Tak, w tym przypadku potrzebna jest zapisywalna pamięć na karcie.
Przypominam, że mamy mieć kilka zamków. Czy może oczekujesz, że ludzie będą nosić ze sobą wiele kart?
Najpierw oczywiście trzeba zebrać wymagania.
Z resztą... ataki side-channel i tak wykonuje się na biurku a nie on-site. Oba rodzaje.
No chyba nie. Do takiego czytnika kart, który jest po stronie zewnętrznej też trzeba dociągnąć zasilanie.
RTC to nie wszystko, trzeba będzie dodać baterię podtrzymania czasu (i ją sprawdzać).
...a obecna metoda "xor znak po znaku plus or ze wszystkich xorów) nie daje, bo są możliwe ataki przez analizę zasilania. Been there, done that.
Tak, miałem na myśli niepoleganie na ID (ale można ich użyć jako "login"), a w pamięci trzymać, ekhm, "blockchain" czyli kody tymczasowe odpowiadające za unieważnianie klonów.
Also, domyślne klucze do Mifare są znane. Więc można by je albo zostawić albo zmienić przy tworzeniu klucza.
Na obecnym HW nie. W nowym - tak, byle jaki mocniejszy MCU niż AVR zazwyczaj ma RTC na pokładzie. Z resztą, nie trzeba nawet używać RTC jako źródła timestampu... Można użyć poprzedniego hasha jako jednego ze składników. To na razie pomysł.
Nie. Samo zahashowanie IDków już ma sens. Nawet tych wkompilowanych w kod. Bo zabezpiecza przed atakami timingowymi.
Tak, mam na myśli klucze, czyli IDki. Inna sprawa jest taka, że można by na nich nie polegać.