Los tres niveles de HID de 13.56 MHz explicados
La gama de tarjetas inteligentes de 13.56 MHz de HID Global no es un producto único, sino una familia de tres niveles arquitectónicamente distintos, cada uno con su propio modelo de seguridad, diseño de chip e historia de reemplazo práctica. Agruparlos es la fuente más común de confusión cuando los equipos de instalaciones buscan un llavero compatible hid iclass o una tarjeta para reemplazar una credencial antigua.
Los tres niveles son: (1) iCLASS heredado, también llamado Picopass, que sustenta los lectores iCLASS de primera generación; (2) iCLASS SE e iCLASS Elite, que superponen una diversificación de aplicaciones adicional sobre la base de Picopass; y (3) Seos, la plataforma de generación actual de HID construida alrededor del cifrado AES en un elemento seguro dedicado. Cada nivel presenta una pregunta de compatibilidad diferente, por lo que el resto de esta guía los trata a su vez.
Los tres niveles comparten la banda de frecuencia de 13.56 MHz ISO 15693 / ISO 14443 y activarán físicamente un lector compatible. La compatibilidad de frecuencia es donde termina la similitud. Las arquitecturas de autenticación, diversificación de claves y almacenamiento de credenciales son sustancialmente diferentes en los tres, y esa arquitectura —no la radiofrecuencia— rige si una credencial compatible puede llevar una aplicación funcional.
iCLASS heredado (Picopass) y su ruta compatible
Las credenciales iCLASS heredadas utilizan el protocolo Picopass con una aplicación almacenada en un diseño de memoria definido. Cuando un sitio está ejecutando iCLASS heredado de configuración estándar —la implementación más común en instalaciones corporativas y gubernamentales antiguas— las tarjetas en blanco compatibles programadas con el mismo formato de credencial se autenticarán con los lectores existentes sin ningún cambio de firmware o hardware.
Este es el caso compatible claro en el mundo iCLASS. Si el registro de auditoría de su panel de lector muestra credenciales iCLASS 2K o 16K, y el sitio no ha habilitado la diversificación de claves de nivel Elite, es casi seguro que se encuentra en territorio de configuración estándar. Una tarjeta HID iCLASS Legacy (2K/16K Picopass) con formato obtenida de un proveedor especializado puede codificarse con su código de sitio y número de tarjeta existentes y emitirse a los usuarios a través de su flujo de trabajo de programación normal.
El requisito práctico es que necesita una credencial de muestra o los datos del código del sitio para programar los reemplazos correctamente. Las herramientas ordinarias de lectura y escritura disponibles para cualquier instalador certificado pueden leer los datos de la credencial de una tarjeta de muestra y registrarlos para programar nuevos espacios en blanco. No se necesita ni es apropiado ningún tipo de herramienta de ataque especializada; este es un proceso de mantenimiento rutinario para cualquier integrador familiarizado con iCLASS heredado.
Los usuarios de llaveros tienen las mismas opciones. La misma aplicación Picopass se ejecuta en factores de forma de llavero tipo concha, por lo que un llavero compatible hid iclass que lleva el mismo formato se codifica y autentica de forma idéntica al equivalente de la tarjeta. El formato y la configuración de la memoria importan; la carcasa física es intercambiable en la mayoría de las instalaciones de lectores.
Si no está seguro de si su sitio es de configuración estándar o Elite, el paso más seguro es probar un espacio en blanco compatible con su lector antes de realizar un pedido a granel. Un lector de configuración estándar genuino aceptará un espacio en blanco correctamente codificado inmediatamente. Un lector Elite lo rechazará, lo que le indica claramente que se encuentra en la categoría de nivel seguro cubierta en la siguiente sección.
Para programas iCLASS heredados a gran escala —centros de datos, salas de servidores y campus que aún no han migrado a SE o Seos— mantenemos existencias de llavero compatible hid iclass y formatos de tarjeta en configuraciones estándar Picopass 2K y 16K. Nuestra iCLASS, iCLASS SE & Seos: Opciones de tarjetas compatibles por nivel guía cubre los detalles específicos del pedido.
iCLASS SE / Elite: seguridad por diseño
iCLASS SE introdujo una arquitectura de seguridad fundamentalmente diferente. Mientras que iCLASS heredado utiliza una clave de aplicación para todo el sitio que es la misma en todas las tarjetas de una implementación, iCLASS SE y el esquema de diversificación de claves Elite derivan una clave única por credencial de una clave raíz en poder del operador. Un lector programado con claves Elite rechazará cualquier tarjeta que no presente una respuesta correctamente diversificada, incluida una tarjeta estándar iCLASS heredada presentada a un lector SE en modo multiclase.
Esta arquitectura es intencional. Es la razón por la que iCLASS SE tiene un precio superior en instalaciones empresariales y gubernamentales: el bloqueo del lector instalado creado por las claves diversificadas en poder del operador es una propiedad de seguridad genuina, no un inconveniente comercial. Una posible tarjeta de reemplazo no puede simplemente copiar los datos de la aplicación de una muestra, porque el paso de verificación requiere la clave diversificada que solo la tarjeta correcta produciría durante un intercambio de autenticación legítimo.
Lo que suministramos para implementaciones de iCLASS SE y Elite es, por lo tanto, una credencial en blanco compatible: una tarjeta compatible hid iclass se construida sobre la plataforma de chip correcta con la estructura de aplicación correcta, pero sin claves precargadas. El proceso de inscripción de su sistema —típicamente realizado a través del mismo software de gestión de control de acceso que ya utiliza— escribe las claves diversificadas de su sitio y los datos de la credencial en el espacio en blanco durante la emisión.
Esto es idéntico al proceso de emisión de una tarjeta nueva de su proveedor actual, con dos diferencias: usted obtiene el espacio en blanco de nosotros en lugar de HID, y el costo unitario es menor. Las propiedades de seguridad de la credencial emitida están determinadas por las claves que carga su sistema, no por quién fabricó el soporte en blanco.
De manera similar, el tarjeta compatible hid iclass elite formato que tenemos en stock está diseñado para aceptar la diversificación de claves del esquema Elite a través de su infraestructura de inscripción. Si su instalador o integrador de sistemas ha configurado sus lectores para Elite, se aplica el mismo flujo de trabajo de inscripción.
Para instalaciones que mezclan niveles de iCLASS —una realidad común durante los programas de migración de varios años— también están disponibles tarjetas de múltiples tecnologías que llevan tanto una aplicación Picopass heredada como una capa de aplicación SE. Esto le permite eliminar gradualmente los lectores heredados edificio por edificio sin emitir credenciales duales a cada titular de tarjeta.
Seos: AES en un elemento seguro
Seos es la plataforma insignia actual de HID y representa la arquitectura de credenciales más sofisticada de la familia iCLASS. La aplicación se ejecuta dentro de un elemento seguro dedicado —un enclave de hardware resistente a manipulaciones— y todas las operaciones de credenciales están protegidas por cifrado AES-128 o AES-256 con claves que nunca abandonan el elemento seguro en texto sin formato.
La consecuencia práctica para la compra de reemplazos es la misma que para iCLASS SE, pero aún más claramente definida: no existe una ruta compatible que escriba una aplicación Seos funcional desde el exterior. Las claves AES que autentican una credencial Seos a un lector Seos residen dentro del elemento seguro y se cargan exclusivamente a través de la Plataforma de Identidad Confiable de HID o una infraestructura de inscripción con licencia. Una HID Seos en blanco que suministramos es, por lo tanto, exactamente eso: una credencial en blanco con el chip de elemento seguro correcto y el contenedor de aplicación Seos correcto, lista para recibir las claves de su sistema a través de su proceso de emisión normal.
Esto es importante para los equipos de adquisiciones que reemplazan tarjetas Seos perdidas o dañadas. No necesita comprar reemplazos a través de su integrador de sistemas original al precio de lista. Puede obtener la credencial en blanco de un proveedor de tarjetas compatibles, ejecutarla a través de su estación de inscripción existente y emitirla al titular de la tarjeta. El lector no sabe ni le importa quién fabricó la tarjeta en blanco; solo le importa que la credencial presente una respuesta AES válida utilizando las claves que su sistema cargó.
Seos es también la plataforma detrás del ecosistema de credenciales móviles y portátiles de HID, pero esa es una cuestión de licencia de software separada del suministro de tarjetas físicas. Las tarjetas y llaveros Seos físicos para el personal que prefiere o requiere una credencial física siguen siendo sencillos de adquirir como tarjetas en blanco compatibles.
Para entornos de alta seguridad como centros de datos, instalaciones de investigación y salas de operaciones financieras —los tipos de implementaciones en nuestro conjunto de soluciones de Credenciales de Alta Seguridad para Salas de Servidores & de Centros de Datos — las credenciales en blanco Seos proporcionan una ruta de emisión rentable sin comprometer las propiedades de seguridad AES que la plataforma fue diseñada para ofrecer.
Los operadores que ejecutan Seos junto con otras tecnologías de 13.56 MHz también pueden encontrar nuestra La familia MIFARE explicada: Classic, Plus, DESFire, Ultralight guía útil para comprender el panorama paralelo de las tarjetas inteligentes, ya que los paneles de lectores mixtos que leen credenciales Seos y MIFARE DESFire son cada vez más comunes en los programas de acceso empresarial.
Lo que realmente suministramos para cada nivel
Para eliminar cualquier ambigüedad, aquí está exactamente lo que Security ID Systems almacena y envía para cada nivel de la familia HID iCLASS.
Para iCLASS (Picopass) heredado en configuración estándar: suministramos tarjetas y llaveros en blanco totalmente compatibles en formatos 2K y 16K. Estos se pueden pedir pre-codificados con su código de sitio y rango de números de tarjeta, o como tarjetas en blanco para codificar a través de su propia cadena de herramientas de instalador. El formato de tarjeta compatible con iCLASS CSN passthrough también está disponible para implementaciones que dependen del modo de solo lectura de CSN en lugar de una aplicación completa.
Para iCLASS SE y Elite: suministramos credenciales en blanco compatibles en la plataforma de chip correcta, listas para la inscripción a través de su sistema de gestión de control de acceso. No suministramos credenciales SE o Elite precargadas porque las claves pertenecen a su sistema, no a nosotros; ese es el modelo de seguridad funcionando correctamente.
Para Seos: el mismo modelo. Credenciales Seos en blanco compatibles, chip de elemento seguro correcto, contenedor de aplicación correcto, cero claves precargadas. La inscripción a través de su infraestructura carga sus claves y sus datos de credenciales.
También contamos con una gama de formatos multitecnología que combinan aplicaciones iCLASS con otros protocolos, útiles durante las migraciones. Por ejemplo, los sitios que migran de la proximidad heredada de 125 kHz a iCLASS o Seos a menudo necesitan tarjetas que contengan ambas tecnologías simultáneamente durante el período de transición. Nuestro Tarjetas inteligentes HF de 13.56 MHz catálogo y la sección de Alta seguridad & Formatos personalizados cubren la gama completa de multitecnología.
Los compradores que busquen para Bosch, TESA, Mul-T-Lock u otros sistemas OEM que incorporen lectores iCLASS encontrarán que se aplica la misma lógica de niveles. Una tarjeta compatible con control de acceso Bosch, unatarjeta de hotel TESA compatible o una tarjeta compatible con Smartair
que utiliza una capa de credenciales iCLASS sigue la misma división entre configuración estándar y nivel seguro. Verifique qué nivel de iCLASS está ejecutando el lector OEM antes de realizar el pedido. Si está migrando un sistema Wiegand de 125 kHz más antiguo al mismo tiempo, la gama de tarjetas de proximidad compatibles con HID
proporciona el lado de 125 kHz de cualquier emparejamiento multitecnología. Tarjetas de acceso compatibles vs. genuinas: una guía honesta para el comprador Nuestra
más amplia cubre el argumento de adquisición en su totalidad: cuándo los espacios en blanco compatibles tienen sentido comercial, qué verificar antes de realizar pedidos en volumen y cómo administrar el proceso de inscripción a través de su infraestructura existente.
Security ID Systems es un proveedor independiente de credenciales de acceso compatibles. No estamos afiliados, respaldados ni en ninguna relación comercial con HID Global. HID, iCLASS, iCLASS SE, Seos y Picopass son marcas comerciales de sus respectivos propietarios.
| Niveles de credenciales HID de 13.56 MHz: modelo de seguridad y ruta de suministro compatible | Nivel | Protocolo / Chip | Modelo de autenticación | Ruta compatible |
|---|---|---|---|---|
| iCLASS Estándar Heredado | Picopass (ISO 15693) | Clave de aplicación para todo el sitio, la misma en todas las tarjetas | Directo: compatible en blanco codificado con su código de sitio y número de tarjeta | Tarjetas y llaveros Picopass 2K/16K pre-codificados o en blanco |
| iCLASS Elite Heredado | Picopass + diversificación de clave Elite | Clave por tarjeta diversificada de la clave raíz del operador | Solo para inscripción: el blanco acepta las claves diversificadas de su sistema en la emisión | Credenciales Elite compatibles en blanco para inscripción a través de su sistema |
| iCLASS SE / SE Elite | Picopass SE + diversificación de aplicación | Clave diversificada por tarjeta, capa de aplicación SE | Solo para inscripción: el blanco acepta las claves SE de su sistema en la emisión | Credenciales SE compatibles en blanco; multi-tecnología (heredado + SE) también disponible |
| Seos | Elemento seguro, AES-128/256 | Operaciones de credenciales AES dentro de un elemento seguro resistente a manipulaciones; las claves nunca se exponen en texto plano | Solo para inscripción: el blanco acepta las claves AES de su sistema a través de una infraestructura de inscripción con licencia | Credenciales Seos compatibles en blanco con el chip de elemento seguro y el contenedor de aplicación correctos |