Demander un devis

Niveaux de sécurité

HID iCLASS, iCLASS SE & Seos : Ce qui peut être remplacé

Security ID Systems ·

Un remplacement compatible pour une carte HID iCLASS dépend entièrement du niveau que vous utilisez : l'iCLASS "legacy" (Picopass) a un chemin compatible bien défini, tandis que l'iCLASS SE, l'iCLASS Elite et Seos sont sécurisés par conception et sont fournis comme des identifiants vierges compatibles que votre propre système de contrôle d'accès enregistre avec ses propres clés. Comprendre la différence avant de commander permet d'économiser du temps, de l'argent et un appel de service.

Les trois niveaux HID 13.56 MHz expliqués

La gamme de cartes à puce 13.56 MHz de HID Global n'est pas un produit unique mais une famille de trois niveaux architecturalement distincts, chacun avec son propre modèle de sécurité, sa conception de puce et son histoire de remplacement pratique. Les regrouper est la source de confusion la plus courante lorsque les équipes d'installations recherchent un porte-clés compatible HID iCLASS ou une carte pour remplacer un identifiant vieillissant.

Les trois niveaux sont : (1) l'iCLASS "legacy", également appelé Picopass, qui sous-tend les lecteurs iCLASS de première génération ; (2) l'iCLASS SE et l'iCLASS Elite, qui superposent une diversification d'application supplémentaire sur la base Picopass ; et (3) Seos, la plateforme de génération actuelle de HID construite autour du chiffrement AES sur un élément sécurisé dédié. Chaque niveau présente une question de compatibilité différente, de sorte que le reste de ce guide les traite tour à tour.

Les trois niveaux partagent la bande de fréquence 13.56 MHz ISO 15693 / ISO 14443 et activeront physiquement un lecteur compatible. La compatibilité de fréquence est la seule similitude. Les architectures d'authentification, de diversification de clés et de stockage d'identifiants sont substantiellement différentes entre les trois, et c'est cette architecture — et non la fréquence radio — qui détermine si un identifiant compatible peut transporter une application fonctionnelle.

iCLASS "legacy" (Picopass) et son chemin compatible

Les identifiants iCLASS "legacy" utilisent le protocole Picopass avec une application stockée dans une disposition de mémoire définie. Lorsqu'un site utilise l'iCLASS "legacy" en configuration standard — le déploiement le plus courant dans les anciennes installations d'entreprise et gouvernementales — les cartes vierges compatibles programmées au même format d'identifiant s'authentifieront avec les lecteurs existants sans aucun changement de firmware ou de matériel.

C'est le cas compatible le plus clair dans le monde iCLASS. Si le journal d'audit de votre panneau de lecteur affiche des identifiants iCLASS 2K ou 16K, et que le site n'a pas activé la diversification de clés de niveau Elite, vous êtes presque certainement en territoire de configuration standard. Une carte au format HID iCLASS Legacy (2K/16K Picopass) provenant d'un fournisseur spécialisé peut être encodée avec votre code de site et votre numéro de carte existants et délivrée aux utilisateurs via votre flux de travail de programmation normal.

L'exigence pratique est que vous ayez besoin d'un identifiant échantillon ou des données du code de site pour programmer correctement les remplacements. Les outils de lecture-écriture ordinaires disponibles pour tout installateur certifié peuvent lire les données d'identifiant d'une carte échantillon et les enregistrer pour programmer de nouvelles ébauches. Aucun outil d'attaque spécialisé n'est nécessaire ou approprié — il s'agit d'un processus de maintenance de routine pour tout intégrateur familier avec l'iCLASS "legacy".

Les utilisateurs de porte-clés ont les mêmes options. La même application Picopass fonctionne dans des facteurs de forme de porte-clés à clapet, de sorte qu'un porte-clés compatible HID iCLASS portant le même format s'encode et s'authentifie de manière identique à l'équivalent de la carte. Le format et la configuration de la mémoire importent ; le boîtier physique est interchangeable dans la plupart des installations de lecteurs.

Si vous n'êtes pas sûr que votre site soit en configuration standard ou Elite, l'étape la plus sûre est de tester une ébauche compatible avec votre lecteur avant de passer une commande en gros. Un lecteur de configuration standard authentique acceptera immédiatement une ébauche correctement encodée. Un lecteur Elite la rejettera, ce qui vous indique clairement que vous êtes dans la catégorie de niveau sécurisé couverte dans la section suivante.

Pour les programmes iCLASS "legacy" à grande échelle — centres de données, salles de serveurs et campus qui n'ont pas encore migré vers SE ou Seos — nous maintenons un stock de porte-clés compatible HID iCLASS et de formats de cartes dans les configurations standard 2K et 16K Picopass. Notre iCLASS, iCLASS SE & Seos : Options de cartes compatibles par niveau guide couvre les spécificités de commande en détail.

iCLASS SE / Elite : sécurisé par conception

iCLASS SE a introduit une architecture de sécurité fondamentalement différente. Là où l'iCLASS "legacy" utilise une clé d'application à l'échelle du site qui est la même sur toutes les cartes d'un déploiement, l'iCLASS SE et le schéma de diversification de clés Elite dérivent une clé unique par identifiant à partir d'une clé racine détenue par l'opérateur. Un lecteur programmé avec des clés Elite rejettera toute carte qui ne présente pas une réponse correctement diversifiée — y compris une carte standard iCLASS "legacy" présentée à un lecteur SE en mode multi-classe.

Cette architecture est intentionnelle. C'est pourquoi iCLASS SE commande une prime dans les installations d'entreprise et gouvernementales : le verrouillage des lecteurs installés créé par les clés diversifiées détenues par l'opérateur est une véritable propriété de sécurité, pas un inconvénient commercial. Une carte de remplacement potentielle ne peut pas simplement copier les données de l'application à partir d'un échantillon, car l'étape de vérification nécessite la clé diversifiée que seule la carte correcte produirait lors d'un échange d'authentification légitime.

Ce que nous fournissons pour les déploiements iCLASS SE et Elite est donc un identifiant vierge compatible : une carte compatible HID iCLASS SE construite sur la bonne plateforme de puce avec la bonne structure d'application, mais sans clés préchargées. Le processus d'enregistrement de votre système — généralement effectué via le même logiciel de gestion de contrôle d'accès que vous utilisez déjà — écrit les clés diversifiées et les données d'identifiant de votre site sur la carte vierge lors de l'émission.

Ceci est identique au processus d'émission d'une carte neuve de votre fournisseur actuel, avec deux différences : vous vous procurez la carte vierge chez nous plutôt que chez HID, et le coût unitaire est inférieur. Les propriétés de sécurité de l'identifiant émis sont déterminées par les clés que votre système charge, et non par le fabricant du support vierge.

De même, le carte compatible HID iCLASS Elite format que nous stockons est conçu pour accepter la diversification de clés du schéma Elite via votre infrastructure d'enregistrement. Si votre installateur ou intégrateur de systèmes a configuré vos lecteurs pour Elite, le même flux de travail d'enregistrement s'applique.

Pour les installations qui mélangent les niveaux iCLASS — une réalité courante lors des programmes de migration pluriannuels — des cartes multi-technologies portant à la fois une application Picopass "legacy" et une couche d'application SE sont également disponibles. Celles-ci vous permettent d'éliminer progressivement les lecteurs "legacy" bâtiment par bâtiment sans émettre de doubles identifiants à chaque titulaire de carte.

Seos : AES sur un élément sécurisé

Seos est la plateforme phare actuelle de HID et représente l'architecture de carte la plus sophistiquée de la famille iCLASS. L'application s'exécute à l'intérieur d'un élément sécurisé dédié — une enclave matérielle inviolable — et toutes les opérations de carte sont protégées par un chiffrement AES-128 ou AES-256 avec des clés qui ne quittent jamais l'élément sécurisé en texte clair.

La conséquence pratique pour l'achat de remplacement est la même que pour iCLASS SE, mais encore plus clairement définie : il n'y a pas de chemin compatible qui écrit une application Seos fonctionnelle de l'extérieur. Les clés AES qui authentifient une carte Seos auprès d'un lecteur Seos résident à l'intérieur de l'élément sécurisé et sont chargées exclusivement via la Trusted Identity Platform de HID ou une infrastructure d'enrôlement sous licence. Une carte HID Seos vierge que nous fournissons est donc exactement cela : une carte vierge avec la puce d'élément sécurisé correcte et le conteneur d'application Seos correct, prête à recevoir les clés de votre système via votre processus d'émission normal.

Ceci est important pour les équipes d'approvisionnement qui remplacent des cartes Seos perdues ou endommagées. Vous n'avez pas besoin d'acheter des remplacements auprès de votre intégrateur de système d'origine au prix catalogue. Vous pouvez vous procurer la carte vierge auprès d'un fournisseur de cartes compatibles, la faire passer par votre station d'enrôlement existante et la délivrer au titulaire de la carte. Le lecteur ne sait pas et ne se soucie pas de qui a fabriqué la carte vierge ; il se soucie uniquement que la carte présente une réponse AES valide en utilisant les clés que votre système a chargées.

Seos est également la plateforme derrière l'écosystème de cartes mobiles et portables de HID, mais il s'agit d'une question de licence logicielle distincte de la fourniture de cartes physiques. Les cartes et porte-clés Seos physiques pour le personnel qui préfère ou nécessite une carte physique restent simples à se procurer en tant que cartes vierges compatibles.

Pour les environnements de haute sécurité tels que les centres de données, les installations de recherche et les salles d'opérations financières — les types de déploiements dans notre ensemble de solutions Cartes de haute sécurité pour salles de serveurs de centres de données & — les cartes vierges Seos offrent un chemin d'émission rentable sans compromettre les propriétés de sécurité AES que la plateforme a été conçue pour offrir. Les opérateurs utilisant Seos en parallèle avec d'autres technologies 13.56 MHz peuvent également trouver notre

guide utile pour comprendre le paysage parallèle des cartes à puce, car les panneaux de lecteurs mixtes lisant à la fois les cartes Seos et MIFARE DESFire sont de plus en plus courants dans les programmes d'accès d'entreprise. La famille MIFARE expliquée: Classic, Plus, DESFire, Ultralight Ce que nous fournissons réellement pour chaque niveau

Pour lever toute ambiguïté, voici exactement ce que Security ID Systems stocke et expédie pour chaque niveau de la famille HID iCLASS.

Pour iCLASS (Picopass) héritée en configuration standard : nous fournissons des cartes et des porte-clés vierges entièrement compatibles aux formats 2K et 16K. Ceux-ci peuvent être commandés pré-encodés avec votre code de site et votre plage de numéros de carte, ou commandés comme vierges pour l'encodage via votre propre chaîne d'outils d'installation. Le format

carte compatible iCLASS CSN passthrough est également disponible pour les déploiements qui reposent sur le mode de lecture seule CSN plutôt que sur une application complète. Pour iCLASS SE et Elite : nous fournissons des cartes vierges compatibles sur la bonne plateforme de puce, prêtes pour l'enrôlement via votre système de gestion de contrôle d'accès. Nous ne fournissons pas de cartes SE ou Elite préchargées car les clés appartiennent à votre système, pas à nous — c'est le modèle de sécurité qui fonctionne correctement.

Pour Seos : même modèle. Cartes Seos vierges compatibles, puce d'élément sécurisé correcte, conteneur d'application correct, zéro clé préchargée. L'enrôlement via votre infrastructure charge vos clés et vos données de carte.

Nous proposons également une gamme de formats multi-technologies qui associent les applications iCLASS à d'autres protocoles — utile lors des migrations. Par exemple, les sites passant de la proximité 125 kHz héritée à iCLASS ou Seos ont souvent besoin de cartes qui portent les deux technologies simultanément pendant la période de transition. Notre

catalogue et notre Cartes à puce HF 13,56 MHz section couvrent la gamme complète multi-technologies. Haute sécurité & Formats personnalisés Les acheteurs s'approvisionnant pour Bosch, TESA, Mul-T-Lock ou d'autres systèmes OEM qui intègrent des lecteurs iCLASS trouveront que la même logique de niveau s'applique. Une

carte de contrôle d'accès Bosch compatible une, carte clé d'hôtel TESA compatibleou une carte compatible Smartair qui utilise une couche de carte iCLASS suit la même division configuration standard vs niveau sécurisé. Vérifiez quel niveau iCLASS le lecteur OEM utilise avant de commander.

Si vous migrez un parc Wiegand 125 kHz plus ancien en même temps, la gamme carte de proximité compatible HID fournit le côté 125 kHz de tout couplage multi-technologies.

Notre Cartes d'Accès Compatibles vs Authentiques: Un Guide d'Achat Honnête plus large couvre l'argument d'approvisionnement en détail — quand les cartes vierges compatibles ont un sens commercial, ce qu'il faut vérifier avant de commander en volume, et comment gérer le processus d'enrôlement via votre infrastructure existante.

Security ID Systems est un fournisseur indépendant de cartes d'accès compatibles. Nous ne sommes pas affiliés à, approuvés par, ou en relation commerciale avec HID Global. HID, iCLASS, iCLASS SE, Seos et Picopass sont des marques déposées de leurs propriétaires respectifs.

Niveaux de cartes HID 13.56 MHz : modèle de sécurité et chemin d'approvisionnement compatible

NiveauProtocole / PuceModèle d'authentificationChemin compatibleCe que nous fournissons
iCLASS Standard HéritéPicopass (ISO 15693)Clé d'application à l'échelle du site, identique sur toutes les cartesDirect : vierge compatible encodée avec votre code de site et numéro de carteCartes et porte-clés Picopass 2K/16K pré-encodés ou vierges
iCLASS Elite HéritéPicopass + diversification de clé EliteClé diversifiée par carte à partir de la clé racine de l'opérateurEnrôlement uniquement : la carte vierge accepte les clés diversifiées de votre système lors de l'émissionIdentifiants Elite vierges compatibles pour l'enrôlement via votre système
iCLASS SE / SE ElitePicopass SE + diversification d'applicationClé diversifiée par carte, couche d'application SEEnrôlement uniquement : la carte vierge accepte les clés SE de votre système lors de l'émissionIdentifiants SE vierges compatibles ; multi-technologies (hérité + SE) également disponibles
SeosÉlément sécurisé, AES-128/256Opérations d'identifiants AES à l'intérieur d'un élément sécurisé inviolable ; clés jamais exposées en texte clairEnrôlement uniquement : la carte vierge accepte les clés AES de votre système via une infrastructure d'enrôlement sous licenceIdentifiants Seos vierges compatibles avec la puce d'élément sécurisé et le conteneur d'application corrects

Formats compatibles dans cet article

13.56 MHz Format rare

HID Seos

Compatible avec HID Global

Puce
Élément sécurisé SmartMX / JCOP
Format
Applet Seos sur élément sécurisé ; AES-128 ; SIO/…
Voir l'identifiant compatible
13.56 MHz Format rare

HID iCLASS Hérité (Picopass 2K / 16K)

Compatible avec HID Global ; bureaux, campus, gouvernement, appartements

Puce
Picopass / iCLASS
Format
Picopass basé sur ISO 15693 ; blocs de 64 bits ; 3DE…
Voir l'identifiant compatible
13.56 MHz Format rare

carte au format HID iCLASS Legacy (2K/16K Picopass)

Compatible avec HID Global

Puce
Picopass / iCLASS
Format
Picopass basé sur ISO15693 ; blocs de 64 bits ; 3DES…
Voir l'identifiant compatible
13.56 MHz Format rare

HID iCLASS Elite (Haute Sécurité / clé personnalisée)

Compatible avec HID Global ; sites iCLASS à sécurité renforcée, entreprise

Puce
Picopass / iCLASS
Format
Picopass ISO 15693 ; Elite spécifique au site (HID…
Voir l'identifiant compatible
13.56 MHz

Mul-T-Lock SMARTair / i-max (Mifare Classic/Ultralight/DESFire/iCLASS)

Compatible avec Mul-T-Lock

Puce
NXP MIFARE DESFire / Ultralight authentique
Format
Encodage SMARTair ; multi-format (encodage Classic…
Voir l'identifiant compatible
13.56 MHz

HID iCLASS SE / SR + SIO

Compatible avec HID Global ; entreprise moderne

Puce
NXP MIFARE / DESFire authentique
Format
iCLASS SE avec Secure Identity Object (SIO) …
Voir l'identifiant compatible

Questions fréquemment posées

Une carte HID iCLASS peut-elle être remplacée par une carte compatible ?

Cela dépend du niveau. L'iCLASS Hérité fonctionnant en configuration standard a un chemin compatible direct : une carte vierge compatible correctement encodée s'authentifiera avec vos lecteurs existants sans aucun changement matériel ou micrologiciel. iCLASS SE, Elite et Seos sont sécurisés par conception et nécessitent un enrôlement via l'infrastructure de votre propre système. Pour ces niveaux, nous fournissons des identifiants vierges compatibles que votre système charge avec ses propres clés lors de l'émission — le même processus que l'émission d'une nouvelle carte de votre fournisseur habituel, mais à moindre coût.

Une carte Seos peut-elle être remplacée par un identifiant compatible ?

Oui, en tant qu'identifiant vierge compatible. Un identifiant de remplacement Seos contient la puce d'élément sécurisé correcte et le conteneur d'application correct. Votre système de gestion de contrôle d'accès — ou la station d'enrôlement de votre intégrateur de système — charge les clés AES et les données d'identifiant de votre site sur la carte vierge lors de l'émission. Une fois enrôlée, la carte s'authentifie avec les lecteurs Seos exactement comme le ferait un identifiant d'origine. Il n'y a pas de moyen de précharger les clés Seos depuis l'extérieur de votre système, ce qui est l'architecture de sécurité fonctionnant comme prévu.

Quelle est la différence entre iCLASS et iCLASS SE ?

L'iCLASS héritée (Picopass) utilise une clé d'application à l'échelle du site partagée entre toutes les informations d'identification d'un déploiement. iCLASS SE ajoute un schéma de diversification de clé par carte afin que chaque information d'identification porte une clé unique dérivée d'une clé racine détenue par l'opérateur. Un lecteur programmé avec des clés SE ou Elite rejettera toute carte qui ne peut pas produire une réponse correctement diversifiée. Cela signifie que les informations d'identification SE et Elite ne peuvent pas être remplacées par un simple encodage d'une carte vierge — elles doivent être enregistrées via l'infrastructure de gestion des clés de l'opérateur.

Fournissez-vous des cartes vierges iCLASS compatibles pour SE et Elite ?

Oui. Nous avons en stock des informations d'identification vierges compatibles pour iCLASS SE, iCLASS Elite et Seos sur les plates-formes de puces correctes avec les structures d'application correctes. Elles arrivent sans clés préchargées. Le processus d'enregistrement de votre système écrit vos clés diversifiées et les données d'identification lors de l'émission. C'est le flux de travail standard pour toute nouvelle émission d'informations d'identification dans un programme iCLASS de niveau sécurisé.

L'iCLASS héritée est-elle moins sécurisée que l'iCLASS SE ?

L'iCLASS héritée en configuration standard utilise une clé à l'échelle du site partagée entre toutes les informations d'identification, ce qui est un modèle de sécurité plus faible que la diversification de clé par carte dans SE et Elite. iCLASS SE et Seos ont été introduits spécifiquement pour remédier à cette limitation architecturale. Pour les installations ayant des exigences de sécurité réellement élevées — centres de données, laboratoires de recherche, opérations financières — SE ou Seos est la plate-forme appropriée. Pour le contrôle d'accès commercial standard où le budget des informations d'identification compte plus que la défense contre un adversaire sophistiqué, la configuration standard iCLASS héritée reste largement déployée et utilisable.

Puis-je commander des cartes compatibles iCLASS pré-encodées avec mon code de site ?

Oui, pour la configuration standard iCLASS héritée. Fournissez votre code de site et la plage de numéros de carte dont vous avez besoin, et nous pouvons fournir des cartes prêtes à être émises. Pour les niveaux SE, Elite et Seos, le pré-encodage n'est pas possible car les clés appartiennent à votre système — nous fournissons la carte vierge et votre infrastructure d'enregistrement effectue l'émission. Si vous n'êtes pas sûr du niveau de votre site, testez une carte vierge avec votre lecteur avant de passer une commande en volume.

Les cartes compatibles iCLASS fonctionnent-elles avec les systèmes OEM de Bosch, TESA ou Mul-T-Lock ?

De nombreux systèmes d'accès OEM intègrent des lecteurs HID iCLASS comme couche d'informations d'identification. La même logique de niveau s'applique : déterminez si le lecteur intégré exécute l'iCLASS héritée en configuration standard, Elite, SE ou Seos, puis commandez le type d'informations d'identification compatible correspondant. Une carte compatible émise pour un système Bosch, TESA ou Mul-T-Lock exécutant l'iCLASS héritée en configuration standard s'authentifiera normalement ; une carte émise pour un lecteur SE ou Seos doit d'abord être enregistrée via l'infrastructure appropriée.

Demander un devis

Vous ne trouvez pas votre format ? Envoyez un e-mail aux spécialistes.

Envoyez le numéro de pièce imprimé sur votre carte ou une photo du lecteur. Nous confirmons la compatibilité avant votre commande — et nous couvrons les formats spécialisés que personne d'autre ne répertorie.

Vérifier la compatibilité [email protected]