Die drei HID 13.56 MHz Ebenen erklärt
Die 13.56 MHz Smartcard-Reihe von HID Global ist kein einzelnes Produkt, sondern eine Familie von drei architektonisch unterschiedlichen Ebenen, jede mit ihrem eigenen Sicherheitsmodell, Chipdesign und einer praktischen Ersatzgeschichte. Sie zusammenzufassen ist die häufigste Quelle der Verwirrung, wenn Facility-Teams nach einem HID iCLASS kompatibler Schlüsselanhänger oder einer Karte suchen, um ein alterndes Zugangsmedium zu ersetzen.
Die drei Ebenen sind: (1) Legacy iCLASS, auch Picopass genannt, die die Basis für iCLASS-Lesegeräte der ersten Generation bildet; (2) iCLASS SE und iCLASS Elite, die zusätzliche Anwendungsdiversifizierung auf die Picopass-Basis legen; und (3) Seos, die aktuelle Plattform von HID, die auf AES-Verschlüsselung auf einem dedizierten sicheren Element basiert. Jede Ebene stellt eine andere Kompatibilitätsfrage dar, daher behandelt der Rest dieses Leitfadens sie der Reihe nach.
Alle drei Ebenen teilen das 13.56 MHz ISO 15693 / ISO 14443 Frequenzband und aktivieren physisch ein kompatibles Lesegerät. Die Frequenzkompatibilität ist das Ende der Ähnlichkeit. Die Architekturen für Authentifizierung, Schlüssel-Diversifizierung und Speicherung von Zugangsdaten sind bei allen dreien erheblich unterschiedlich, und diese Architektur – nicht die Funkfrequenz – bestimmt, ob ein kompatibles Zugangsmedium eine funktionierende Anwendung tragen kann.
Legacy iCLASS (Picopass) und sein kompatibler Pfad
Legacy iCLASS-Zugangsdaten verwenden das Picopass-Protokoll mit einer Anwendung, die in einem definierten Speicherlayout gespeichert ist. Wenn ein Standort standardmäßig Legacy iCLASS betreibt – die häufigste Bereitstellung in älteren Unternehmens- und Regierungsinstallationen – authentifizieren sich kompatible Rohlinge, die auf dasselbe Zugangsdatenformat programmiert sind, mit den vorhandenen Lesegeräten ohne Firmware- oder Hardwareänderung.
Dies ist der eindeutige kompatible Fall in der iCLASS-Welt. Wenn das Audit-Log Ihres Lesegeräts iCLASS 2K- oder 16K-Zugangsdaten anzeigt und der Standort keine Elite-Level-Schlüsseldiversifizierung aktiviert hat, befinden Sie sich mit ziemlicher Sicherheit im Bereich der Standardkonfiguration. Eine HID iCLASS Legacy (2K/16K Picopass) Formatkarte, die von einem spezialisierten Lieferanten bezogen wird, kann mit Ihrem bestehenden Standortcode und Ihrer Kartennummer kodiert und über Ihren normalen Programmierworkflow an Benutzer ausgegeben werden.
Die praktische Anforderung ist, dass Sie ein Musterzugangsmedium oder die Standortcodedaten benötigen, um die Ersatzprodukte korrekt zu programmieren. Gewöhnliche Lese-/Schreibwerkzeuge, die jedem zertifizierten Installateur zur Verfügung stehen, können die Zugangsdaten von einer Musterkarte lesen und zur Programmierung neuer Rohlinge aufzeichnen. Es sind keine spezialisierten Angriffswerkzeuge erforderlich oder angemessen – dies ist ein routinemäßiger Wartungsprozess für jeden Integrator, der mit Legacy iCLASS vertraut ist.
Schlüsselanhänger-Benutzer haben die gleichen Optionen. Dieselbe Picopass-Anwendung läuft in Clamshell-Schlüsselanhänger-Formfaktoren, sodass ein HID iCLASS kompatibler Schlüsselanhänger mit demselben Format identisch kodiert und authentifiziert wie die Kartenentsprechung. Format und Speicherkonfiguration sind wichtig; das physische Gehäuse ist in den meisten Lesegerätinstallationen austauschbar.
Wenn Sie unsicher sind, ob Ihr Standort eine Standardkonfiguration oder Elite ist, ist der sicherste Schritt, einen kompatiblen Rohling an Ihrem Lesegerät zu testen, bevor Sie eine Großbestellung aufgeben. Ein echtes Lesegerät mit Standardkonfiguration akzeptiert einen korrekt kodierten Rohling sofort. Ein Elite-Lesegerät wird ihn ablehnen, was Ihnen deutlich sagt, dass Sie sich in der gesicherten Kategorie befinden, die im nächsten Abschnitt behandelt wird.
Für groß angelegte Legacy iCLASS-Programme – Rechenzentren, Serverräume und Campusse, die noch nicht auf SE oder Seos migriert sind – halten wir Bestände an HID iCLASS kompatibler Schlüsselanhänger und Kartenformaten in Standard-2K- und 16K-Picopass-Konfigurationen. Unser iCLASS, iCLASS SE & Seos: Kompatible Kartenoptionen nach Ebene Leitfaden behandelt die Bestellspezifika im Detail.
iCLASS SE / Elite: von Grund auf gesichert
iCLASS SE führte eine grundlegend andere Sicherheitsarchitektur ein. Während Legacy iCLASS einen standortweiten Anwendungsschlüssel verwendet, der auf allen Karten einer Bereitstellung gleich ist, leiten iCLASS SE und das Elite-Schlüsseldiversifizierungsschema einen eindeutigen Schlüssel pro Zugangsmedium von einem vom Betreiber gehaltenen Root-Schlüssel ab. Ein Lesegerät, das mit Elite-Schlüsseln programmiert ist, lehnt jede Karte ab, die keine korrekt diversifizierte Antwort liefert – einschließlich einer Legacy iCLASS-Standardkarte, die einem SE-Lesegerät im Multi-Class-Modus präsentiert wird.
Diese Architektur ist beabsichtigt. Deshalb erzielt iCLASS SE einen Premium-Preis in Unternehmens- und Regierungsinstallationen: Die durch vom Betreiber gehaltene diversifizierte Schlüssel erzeugte Lesegerät-Bindung ist eine echte Sicherheitseigenschaft, keine kommerzielle Unannehmlichkeit. Eine potenzielle Ersatzkarte kann die Anwendungsdaten nicht einfach von einem Muster kopieren, da der Verifizierungsschritt den diversifizierten Schlüssel erfordert, den nur die korrekte Karte während eines legitimen Authentifizierungsaustauschs erzeugen würde.
Was wir für iCLASS SE- und Elite-Bereitstellungen liefern, ist daher ein kompatibles Rohling-Zugangsmedium: eine HID iCLASS SE kompatible Karte auf der richtigen Chip-Plattform mit der richtigen Anwendungsstruktur, aber ohne vorinstallierte Schlüssel. Der Registrierungsprozess Ihres Systems – typischerweise über dieselbe Zutrittskontroll-Management-Software, die Sie bereits verwenden – schreibt die diversifizierten Schlüssel und Zugangsdaten Ihres Standorts während der Ausgabe auf den Rohling.
Dies ist identisch mit dem Prozess zur Ausgabe einer brandneuen Karte von Ihrem derzeitigen Lieferanten, mit zwei Unterschieden: Sie beziehen den Rohling von uns statt von HID, und die Stückkosten sind niedriger. Die Sicherheitseigenschaften des ausgegebenen Zugangsmediums werden durch die Schlüssel bestimmt, die Ihr System lädt, nicht durch den Hersteller des Rohlings.
Ähnlich ist das HID iCLASS Elite kompatible Karte Format, das wir auf Lager haben, so konzipiert, dass es die Schlüsseldiversifizierung des Elite-Schemas über Ihre Registrierungsinfrastruktur akzeptiert. Wenn Ihr Installateur oder Systemintegrator Ihre Lesegeräte für Elite konfiguriert hat, gilt derselbe Registrierungsworkflow.
Für Einrichtungen, die iCLASS-Ebenen mischen – eine häufige Realität bei mehrjährigen Migrationsprogrammen – sind auch Multi-Technologie-Karten erhältlich, die sowohl eine Legacy Picopass-Anwendung als auch eine SE-Anwendungsschicht tragen. Diese ermöglichen es Ihnen, Legacy-Lesegeräte gebäude für Gebäude auslaufen zu lassen, ohne jedem Karteninhaber doppelte Zugangsmedien auszustellen.
Seos: AES auf einem sicheren Element
Seos ist die aktuelle Flaggschiff-Plattform von HID und repräsentiert die anspruchsvollste Credential-Architektur in der iCLASS-Familie. Die Anwendung läuft in einem dedizierten sicheren Element – einer manipulationssicheren Hardware-Enklave – und alle Credential-Operationen sind durch AES-128- oder AES-256-Verschlüsselung mit Schlüsseln geschützt, die das sichere Element niemals im Klartext verlassen.
Die praktische Konsequenz für den Ersatzkauf ist dieselbe wie für iCLASS SE, aber noch klarer definiert: Es gibt keinen kompatiblen Weg, der eine funktionierende Seos-Anwendung von außen schreibt. Die AES-Schlüssel, die ein Seos-Credential gegenüber einem Seos-Leser authentifizieren, befinden sich im sicheren Element und werden ausschließlich über die Trusted Identity Platform von HID oder eine lizenzierte Registrierungsinfrastruktur geladen. Ein HID Seos Rohling, den wir liefern, ist genau das: ein leeres Credential mit dem korrekten Secure-Element-Chip und dem korrekten Seos-Anwendungscontainer, bereit, die Schlüssel Ihres Systems über Ihren normalen Ausstellungsprozess zu empfangen.
Dies ist wichtig für Beschaffungsteams, die verlorene oder beschädigte Seos-Karten ersetzen. Sie müssen Ersatz nicht über Ihren ursprünglichen Systemintegrator zum Listenpreis kaufen. Sie können den leeren Credential von einem kompatiblen Kartenlieferanten beziehen, ihn durch Ihre bestehende Registrierungsstation laufen lassen und ihn dem Karteninhaber ausstellen. Der Leser weiß oder kümmert sich nicht darum, wer den Rohling hergestellt hat; er kümmert sich nur darum, dass das Credential eine gültige AES-Antwort unter Verwendung der von Ihrem System geladenen Schlüssel präsentiert.
Seos ist auch die Plattform hinter dem mobilen und tragbaren Credential-Ökosystem von HID, aber das ist eine Software-Lizenzierungsfrage, die von der physischen Kartenversorgung getrennt ist. Physische Seos-Karten und -Fobs für Personal, das ein physisches Credential bevorzugt oder benötigt, bleiben als kompatible Rohlinge unkompliziert zu beschaffen.
Für Hochsicherheitsumgebungen wie Rechenzentren, Forschungseinrichtungen und Finanzoperationsräume – die Arten von Implementierungen in unserem Rechenzentrum & Serverraum Hochsicherheits-Credentials Lösungssatz – bieten Seos-Rohlinge einen kostengünstigen Ausstellungsweg, ohne die AES-Sicherheitseigenschaften zu beeinträchtigen, für die die Plattform entwickelt wurde.
Betreiber, die Seos neben anderen 13.56 MHz-Technologien betreiben, finden möglicherweise auch unseren Die MIFARE Familie erklärt: Classic, Plus, DESFire, Ultralight Leitfaden nützlich, um die parallele Smart-Card-Landschaft zu verstehen, da gemischte Lesegeräte, die sowohl Seos- als auch MIFARE DESFire-Credentials lesen, in Unternehmenszugangsprogrammen immer häufiger werden.
Was wir tatsächlich für jede Stufe liefern
Um jegliche Unklarheit zu beseitigen, hier ist genau das, was Security ID Systems für jede Stufe der HID iCLASS-Familie auf Lager hat und versendet.
Für ältere iCLASS (Picopass) in Standardkonfiguration: Wir liefern vollständig kompatible Rohlinge und Fobs in 2K- und 16K-Formaten. Diese können vorcodiert auf Ihren Standortcode und Kartennummernbereich bestellt oder als Rohlinge zur Codierung über Ihre eigene Installer-Toolchain bestellt werden. Das iclass csn passthrough card compatible Format ist auch für Implementierungen verfügbar, die sich auf den CSN-Nur-Lese-Modus statt auf eine vollständige Anwendung verlassen.
Für iCLASS SE und Elite: Wir liefern kompatible Rohlinge auf der richtigen Chip-Plattform, bereit zur Registrierung über Ihr Zutrittskontrollsystem. Wir liefern keine vorinstallierten SE- oder Elite-Credentials, da die Schlüssel zu Ihrem System gehören, nicht zu uns – das ist das korrekt funktionierende Sicherheitsmodell.
Für Seos: gleiches Modell. Kompatible leere Seos-Credentials, korrekter Secure-Element-Chip, korrekter Anwendungscontainer, keine vorinstallierten Schlüssel. Die Registrierung über Ihre Infrastruktur lädt Ihre Schlüssel und Ihre Credential-Daten.
Wir führen auch eine Reihe von Multi-Technologie-Formaten, die iCLASS-Anwendungen mit anderen Protokollen koppeln – nützlich bei Migrationen. Zum Beispiel benötigen Standorte, die von älteren 125 kHz proximity zu iCLASS oder Seos wechseln, oft Karten, die während der Übergangszeit beide Technologien gleichzeitig tragen. Unser 13.56 MHz HF Smart Cards Katalog und Hochsicherheit & Benutzerdefinierte Formate Abschnitt decken das gesamte Multi-Technologie-Sortiment ab.
Käufer, die für Bosch, TESA, Mul-T-Lock oder andere OEM-Systeme beschaffen, die iCLASS-Leser integrieren, werden feststellen, dass die gleiche Stufenlogik gilt. Eine bosch access control card compatible, tesa hotel key card compatible, oder smartair compatible card , die eine iCLASS-Credential-Schicht verwendet, folgt der gleichen Aufteilung zwischen Standardkonfiguration und gesicherter Stufe. Überprüfen Sie vor der Bestellung, welche iCLASS-Stufe der OEM-Leser verwendet.
Wenn Sie gleichzeitig eine ältere 125 kHz Wiegand-Anlage migrieren, bietet die HID compatible proximity card Reihe die 125 kHz-Seite jeder Multi-Technologie-Kopplung.
Unser breiterer Kompatible vs. Original-Zugangskarten: Ein ehrlicher Einkaufsführer deckt das Beschaffungsargument vollständig ab – wann kompatible Rohlinge kommerziell sinnvoll sind, was vor der Bestellung in großen Mengen zu überprüfen ist und wie der Registrierungsprozess über Ihre bestehende Infrastruktur zu verwalten ist.
Security ID Systems ist ein unabhängiger Anbieter von kompatiblen Zugangsberechtigungen. Wir sind nicht mit HID Global verbunden, werden nicht von HID Global unterstützt und stehen in keiner kommerziellen Beziehung zu HID Global. HID, iCLASS, iCLASS SE, Seos und Picopass sind Marken ihrer jeweiligen Eigentümer.
HID 13.56 MHz Credential-Stufen: Sicherheitsmodell und kompatibler Lieferweg
| Stufe | Protokoll / Chip | Authentifizierungsmodell | Kompatibler Weg | Was wir liefern |
|---|---|---|---|---|
| Legacy iCLASS Standard | Picopass (ISO 15693) | Standortweiter Anwendungsschlüssel, bei allen Karten identisch | Direkt: kompatibler Rohling, codiert mit Ihrem Standortcode und Ihrer Kartennummer | Vorcodierte oder leere 2K/16K Picopass-Karten und -Schlüsselanhänger |
| Legacy iCLASS Elite | Picopass + Elite Schlüssel-Diversifizierung | Pro-Karte diversifizierter Schlüssel vom Operator-Root-Schlüssel | Nur Registrierung: Rohling akzeptiert die diversifizierten Schlüssel Ihres Systems bei der Ausgabe | Kompatible leere Elite-Zugangsdaten zur Registrierung über Ihr System |
| iCLASS SE / SE Elite | Picopass SE + Anwendungsdiversifizierung | Pro-Karte diversifizierter Schlüssel, SE-Anwendungsschicht | Nur Registrierung: Rohling akzeptiert die SE-Schlüssel Ihres Systems bei der Ausgabe | Kompatible leere SE-Zugangsdaten; Multi-Tech (Legacy + SE) ebenfalls verfügbar |
| Seos | Sicheres Element, AES-128/256 | AES-Zugangsdatenoperationen innerhalb eines manipulationssicheren sicheren Elements; Schlüssel werden niemals im Klartext offengelegt | Nur Registrierung: Rohling akzeptiert die AES-Schlüssel Ihres Systems über eine lizenzierte Registrierungsinfrastruktur | Kompatible leere Seos-Zugangsdaten mit korrektem Secure-Element-Chip und Anwendungscontainer |