I tre livelli HID 13.56 MHz spiegati
La gamma di smart card HID Global da 13.56 MHz non è un singolo prodotto ma una famiglia di tre livelli architettonicamente distinti, ognuno con il proprio modello di sicurezza, design del chip e storia di sostituzione pratica. Raggrupparli insieme è la fonte più comune di confusione quando i team delle strutture cercano un key fob compatibile HID iCLASS o una carta per sostituire una credenziale obsoleta.
I tre livelli sono: (1) iCLASS legacy, chiamato anche Picopass, che è alla base dei lettori iCLASS di prima generazione; (2) iCLASS SE e iCLASS Elite, che sovrappongono una diversificazione applicativa aggiuntiva sulla base Picopass; e (3) Seos, la piattaforma di generazione attuale di HID costruita attorno alla crittografia AES su un elemento sicuro dedicato. Ogni livello presenta una diversa questione di compatibilità, quindi il resto di questa guida li tratta a turno.
Tutti e tre i livelli condividono la banda di frequenza 13.56 MHz ISO 15693 / ISO 14443 e attiveranno fisicamente un lettore compatibile. La compatibilità di frequenza è dove la somiglianza finisce. Le architetture di autenticazione, diversificazione delle chiavi e archiviazione delle credenziali sono sostanzialmente diverse tra i tre, e quell'architettura — non la radiofrequenza — governa se una credenziale compatibile può trasportare un'applicazione funzionante.
iCLASS legacy (Picopass) e il suo percorso compatibile
Le credenziali iCLASS legacy utilizzano il protocollo Picopass con un'applicazione memorizzata in un layout di memoria definito. Quando un sito utilizza iCLASS legacy con configurazione standard — la distribuzione più comune nelle installazioni aziendali e governative più vecchie — le carte blank compatibili programmate nello stesso formato di credenziale si autenticheranno con i lettori esistenti senza alcuna modifica del firmware o dell'hardware.
Questo è il caso compatibile chiaro nel mondo iCLASS. Se il log di audit del pannello del lettore mostra credenziali iCLASS 2K o 16K, e il sito non ha abilitato la diversificazione delle chiavi a livello Elite, siete quasi certamente nel territorio della configurazione standard. Una carta formato HID iCLASS Legacy (2K/16K Picopass) proveniente da un fornitore specializzato può essere codificata con il codice del sito e il numero di carta esistenti e rilasciata agli utenti tramite il normale flusso di lavoro di programmazione.
Il requisito pratico è che è necessaria una credenziale di esempio o i dati del codice del sito per programmare correttamente le sostituzioni. Gli strumenti di lettura-scrittura ordinari disponibili per qualsiasi installatore certificato possono leggere i dati della credenziale da una carta di esempio e registrarli per programmare nuovi blank. Non sono necessari o appropriati strumenti di attacco specialistici — questo è un processo di manutenzione di routine per qualsiasi integratore familiare con iCLASS legacy.
Gli utenti di fob hanno le stesse opzioni. La stessa applicazione Picopass funziona in fattori di forma fob a conchiglia, quindi un key fob compatibile HID iCLASS che trasporta lo stesso formato si codifica e si autentica in modo identico all'equivalente della carta. Il formato e la configurazione della memoria contano; l'involucro fisico è intercambiabile nella maggior parte delle installazioni di lettori.
Se non siete sicuri se il vostro sito è in configurazione standard o Elite, il passo più sicuro è testare un blank compatibile con il vostro lettore prima di effettuare un ordine all'ingrosso. Un lettore in configurazione standard genuina accetterà immediatamente un blank correttamente codificato. Un lettore Elite lo rifiuterà, il che vi dice chiaramente che siete nella categoria di livello protetto trattata nella sezione successiva.
Per programmi iCLASS legacy su larga scala — data center, server room e campus che non sono ancora migrati a SE o Seos — manteniamo scorte di key fob compatibile HID iCLASS e formati di carte nelle configurazioni standard 2K e 16K Picopass. La nostra guida iCLASS, iCLASS SE & Seos: Opzioni di carte compatibili per livello copre i dettagli specifici dell'ordinazione.
iCLASS SE / Elite: protetto per design
iCLASS SE ha introdotto un'architettura di sicurezza fondamentalmente diversa. Laddove iCLASS legacy utilizza una chiave applicativa a livello di sito che è la stessa su tutte le carte in una distribuzione, iCLASS SE e lo schema di diversificazione delle chiavi Elite derivano una chiave unica per credenziale da una chiave radice detenuta dall'operatore. Un lettore programmato con chiavi Elite rifiuterà qualsiasi carta che non presenta una risposta correttamente diversificata — inclusa una carta standard iCLASS legacy presentata a un lettore SE in modalità multi-classe.
Questa architettura è intenzionale. È il motivo per cui iCLASS SE ha un premio nelle installazioni aziendali e governative: il blocco del lettore installato creato dalle chiavi diversificate detenute dall'operatore è una vera proprietà di sicurezza, non un inconveniente commerciale. Una potenziale carta di ricambio non può semplicemente copiare i dati dell'applicazione da un campione, perché il passaggio di verifica richiede la chiave diversificata che solo la carta corretta produrrebbe durante uno scambio di autenticazione legittimo.
Ciò che forniamo per le distribuzioni iCLASS SE ed Elite è quindi una credenziale blank compatibile: una carta compatibile HID iCLASS SE costruita sulla piattaforma chip corretta con la struttura applicativa corretta, ma senza chiavi precaricate. Il processo di registrazione del vostro sistema — tipicamente eseguito tramite lo stesso software di gestione del controllo accessi che già utilizzate — scrive le chiavi diversificate del vostro sito e i dati delle credenziali sul blank durante l'emissione.
Questo è identico al processo di emissione di una carta nuova di zecca dal vostro fornitore attuale, con due differenze: voi acquistate il blank da noi anziché da HID, e il costo unitario è inferiore. Le proprietà di sicurezza della credenziale emessa sono determinate dalle chiavi che il vostro sistema carica, non da chi ha prodotto il supporto blank.
Allo stesso modo, il carta compatibile HID iCLASS Elite formato che abbiamo in magazzino è costruito per accettare la diversificazione delle chiavi dello schema Elite tramite la vostra infrastruttura di registrazione. Se il vostro installatore o integratore di sistema ha configurato i vostri lettori per Elite, si applica lo stesso flusso di lavoro di registrazione.
Per le strutture che mescolano livelli iCLASS — una realtà comune durante i programmi di migrazione pluriennali — sono disponibili anche carte multi-tecnologia che trasportano sia un'applicazione Picopass legacy che un livello applicativo SE. Queste vi consentono di eliminare gradualmente i lettori legacy edificio per edificio senza dover emettere doppie credenziali a ogni titolare di carta.
Seos: AES su un elemento sicuro
Seos è l'attuale piattaforma di punta di HID e rappresenta l'architettura di credenziali più sofisticata della famiglia iCLASS. L'applicazione viene eseguita all'interno di un elemento sicuro dedicato — un'enclave hardware antimanomissione — e tutte le operazioni delle credenziali sono protette dalla crittografia AES-128 o AES-256 con chiavi che non lasciano mai l'elemento sicuro in chiaro.
La conseguenza pratica per l'acquisto di sostituzioni è la stessa di iCLASS SE, ma ancora più chiaramente definita: non esiste un percorso compatibile che scriva un'applicazione Seos funzionante dall'esterno. Le chiavi AES che autenticano una credenziale Seos a un lettore Seos risiedono all'interno dell'elemento sicuro e vengono caricate esclusivamente tramite la Trusted Identity Platform di HID o un'infrastruttura di registrazione con licenza. Una HID Seos scheda bianca che forniamo è esattamente questo: una credenziale bianca con il chip dell'elemento sicuro corretto e il contenitore dell'applicazione Seos corretto, pronta a ricevere le chiavi del vostro sistema tramite il vostro normale processo di emissione.
Questo è importante per i team di approvvigionamento che sostituiscono schede Seos perse o danneggiate. Non è necessario acquistare le sostituzioni tramite il vostro integratore di sistema originale al prezzo di listino. Potete procurarvi la credenziale bianca da un fornitore di schede compatibili, farla passare attraverso la vostra stazione di registrazione esistente e rilasciarla al titolare della carta. Il lettore non sa né si preoccupa di chi ha prodotto la scheda bianca; si preoccupa solo che la credenziale presenti una risposta AES valida utilizzando le chiavi caricate dal vostro sistema.
Seos è anche la piattaforma alla base dell'ecosistema di credenziali mobili e indossabili di HID, ma questa è una questione di licenze software separata dalla fornitura di schede fisiche. Le schede e i portachiavi Seos fisici per il personale che preferisce o richiede una credenziale fisica rimangono semplici da procurare come schede bianche compatibili.
Per ambienti ad alta sicurezza come data center, strutture di ricerca e sale operative finanziarie — i tipi di implementazioni nel nostro Data Center & Credenziali ad alta sicurezza per sale server set di soluzioni — le credenziali bianche Seos forniscono un percorso di emissione conveniente senza compromettere le proprietà di sicurezza AES che la piattaforma è stata progettata per offrire.
Gli operatori che utilizzano Seos insieme ad altre tecnologie a 13.56 MHz potrebbero anche trovare la nostra La famiglia MIFARE spiegata: Classic, Plus, DESFire, Ultralight guida utile per comprendere il panorama parallelo delle smart card, poiché i pannelli di lettori misti che leggono sia credenziali Seos che MIFARE DESFire sono sempre più comuni nei programmi di accesso aziendali.
Cosa forniamo effettivamente per ogni livello
Per rimuovere qualsiasi ambiguità, ecco esattamente cosa Security ID Systems immagazzina e spedisce per ogni livello della famiglia HID iCLASS.
Per iCLASS (Picopass) legacy in configurazione standard: forniamo schede e portachiavi bianchi completamente compatibili nei formati 2K e 16K. Questi possono essere ordinati pre-codificati con il vostro codice sito e intervallo di numeri di carta, oppure ordinati come schede bianche per la codifica tramite la vostra toolchain di installazione. Il scheda compatibile con passthrough iclass csn il formato è disponibile anche per implementazioni che si basano sulla modalità di sola lettura CSN piuttosto che su un'applicazione completa.
Per iCLASS SE ed Elite: forniamo credenziali bianche compatibili sulla piattaforma chip corretta, pronte per la registrazione tramite il vostro sistema di gestione del controllo accessi. Non forniamo credenziali SE o Elite precaricate perché le chiavi appartengono al vostro sistema, non a noi — questo è il modello di sicurezza che funziona correttamente.
Per Seos: stesso modello. Credenziali Seos bianche compatibili, chip dell'elemento sicuro corretto, contenitore dell'applicazione corretto, zero chiavi precaricate. La registrazione tramite la vostra infrastruttura carica le vostre chiavi e i vostri dati di credenziali.
Disponiamo anche di una gamma di formati multi-tecnologia che abbinano applicazioni iCLASS con altri protocolli — utili durante le migrazioni. Ad esempio, i siti che passano dalla prossimità legacy a 125 kHz a iCLASS o Seos spesso necessitano di schede che supportino entrambe le tecnologie contemporaneamente durante il periodo di transizione. Il nostro Smart card HF 13,56 MHz catalogo e Alta sicurezza & Formati personalizzati la sezione coprono l'intera gamma multi-tecnologia.
Gli acquirenti che si riforniscono per sistemi Bosch, TESA, Mul-T-Lock o altri sistemi OEM che incorporano lettori iCLASS troveranno che si applica la stessa logica di livello. Una scheda di controllo accessi bosch compatibile, scheda chiave hotel tesa compatibile, o scheda compatibile smartair che utilizza un livello di credenziali iCLASS segue la stessa divisione tra configurazione standard e livello protetto. Verificare quale livello iCLASS sta eseguendo il lettore OEM prima di ordinare.
Se state migrando contemporaneamente un vecchio sistema Wiegand a 125 kHz, il scheda di prossimità compatibile HID la gamma fornisce il lato a 125 kHz di qualsiasi abbinamento multi-tecnologia.
La nostra più ampia Carte di accesso compatibili vs originali: una guida onesta per l'acquirente copre l'argomento dell'approvvigionamento in modo completo — quando le schede bianche compatibili hanno senso commerciale, cosa verificare prima di ordinare in volume e come gestire il processo di registrazione tramite la vostra infrastruttura esistente.
Security ID Systems è un fornitore indipendente di credenziali di accesso compatibili. Non siamo affiliati, approvati o in alcuna relazione commerciale con HID Global. HID, iCLASS, iCLASS SE, Seos e Picopass sono marchi dei rispettivi proprietari.
Livelli di credenziali HID 13.56 MHz: modello di sicurezza e percorso di fornitura compatibile
| Livello | Protocollo / Chip | Modello di autenticazione | Percorso compatibile | Cosa forniamo |
|---|---|---|---|---|
| iCLASS Standard Legacy | Picopass (ISO 15693) | Chiave applicativa a livello di sito, la stessa su tutte le carte | Diretto: compatibile vuoto codificato con il codice del sito e il numero di carta | Carte e fobs Picopass 2K/16K pre-codificati o vuoti |
| iCLASS Elite Legacy | Picopass + diversificazione chiave Elite | Chiave diversificata per carta dalla chiave root dell'operatore | Solo iscrizione: il vuoto accetta le chiavi diversificate del sistema al momento dell'emissione | Credenziali Elite compatibili vuote per l'iscrizione tramite il sistema |
| iCLASS SE / SE Elite | Picopass SE + diversificazione dell'applicazione | Chiave diversificata per carta, livello applicativo SE | Solo iscrizione: il vuoto accetta le chiavi SE del sistema al momento dell'emissione | Credenziali SE compatibili vuote; disponibile anche multi-tecnologia (legacy + SE) |
| Seos | Elemento sicuro, AES-128/256 | Operazioni di credenziali AES all'interno di un elemento sicuro resistente alle manomissioni; le chiavi non sono mai esposte in chiaro | Solo iscrizione: il vuoto accetta le chiavi AES del sistema tramite infrastruttura di iscrizione con licenza | Credenziali Seos compatibili vuote con il chip dell'elemento sicuro e il contenitore dell'applicazione corretti |