gibt an, ab welchem Byte die Datei gelesen wird.

• file_length: Die Dateigröße gibt die Länge der zu lesenden Datei in Bytes an.

• file_type: 0 unverschlüsselt, 1 verschlüsselt abgelegt.

• auth_method: 0 keine Auth., 1 2TDEA (DES/3DES), 2 AES‑128.

• des_key: Schlüssel zur Authentifizierung (abhängig von auth_method).

• key_number: Schlüssel‑Index innerhalb der Applikation/Datei.

• name: Jeder Sektor benötigt einen Bezeichner, welcher als Zeichenkette gespeichert wird.

• position_start: Durch Angabe des Start- und Stop-Bits wird der zu lesende Sektor festgelegt.

• position_end: Ende des Sektors.

• encoding: Art der Interpretation (binary, ascii, bcd, hexadecimal).

• test_value: Der statische Testwert ist eine Zeichenkette und wird immer beim Auslesen der Karte geprüft. Erst nach erfolgreichem Vergleich des Testwertes auf der Karte mit dem Testwert in der Konfigurationsdatei werden die Daten in KentixONE weiterverarbeitet.