Kontakt os

Ét kort til både login og døradgang: DESFire EV3 og FIDO2 i en NIS2-ramme

by Rasmus Jensen, Founder & Software Engineer

I mange organisationer, særligt kommuner og offentlige aktører, er identitet og adgang stadig opdelt i to verdener:

  • Ét system til IT-login
  • Et andet system til fysisk adgang (PACS)

Systemerne drives ofte uafhængigt, både teknisk og organisatorisk. Samtidig er NIS2 trådt i kraft i Danmark pr. 1. juli 2025, med skærpede krav til adgangskontrol, stærk autentificering, risikostyring, hændelseshåndtering og dokumentation.

Denne artikel viser, hvordan et kombinationskort baseret på MIFARE DESFire EV3 og FIDO2 samler digital og fysisk adgang i én sikkerhedsmodel, og hvorfor det valg er særligt relevant i en NIS2-kontekst.

Fra UID-kort til kryptografisk identitet

Traditionelle adgangskort, især MIFARE Classic, præsenterer typisk et UID (et fast serienummer), hvilket giver velkendte udfordringer:

  • UID kan aflæses uden kryptering
  • UID kan kopieres eller emuleres
  • Ingen kryptografisk binding mellem kort og system
  • Ingen beskyttelse mod replay eller kloning

I praksis er kortet blot et nummer, ikke en identitet, en svag position i et trusselsbillede, hvor fysiske og digitale angreb kombineres.

DESFire EV3 ændrer fundamentet

MIFARE DESFire EV3 er udviklet til miljøer med høje sikkerhedskrav (offentlig sektor, kritisk infrastruktur) og understøtter:

  • AES-baseret kryptering
  • Applikations- og nøglesegmentering
  • Secure messaging
  • Secure Dynamic Messaging (SDM)

Kortet bliver en aktiv kryptografisk komponent, der muliggør en risikobaseret model med dokumenterbar ægthed, ikke blot tilstedeværelse.

FIDO2: Passwordless login til IT-systemer

FIDO2 (WebAuthn) anbefales bredt af europæiske og nationale cybersikkerhedsmyndigheder og giver:

  • Login uden passwords
  • Kryptografisk binding mellem bruger, enhed og tjeneste
  • Effektiv beskyttelse mod phishing
  • Understøttelse af hardware- og platform-nøgler

I en NIS2-kontekst er det centralt, fordi kompromitterede legitimationsoplysninger fortsat er en primær årsag til hændelser.

Ét kort, to domæner

Potentialet opstår, når DESFire EV3 og FIDO2 kombineres i ét medarbejderkort:

  • FIDO2 til IT-login
  • DESFire EV3 til fysisk adgang
  • Rettigheder styres centralt via identitet og roller
  • Offboarding kan ske ensartet og kontrolleret

Dermed reduceres inkonsistente adgange og manuelle processer, et område, der ofte vurderes som svagt i revisioner og risikovurderinger.

Secure Dynamic Messaging (SDM): Validering uden PACS-adgang

En vigtig, men ofte overset funktion i DESFire EV3 er Secure Dynamic Messaging (SDM). Ved et scan genererer kortet en dynamisk URL med:

  • Kortets identitet
  • En løbende tæller
  • En kryptografisk MAC
  • Eventuelt applikationsspecifik data

Data kan verificeres kryptografisk server-side. I praksis muliggør SDM:

  • Validering af kortets ægthed via en almindelig smartphone
  • Kontrol uden direkte adgang til adgangskontrolsystemet
  • Opdagelse af kopierede eller manipulerede kort
  • Understøttelse af mobile og decentrale arbejdsgange

Relevant i institutioner, midlertidige lokationer eller situationer uden fuld systemadgang.

Hvorfor MIFARE Classic ikke er tidssvarende

MIFARE Classic er kryptografisk kompromitteret og udbredt i ældre installationer:

  • Brudt kryptering
  • Let emulering med billigt udstyr
  • Ingen reel autentificering
  • Manglende sporbarhed

I en NIS2-kontekst er det svært at dokumentere, at MIFARE Classic udgør en acceptabel residual risiko, når mere sikre alternativer findes.

Migration: Omkostning nu, men også risikoreduktion

Migration fra MIFARE Classic til DESFire EV3 kan indebære:

  • Udskiftning af kort
  • Opgradering af læsere
  • Tilpasning af backend og processer

Samtidig opnås:

  • Fjernelse af kendte sårbarheder
  • Færre kompenserende kontroller
  • Bedre sammenhæng mellem fysisk og logisk sikkerhed
  • Stærkere dokumentation i risikovurderinger og tilsyn

I en NIS2-ramme bør migration ses som strategisk risikoreduktion, ikke blot en teknisk opgradering.

Sammenhæng med NIS2

En løsning baseret på DESFire EV3, SDM og FIDO2 understøtter direkte centrale principper i NIS2:

  • Stærk autentificering
  • Kontrolleret adgang til kritiske aktiver
  • Sammenhæng mellem fysisk og digital sikkerhed
  • Reduceret angrebsoverflade
  • Forbedret audit- og hændelsesgrundlag

Det gør løsningen særlig relevant for organisationer, der skal kunne dokumentere både tekniske og organisatoriske foranstaltninger efter NIS2 er trådt i kraft.

Afslutning

Når identitet anvendes konsekvent, digitalt og fysisk, opnås en mere robust, gennemsigtig og dokumenterbar sikkerhedsmodel.

Et kombinationskort med DESFire EV3, Secure Dynamic Messaging og FIDO2 er derfor mere end et adgangskort: Det er et fundament for moderne adgangsstyring, der matcher både trusselsbilledet og de regulatoriske krav.

Flere artikler

Derfor byggede vi en self-hosted FOSS-infrastruktur i EU

Et strategisk valg for en dansk softwarevirksomhed om at erstatte Big Tech SaaS med en self-hosted FOSS-platform i EU for lavere omkostninger, mindre risiko, fuld kontrol og understøttelse af ISO 27001.

Read more

Fortæl os om dit projekt

Kontakt os

Vores kontor

  • Næstved
    Næstved Mosevej 9
    4700, Næstved, Danmark