Přiložit kartu, ozve se pípnutí, dveře se otevřou – rutina, kterou řešíme denně a ani o ní nepřemýšlíme. Když však máme vybrat konkrétní technologii, z nenápadného úkolu se stává minové pole plné zkratek, kódování a protokolů.
Jediný přehlédnutý parametr a z elegantního projektu se stane drahá
sbírka nekompatibilních plastových obdélníků.
Obsah
1. Máme nebo nemáme problém? – První zakopnutí mezi kartou a řídicí jednotkou
2. Kde by mohl být problém?- a) Identifikační média
- b) Pracovní frekvence
- c) Správa paměti
- d) NFC jako „HF na steroidech“
- e) Čipové rodiny a jejich nástrahy
- f) Protokol čtečka ↔ řídicí jednotka
- g) Bezpečnostní vrstva
3. Jak vybrat řešení – Sedm kontrolních bodů před hromadnou objednávkou4. Doporučení autora – Praktický tahák v jednom odstavci
1 Máme nebo nemáme problém?
Zadání vypadá nevinně: „Potřebujeme turniket a karty, co tam lidem dáme?“ Otevřete katalog dodavatele a během minuty na vás vyskočí:
- RFID – Radio‑Frequency Identification, tedy všechno, co vysílá na rádiové frekvenci.
- LF 125 kHz, HF 13,56 MHz, UHF 860–950 MHz – tři pásma, z nichž každé se chová jinak.
- EM‑Marine, HID Prox, MIFARE Classic, DESFire, Legic, FeliCa – čipové rodiny se specifickým kódováním.
- Wiegand 26, Wiegand 34, OSDP, RS‑485 – protokoly od čtečky do řídicí jednotky.
V praxi to často dopadne takto:
- Vybereme čtečky „umí HF 13,56 MHz“ a objednáme k nim tisíc karet „HF 13,56 MHz“.
- Během instalace zjistíme, že čtečka akceptuje pouze MIFARE DESFire, ale my koupili MIFARE Classic. Půlka rozpočtu je pryč.
- Překleneme problém, nahradíme kartu mobilním NFC. Jenže starší firmware čteček nerozumí Card Emulation.
- Poslední rána: čtečky mají výstup OSDP, zatímco stávající řídicí jednotka očekává Wiegand 26.
Jinými slovy: technologií není moc, jen je nutné ctít jejich pravidla, a hlavně nelámat jeden článek řetězce přes koleno.
2 Kde by mohl být problém?
A) Identifikační média – transpondér pod lupou
Mechanické provedení
- Plastová karta podle ISO/IEC 7810 – nejběžnější, tisková plocha pro logo, ale v bazénu se vrstvy rádoby „rozlepí“.
- Přívěsek na klíče – robustní zalití, pár gramů navíc, ideální pro skladníky.
- Silikonový náramek – odolá chloru i sprše, neřešíte kapsy.
- Papírový sticker – logistika, jednorázové eventy.
- Skleněná kapsle – veterinární implantát, průmyslové značení nástrojů.
Elektronika & paměť
Od 4 B UID (číslíčko typu „04 A3 2F 19“) až po 8 kB šifrovaných dat (čip DESFire EV3):
| Velikost | Co uložíme | Praktické použití |
|---|
| 4 B | Jedinečné UID | Otevři dveře, zapni kávovar |
| 64 B | UID + číselník práv | Jednoduchá docházka, členství ve fitness |
| 1 kB | Elektronická jízdenka, e‑peněženka | Festivalová cash‑free zóna |
| 4–8 kB | Souborový systém, vícero aplikací, šifrované klíče | Městská karta, firemní multisite přístup |
Napájení
- Pasivní – stačí pole čtečky, prakticky neomezená životnost.
- Aktivní – baterie = dosah až 100 m, ale i výrobní a servisní náklady.
B) Pracovní frekvence – LF, HF, UHF podrobně
LF 125 kHz
- Výhody: necitlivé na kov a kapaliny, čtečka se nechá „přiložit“ skrz kapotu auta, levné.
- Nevýhody: nízká rychlost, minimum kryptografie, kratší dosah.
- Typické čipy: EM‑Marine (EM4200), HID Prox.
- Kde boduje: sklady s kovovými regály, veřejné bazény (když sáhnete po silikonovém náramku).
HF 13,56 MHz
- Výhody: větší propustnost dat, menší anténa, bohaté šifrovací funkce, NFC kompatibilita.
- Nevýhody: kov pohlcuje, někdy nutné distanční podložky; bez správného klíče čtete jen UID.
- Typické čipy: MIFARE Classic, Ultralight, DESFire, HID iCLASS, Legic, Sony FeliCa.
- Kde boduje: kampusové karty, městská doprava, kancelářské budovy, integrace chytrých telefonů.
UHF 860–950 MHz
- Výhody: dosah až 12 m pasivně, stovky metrů aktivně, čtečka „brána“, tag anténa jen dipól.
- Nevýhody: přísná regulace (v EU 865–868 MHz), citlivost na odrazy, vyšší cena readerů.
- Typické čipy: EPC Gen2, aktivní transpondéry s Wake‑up signálem.
- Kde boduje: mýtné systémy, parkoviště „otevři závoru bez zastavení“, sledování palet v intralogistice.
C) Správa paměti – co se do čipu vejde a kdo to tam dá?
- Pouze pro čtení (Read Only)
Výrobce vypálí UID, vy už jen čtete.
– Bezúdržbové, levné, snadno clonovatelné. - WORM (Write Once Read Many)
Vy zapíšete, systém pak jen čte.
– Když chcete jednorázově přiřadit jméno hosta nebo číslo smlouvy a zamknout. - Read/Write
Libovolné změny, volitelné uzamknutí bloků.
– Antipass‑back, dynamické kredity, rozdělené pruhy (doprava + přístup + stravenky).
– Vyžaduje správu klíčů a bezpečné prostředí čtečky.
D) NFC = HF 13,56 MHz s mobilem v hlavní roli
Telefon s NFC umí tři režimy:
| Režim | Co dělá | Praktický příklad |
|---|
| Card Emulation | Chová se jako karta | Otevře dveře mobilním ID |
| Reader/Writer | Čte tagy, zapisuje | Načte plakát, zahájí platbu |
| Peer‑to‑Peer | P2P datový přenos | Párování reproduktoru, přenos tokenu |
Pozor: ne každý firmware čtečky umí mobil „přečíst“ mimo klasickou MIFARE UID vrstvu. Před nákupem požadujte Mobile ID Ready certifikát.
E) Čipové rodiny a jejich nástrahy
- EM‑Marine – čtyři různé modulace (Manchester, BiPhase, PSK, FSK). Jedna čtečka = zpravidla jeden režim.
- HID Prox – v USA de‑facto standard, UID se skládá z Facility Code + Card Number. Nutné sladit s kontrolérem.
- NXP MIFARE
- Classic – legendární, ale prolomený Crypto‑1; vhodný pro nízké riziko.
- Ultralight – chip‑on‑paper lístek na koncert.
- DESFire – AES, souborový systém, až 28 aplikací, hierarchie klíčů.
- HID iCLASS SE – výrobce drží klíče v cloudovém trezoru HID Origo, výměna karet = správa licencí.
- Legic Advant – švýcarská preciznost, populární v automotive (vstup do lakovny i kantýna na jednu kartu).
- Sony FeliCa – extrémně rychlá transakce; standard japonských vlakových turniketů.
Bez správného Master Key vám DESFire dovolí nanejvýš číst UID – a to je z bezpečnostního hlediska právě to, čeho jste se chtěli zbavit.
F) Protokol čtečka ↔ řídicí jednotka
| Vlastnost | Wiegand | OSDP / RS‑485 |
|---|
| Směr dat | Jednosměrný | Obousměrný |
| Šifrování | Žádné | AES‑128 |
| Adresace | Ne | Ano (až 127 zařízení) |
| FW update | Ne | Ano (přes line) |
Délka rámce26 → 42 bitů (proprietární) Libovolná, strukturované zprávy
- Wiegand 26 vznikl v technologických možnostech dané doby. Dnes je již nedostačující.
- OSDP je digitální RS‑485 se sladěným šifrováním, antireplay a kontrolou stavu čtečky. Firmwary se dají patchovat bez výměny hardware.
G) Bezpečnostní vrstva – co to skutečně vydrží?
- LF UID – za tři vteřiny klon na čínském kopíráku do 500 Kč.
- MIFARE Classic – „magic card“ mění UID, překoná starší systémy, pokud nepoužívají sektorový klíč.
- DESFire EV3 + SAM‑modul – AES‑128/192/256, vzájemná autentizace, číselník práv, délkově omezená validita.
- Active UHF tag – čte se na desítky metrů, proto se kombinuje s kamerou RZ a seznamem SPZ v kontroléru.
Bezpečnost je vrstvená: silný čip v combo s nechráněným Wiegandem zahodí vaši investici do kryptografie stejně spolehlivě jako slabý čip v šifrovaném OSDP nepotlačí riziko klonování.
3 Dle čeho vybrat řešení – sedm bodů k odškrtání
| # Otázka | Proč je kritická? | Co se může pokazit? |
|---|
| 1 Scénář použití | Sklad ≠ datové centrum | Přeplatíte funkce, nebo naopak selže bezpečnost |
| 2 Kompatibilita kódování | EM‑Marine PSK ≠ Manchester | Karta „pípne“ ale nečte UID |
| 3 Komunikační vrstva | Wiegand vs. OSDP | Čtečka s kontrolérem „nemluví stejnou řečí“ |
| 4 Provozní prostředí | Kov, voda, mráz | HF uhasí kovová vrata, LF zase reaguje na rušení elektrárnou |
| 5 Bezpečnost ↔ cena | Poměr riziko / hodnota | Prolomení karty vs. cena právníků po úniku dat |
| 6 Licence, legislativa | HID klíče, UHF pásmo, GDPR | Poplatky, pokuty, zakázané frekvence |
| 7 Servis a škálování | Baterie, FW, klíče | Tagy umřou, klíč expiruje, firmware zastará |
Tip z praxe: vytvořte si jednoduchou matici parametrů. Do řádků dáte čipy/čtečky, do sloupců výše uvedených sedm bodů. Dokud na každém řádku nemáte všech sedm „fajfek“, kartičky šetřete v krabici.
4 Doporučení autora
„Než podepíšete objednávku, vemte vzorek karty, postavte se ke čtečce a zkuste ty dveře otevřít.
Nestačí, že to pípne – musí to pustit, zapsat, poslat šifrovaný záznam do kontroléru a hlavně to musí udělat i zítra, až vyměníte firmware.
Když to projde, objednejte paletu.
Když ne, je lepší ztratit den než celé investiční období.“
A když budete mít chuť experimentovat, klidně si nechte zhotovit pár testovacích karet s různými kódováními. Je to levnější než po půl roce vysvětlovat, proč vám po rekonstrukci třetina turniketů mlčí a proč se zaměstnanci proplíží pod závorou s kopií karty z AliExpressu.
