Ho un progetto (universitario) in cui fondamentalmente scrivo e leggo il testo di tag NFC con dispositivi Android per archiviare il proprio saldo nella carta (che può essere utilizzato nella caffetteria, per esempio).
In questo momento, sto utilizzando Ntag213 facendo il seguente codice:
ndef.connect();
NdefRecord mimeRecord = NdefRecord.createMime("text/plain", messageEncrypted.getBytes(Charset.forName("US-ASCII")));
ndef.writeNdefMessage(new NdefMessage(mimeRecord));
ndef.close();
Come puoi notare, sto usando la crittografia a livello di applicazione per crittografare il messaggio ( messageEncrypted ) prima di scriverlo sul tag (crittografare AES-256 con 'com.scottyab: aescrypt: 0.0. 1 'libreria - con una password molto grande che è anche combinata con ogni UUID tag come parte di esso).
Fin qui tutto bene - Solo io posso capire i dati sui tag.
Sulla mia ricerca, ho scoperto che quando si parla di sicurezza Ultralight C > Ntag213 .
** So che entrambi i tag hanno uno spazio limitato, ma è più che sufficiente per me.
Domanda 1) Quando si utilizza la crittografia a livello di applicazione, perché (è?) è Ultralight C più sicuro di Ntag213?
Domanda 2) Sono abbastanza sicuro di poter garantire la sicurezza utilizzando la crittografia AES a livello di applicazione, ma non voglio che le persone (oltre a me) giochino con i dati memorizzati (tag di formattazione o scrittura informazioni lì - anche se posso precisarlo). Vedo che l'unico modo per impedirlo (correggimi se ho torto) è impostare una password per il tag. Tuttavia, sia Ntag213 che Ultralight C hanno solo una password a 32 bit. È abbastanza buono? C'è un altro modo per impedire a qualcuno (oltre a me) di scrivere dati?
Domanda 3) quali altre misure di sicurezza posso utilizzare su tali tag per rafforzare la sicurezza (tag e livello applicazione)? Vedo che Ultralight C ha l'autenticazione 3DES, ma finora non ho trovato un esempio per Android.
Domanda 4) Quando confronti la sicurezza dei tag (Mifare Desfire > Ultralight > Ntag213 > Mifare Classic), cosa viene realmente confrontato? La facilità con cui si cracka la crittografia (del tag nativo) o la facilità di un negozio (qualsiasi cosa) sul tag senza permesso?
Domanda 5) Vedo un sacco di altri tecnici (Mifare Desfire, ICODE SLIX, Infineon Cipurse) che sono più sicuri, il che mi chiede se la tecnologia che sto usando (Ntag213 o Ultralight C) è abbastanza buono per immagazzinare equilibrio di qualcuno. Vorresti (e questa è un'opinione personale) dire che Ntag213 con crittografia a livello di applicazione e password a 32 bit è abbastanza buono per questo tipo di applicazione? E quanto tempo impiegherebbe qualcuno a infrangere la sua sicurezza?