HID iCLASS, iCLASS SE & Seos: Co lze nahradit

Vysvětlení tří úrovní HID 13.56 MHz

Řada čipových karet HID Global 13.56 MHz není jediným produktem, ale rodinou tří architektonicky odlišných úrovní, z nichž každá má svůj vlastní bezpečnostní model, design čipu a praktický příběh náhrady. Jejich seskupení je nejčastějším zdrojem zmatku, když týmy pro správu zařízení hledají kompatibilní klíčenku HID iCLASS nebo kartu k nahrazení stárnoucího pověření.

Tři úrovně jsou: (1) starší iCLASS, nazývaná také Picopass, která je základem čteček iCLASS první generace; (2) iCLASS SE a iCLASS Elite, které přidávají další diverzifikaci aplikací nad základ Picopass; a (3) Seos, současná platforma HID postavená na šifrování AES na vyhrazeném zabezpečeném prvku. Každá úroveň představuje jinou otázku kompatibility, takže zbytek této příručky se jimi zabývá postupně.

Všechny tři úrovně sdílejí frekvenční pásmo 13.56 MHz ISO 15693 / ISO 14443 a fyzicky probudí kompatibilní čtečku. Kompatibilita frekvence je místo, kde podobnost končí. Architektury ověřování, diverzifikace klíčů a ukládání pověření se mezi těmito třemi úrovněmi podstatně liší, a tato architektura – nikoli rádiová frekvence – určuje, zda kompatibilní pověření může nést funkční aplikaci.

Starší iCLASS (Picopass) a její kompatibilní cesta

Starší pověření iCLASS používají protokol Picopass s aplikací uloženou v definovaném rozložení paměti. Pokud místo používá standardní konfiguraci staršího iCLASS – nejběžnější nasazení ve starších firemních a vládních instalacích – kompatibilní prázdné karty naprogramované na stejný formát pověření se budou ověřovat u stávajících čteček bez jakékoli změny firmwaru nebo hardwaru.

Toto je jasný případ kompatibility ve světě iCLASS. Pokud auditní protokol vašeho panelu čtečky ukazuje pověření iCLASS 2K nebo 16K a místo nepovolilo diverzifikaci klíčů na úrovni Elite, jste téměř jistě v oblasti standardní konfigurace. Karta formátu HID iCLASS Legacy (2K/16K Picopass) získaná od specializovaného dodavatele může být zakódována s vaším stávajícím kódem místa a číslem karty a vydána uživatelům prostřednictvím vašeho běžného programovacího pracovního postupu.

Praktickým požadavkem je, že potřebujete vzorové pověření nebo data kódu místa k správnému naprogramování náhrad. Běžné nástroje pro čtení a zápis dostupné každému certifikovanému instalatérovi mohou přečíst data pověření ze vzorové karty a zaznamenat je pro programování nových prázdných karet. Nejsou potřeba ani vhodné žádné specializované útočné nástroje – jedná se o rutinní proces údržby pro každého integrátora obeznámeného se starším iCLASS.

Uživatelé klíčenek mají stejné možnosti. Stejná aplikace Picopass běží ve formátech klíčenek typu clamshell, takže kompatibilní klíčenku HID iCLASS nesoucí stejný formát se kóduje a ověřuje identicky jako ekvivalent karty. Záleží na formátu a konfiguraci paměti; fyzické pouzdro je ve většině instalací čteček zaměnitelné.

Pokud si nejste jisti, zda je vaše místo standardní konfigurace nebo Elite, nejbezpečnějším krokem je otestovat jednu kompatibilní prázdnou kartu proti vaší čtečce před zadáním hromadné objednávky. Originální čtečka standardní konfigurace okamžitě přijme správně zakódovanou prázdnou kartu. Čtečka Elite ji odmítne, což vám jasně řekne, že jste v kategorii zabezpečené úrovně, která je popsána v další sekci.

Pro rozsáhlé programy staršího iCLASS – datová centra, serverovny a kampusy, které dosud nemigrovaly na SE nebo Seos – udržujeme skladem kompatibilní klíčenku HID iCLASS a formáty karet ve standardních konfiguracích 2K a 16K Picopass. Náš iCLASS, iCLASS SE & Seos: Možnosti kompatibilních karet podle úrovně průvodce podrobně popisuje specifika objednávání.

iCLASS SE / Elite: zabezpečeno designem

iCLASS SE zavedl zásadně odlišnou bezpečnostní architekturu. Zatímco starší iCLASS používá aplikační klíč pro celé místo, který je stejný pro všechny karty v nasazení, iCLASS SE a schéma diverzifikace klíčů Elite odvozují jedinečný klíč pro každé pověření z kořenového klíče drženého operátorem. Čtečka naprogramovaná s klíči Elite odmítne jakoukoli kartu, která nepředloží správně diverzifikovanou odpověď – včetně standardní karty staršího iCLASS předložené čtečce SE v režimu více tříd.

Tato architektura je záměrná. Proto iCLASS SE vyžaduje prémii v podnikových a vládních instalacích: uzamčení nainstalované čtečky vytvořené operátorem drženými diverzifikovanými klíči je skutečnou bezpečnostní vlastností, nikoli komerční nepříjemností. Potenciální náhradní karta nemůže jednoduše zkopírovat aplikační data ze vzorku, protože ověřovací krok vyžaduje diverzifikovaný klíč, který by správná karta vygenerovala pouze během legitimní ověřovací výměny.

To, co dodáváme pro nasazení iCLASS SE a Elite, je proto kompatibilní prázdné pověření: kompatibilní karta HID iCLASS SE postavená na správné čipové platformě se správnou aplikační strukturou, ale bez předem nahraných klíčů. Proces registrace vašeho systému – typicky prováděný prostřednictvím stejného softwaru pro správu kontroly přístupu, který již používáte – zapíše diverzifikované klíče a data pověření vašeho místa na prázdnou kartu během vydání.

To je identické s procesem vydávání zcela nové karty od vašeho stávajícího dodavatele, s dvěma rozdíly: prázdnou kartu získáváte od nás namísto HID a jednotková cena je nižší. Bezpečnostní vlastnosti vydaného pověření jsou určeny klíči, které váš systém načte, nikoli tím, kdo vyrobil prázdného nosiče.

Podobně, kompatibilní karta HID iCLASS Elite formát, který máme skladem, je navržen tak, aby přijímal diverzifikaci klíčů schématu Elite prostřednictvím vaší registrační infrastruktury. Pokud váš instalatér nebo systémový integrátor nakonfiguroval vaše čtečky pro Elite, platí stejný registrační pracovní postup.

Pro zařízení, která kombinují úrovně iCLASS – běžná realita během víceletých migračních programů – jsou k dispozici také více technologií karty nesoucí jak starší aplikaci Picopass, tak aplikační vrstvu SE. Ty vám umožňují postupně vyřazovat starší čtečky na základě budovy po budově, aniž byste museli vydávat duální pověření každému držiteli karty.

Seos: AES na zabezpečeném prvku

Seos je současná vlajková platforma společnosti HID a představuje nejsofistikovanější architekturu pověření v rodině iCLASS. Aplikace běží uvnitř vyhrazeného zabezpečeného prvku – hardwarové enklávy odolné proti neoprávněné manipulaci – a všechny operace s pověřením jsou chráněny šifrováním AES-128 nebo AES-256 s klíči, které nikdy neopustí zabezpečený prvek v nešifrované podobě.

Praktický důsledek pro nákup náhrad je stejný jako u iCLASS SE, ale ještě jasněji definovaný: neexistuje žádná kompatibilní cesta, která by zvenčí zapsala funkční aplikaci Seos. Klíče AES, které ověřují pověření Seos u čtečky Seos, se nacházejí uvnitř zabezpečeného prvku a jsou načítány výhradně prostřednictvím platformy HID Trusted Identity Platform nebo licencované infrastruktury pro registraci. HID Seos prázdné médium, které dodáváme, je tedy přesně to: prázdné pověření se správným čipem zabezpečeného prvku a správným kontejnerem aplikace Seos, připravené přijmout klíče vašeho systému prostřednictvím vašeho běžného procesu vydávání.

To je důležité pro nákupní týmy, které nahrazují ztracené nebo poškozené karty Seos. Nemusíte nakupovat náhrady prostřednictvím svého původního systémového integrátora za katalogovou cenu. Prázdné pověření můžete získat od dodavatele kompatibilních karet, provést jej stávající registrační stanicí a vydat jej držiteli karty. Čtečka neví ani se nestará o to, kdo vyrobil prázdné médium; zajímá ji pouze to, zda pověření předkládá platnou odpověď AES pomocí klíčů, které váš systém načetl.

Seos je také platforma, která stojí za ekosystémem mobilních a nositelných pověření HID, ale to je otázka softwarové licence, oddělená od dodávky fyzických karet. Fyzické karty a klíčenky Seos pro personál, který preferuje nebo vyžaduje fyzické pověření, zůstávají snadno dostupné jako kompatibilní prázdné médium.

Pro vysoce zabezpečená prostředí, jako jsou datová centra, výzkumná zařízení a operační místnosti finančních institucí – typy nasazení v naší Datové centrum & Vysoce zabezpečená pověření pro serverovny sada řešení – prázdná pověření Seos poskytují nákladově efektivní cestu vydávání bez kompromisů v oblasti bezpečnostních vlastností AES, pro které byla platforma navržena.

Operátoři, kteří používají Seos vedle jiných technologií 13.56 MHz, mohou také považovat náš Vysvětlení rodiny MIFARE: Classic, Plus, DESFire, Ultralight průvodce za užitečný pro pochopení paralelního prostředí smart-card, protože panely se smíšenými čtečkami, které čtou jak pověření Seos, tak MIFARE DESFire, jsou stále běžnější v podnikových přístupových programech.

Co skutečně dodáváme pro každou úroveň

Abychom odstranili jakoukoli nejednoznačnost, zde je přesně to, co Security ID Systems skladuje a dodává pro každou úroveň rodiny HID iCLASS.

Pro starší iCLASS (Picopass) ve standardní konfiguraci: dodáváme plně kompatibilní prázdné karty a klíčenky ve formátech 2K a 16K. Ty lze objednat předem zakódované na váš kód pracoviště a rozsah čísla karty, nebo objednat jako prázdné pro kódování prostřednictvím vašeho vlastního instalačního nástroje. Formát kompatibilní karta iclass csn passthrough je také k dispozici pro nasazení, která se spoléhají na režim pouze pro čtení CSN spíše než na plnou aplikaci.

Pro iCLASS SE a Elite: dodáváme kompatibilní prázdná pověření na správné čipové platformě, připravená k registraci prostřednictvím vašeho systému správy přístupu. Nedodáváme předem nahraná pověření SE nebo Elite, protože klíče patří vašemu systému, nikoli nám – to je správně fungující bezpečnostní model.

Pro Seos: stejný model. Kompatibilní prázdná pověření Seos, správný čip zabezpečeného prvku, správný kontejner aplikace, nulové předem nahrané klíče. Registrace prostřednictvím vaší infrastruktury načte vaše klíče a vaše data pověření.

Nabízíme také řadu více-technologických formátů, které párují aplikace iCLASS s jinými protokoly – užitečné během migrací. Například pracoviště přecházející ze staršího 125 kHz proximity na iCLASS nebo Seos často potřebují karty, které během přechodného období nesou obě technologie současně. Náš 13.56 MHz HF Smart karty katalog a Vysoká bezpečnost & Vlastní formáty sekce pokrývají celou škálu více-technologických řešení.

Kupující, kteří nakupují pro systémy Bosch, TESA, Mul-T-Lock nebo jiné OEM systémy, které obsahují čtečky iCLASS, zjistí, že platí stejná logika úrovní. kompatibilní karta pro kontrolu přístupu Bosch, kompatibilní hotelová karta TESA, nebo kompatibilní karta smartair která používá vrstvu pověření iCLASS, se řídí stejným rozdělením na standardní konfiguraci a zabezpečenou úroveň. Před objednáním zkontrolujte, jakou úroveň iCLASS OEM čtečka používá.

Pokud současně migrujete starší 125 kHz Wiegand systém, řada kompatibilních proximity karet HID poskytuje 125 kHz stranu jakéhokoli více-technologického párování.

Náš širší Kompatibilní vs. originální přístupové karty: Upřímný průvodce pro kupujícího pokrývá argumenty pro nákup v plném rozsahu – kdy mají kompatibilní prázdné médium komerční smysl, co ověřit před objednáním ve velkém objemu a jak spravovat proces registrace prostřednictvím vaší stávající infrastruktury.

Security ID Systems je nezávislý dodavatel kompatibilních přístupových pověření. Nejsme spojeni s HID Global, neschvalujeme ji ani s ní nemáme žádný obchodní vztah. HID, iCLASS, iCLASS SE, Seos a Picopass jsou ochranné známky příslušných vlastníků.