HID iCLASS、iCLASS SE & Seos：何が置き換えられるか

HIDの3つの13.56 MHzティアの説明

HID Globalの13.56 MHzスマートカード製品群は単一の製品ではなく、それぞれ独自のセキュリティモデル、チップ設計、および実用的な交換ストーリーを持つ3つのアーキテクチャ的に異なるティアのファミリーです。これらをまとめて扱うことは、施設チームが hid iclass 互換キーフォブ または老朽化した認証情報を置き換えるカードを探す際に、最も一般的な混乱の原因となります。

3つのティアは次のとおりです。(1) 初代iCLASSリーダーの基盤となる、Picopassとも呼ばれるレガシーiCLASS。(2) Picopassベースの上にアプリケーションの多様化を追加するiCLASS SEおよびiCLASS Elite。(3) 専用のセキュアエレメント上のAES暗号化を中心に構築されたHIDの現行世代プラットフォームであるSeos。各ティアは異なる互換性の問題を引き起こすため、このガイドの残りの部分ではそれらを順に扱います。

これら3つのティアはすべて13.56 MHz ISO 15693 / ISO 14443周波数帯を共有し、互換性のあるリーダーを物理的に起動します。周波数互換性は類似点が終わる場所です。認証、キー多様化、および認証情報ストレージのアーキテクチャは、3つの間で実質的に異なり、互換性のある認証情報が機能するアプリケーションを運ぶことができるかどうかを決定するのは、そのアーキテクチャであり、無線周波数ではありません。

レガシーiCLASS（Picopass）とその互換性パス

レガシーiCLASS認証情報は、定義されたメモリレイアウトに保存されたアプリケーションとともにPicopassプロトコルを使用します。サイトが標準構成のレガシーiCLASS（古い企業および政府機関の設置で最も一般的な展開）を実行している場合、同じ認証情報形式にプログラムされた互換性のあるブランクカードは、ファームウェアやハードウェアの変更なしに既存のリーダーで認証されます。

これは、iCLASSの世界における明確な互換性のあるケースです。リーダーパネルの監査ログにiCLASS 2Kまたは16K認証情報が表示され、サイトがEliteレベルのキー多様化を有効にしていない場合、ほぼ確実に標準構成の領域にいます。専門サプライヤーから調達した HID iCLASS Legacy (2K/16K Picopass) 形式のカードは、既存のサイトコードとカード番号でエンコードされ、通常のプログラミングワークフローを通じてユーザーに発行できます。

実用的な要件は、交換品を正しくプログラムするために、サンプル認証情報またはサイトコードデータが必要であることです。認定されたインストーラーが利用できる通常の読み書きツールは、サンプルカードから認証情報データを読み取り、新しいブランクをプログラムするために記録できます。専門的な攻撃ツールは不要であり、適切でもありません。これは、レガシーiCLASSに精通しているインテグレーターにとって日常的なメンテナンスプロセスです。

フォブユーザーも同じオプションを持っています。同じPicopassアプリケーションはクラムシェルフォブのフォームファクターで実行されるため、 hid iclass 互換キーフォブ 同じ形式を運ぶものは、カードと同等にエンコードされ、認証されます。形式とメモリ構成が重要であり、物理的なケーシングはほとんどのリーダー設置で交換可能です。

サイトが標準構成かEliteか不明な場合は、大量注文を行う前に、1枚の互換性のあるブランクをリーダーでテストするのが最も安全な手順です。本物の標準構成リーダーは、正しくエンコードされたブランクをすぐに受け入れます。Eliteリーダーはそれを拒否し、次のセクションで説明するセキュアティアカテゴリに属していることを明確に示します。

大規模なレガシーiCLASSプログラム（まだSEまたはSeosに移行していないデータセンター、サーバー室、キャンパス）向けに、標準の2Kおよび16K Picopass構成の hid iclass 互換キーフォブ およびカード形式の在庫を維持しています。当社の iCLASS、iCLASS SE & Seos：ティア別互換カードオプション ガイドでは、注文の詳細について詳しく説明しています。

iCLASS SE / Elite：設計によるセキュリティ

iCLASS SEは、根本的に異なるセキュリティアーキテクチャを導入しました。レガシーiCLASSが展開内のすべてのカードで同じサイト全体のアプリケーションキーを使用するのに対し、iCLASS SEおよびEliteキー多様化スキームは、オペレーターが保持するルートキーから認証情報ごとに一意のキーを導出します。Eliteキーでプログラムされたリーダーは、正しく多様化された応答を提示しないカード（マルチクラスモードでSEリーダーに提示されたレガシーiCLASS標準カードを含む）を拒否します。

このアーキテクチャは意図的なものです。これがiCLASS SEが企業および政府機関の設置でプレミアムを要求する理由です。オペレーターが保持する多様化されたキーによって作成される設置済みリーダーのロックインは、商業的な不便さではなく、真のセキュリティ特性です。代替カードは、サンプルからアプリケーションデータを単にコピーすることはできません。検証ステップでは、正当な認証交換中に正しいカードのみが生成する多様化されたキーが必要だからです。

したがって、iCLASS SEおよびElite展開向けに提供するのは、互換性のあるブランク認証情報です。つまり、 hid iclass se 互換カード は、正しいチッププラットフォームと正しいアプリケーション構造に基づいて構築されていますが、キーはプリロードされていません。システムの登録プロセス（通常は既に使用しているアクセス制御管理ソフトウェアを通じて実行されます）は、発行時にサイトの多様化されたキーと認証情報データをブランクに書き込みます。

これは、既存のサプライヤーから新品のカードを発行するプロセスと同一ですが、2つの違いがあります。ブランクはHIDではなく当社から調達し、単価が低くなります。発行された認証情報のセキュリティ特性は、ブランクキャリアを製造した者ではなく、システムがロードするキーによって決定されます。

同様に、当社が在庫している hid iclass elite 互換カード 形式は、登録インフラストラクチャを通じてEliteスキームのキー多様化を受け入れるように構築されています。インストーラーまたはシステムインテグレーターがリーダーをElite用に構成している場合、同じ登録ワークフローが適用されます。

iCLASSティアを混在させる施設（複数年にわたる移行プログラムでは一般的な現実）向けに、レガシーPicopassアプリケーションとSEアプリケーションレイヤーの両方を搭載したマルチテクノロジーカードも利用できます。これにより、すべてのカードホルダーに認証情報を二重発行することなく、建物ごとにレガシーリーダーを段階的に廃止できます。

Seos：セキュアエレメント上のAES

SeosはHIDの現在の主力プラットフォームであり、iCLASSファミリーの中で最も洗練されたクレデンシャルアーキテクチャを代表しています。このアプリケーションは専用のセキュアエレメント（耐タンパー性ハードウェアエンクレーブ）内で実行され、すべてのクレデンシャル操作は、プレーンテキストでセキュアエレメントから決して離れることのないキーによるAES-128またはAES-256暗号化によって保護されています。

交換購入における実用的な結果はiCLASS SEと同じですが、さらに明確に定義されています。外部から機能するSeosアプリケーションを書き込む互換性のあるパスは存在しません。SeosクレデンシャルをSeosリーダーに認証するAESキーはセキュアエレメント内に存在し、HIDのTrusted Identity Platformまたはライセンスされた登録インフラストラクチャを通じてのみロードされます。 HID Seos 当社が供給するブランクは、まさにそれです。適切なセキュアエレメントチップと適切なSeosアプリケーションコンテナを備えたブランククレデンシャルであり、通常の発行プロセスを通じてシステムキーを受け入れる準備ができています。

これは、紛失または破損したSeosカードを交換する調達チームにとって重要です。元のシステムインテグレーターから定価で交換品を購入する必要はありません。互換性のあるカードサプライヤーからブランククレデンシャルを調達し、既存の登録ステーションで処理し、カード所有者に発行することができます。リーダーはブランクを製造した会社を知りませんし、気にしません。クレデンシャルがシステムがロードしたキーを使用して有効なAES応答を提示することだけを気にします。

SeosはHIDのモバイルおよびウェアラブルクレデンシャルエコシステムを支えるプラットフォームでもありますが、それは物理カードの供給とは別のソフトウェアライセンスの問題です。物理的なクレデンシャルを好む、または必要とする担当者向けの物理的なSeosカードとフォブは、互換性のあるブランクとして調達が容易です。

データセンター、研究施設、金融業務室などの高セキュリティ環境（当社の データセンター & サーバー室高セキュリティクレデンシャル ソリューションセットにおける展開の種類）では、Seosブランククレデンシャルは、プラットフォームが提供するように設計されたAESセキュリティプロパティを損なうことなく、費用対効果の高い発行パスを提供します。

他の13.56 MHzテクノロジーと並行してSeosを実行しているオペレーターは、当社の MIFAREファミリー解説：Classic、Plus、DESFire、Ultralight ガイド

各ティアで実際に供給するもの

曖昧さを排除するために、Security ID SystemsがHID iCLASSファミリーの各ティアで在庫し、出荷するものを正確に示します。

標準構成のレガシーiCLASS（Picopass）の場合：2Kおよび16K形式の完全に互換性のあるブランクカードとフォブを供給します。これらは、サイトコードとカード番号範囲に合わせて事前にエンコードして注文することも、独自のインストーラーツールチェーンを通じてエンコードするためのブランクとして注文することもできます。 iCLASS CSNパススルーカード互換 形式も、完全なアプリケーションではなくCSN読み取り専用モードに依存する展開で利用できます。

iCLASS SEおよびEliteの場合：適切なチッププラットフォーム上の互換性のあるブランククレデンシャルを供給し、アクセス制御管理システムを通じて登録する準備ができています。キーはお客様のシステムに属し、当社には属さないため、事前にロードされたSEまたはEliteクレデンシャルは供給しません。これがセキュリティモデルが正しく機能している状態です。

Seosの場合：同じモデルです。互換性のあるブランクSeosクレデンシャル、正しいセキュアエレメントチップ、正しいアプリケーションコンテナ、事前ロードされたキーはゼロです。インフラストラクチャを通じて登録することで、お客様のキーとクレデンシャルデータがロードされます。

また、iCLASSアプリケーションを他のプロトコルと組み合わせるマルチテクノロジー形式も取り扱っており、移行中に役立ちます。たとえば、レガシー125 kHz proximityからiCLASSまたはSeosに移行するサイトでは、移行期間中に両方のテクノロジーを同時に搭載するカードが必要になることがよくあります。当社の 13.56 MHz HF スマートカード カタログ 高セキュリティ & カスタムフォーマット セクションでは、マルチテクノロジーの全範囲をカバーしています。

Bosch、TESA、Mul-T-Lock、またはiCLASSリーダーを組み込むその他のOEMシステムを調達する購入者は、同じティアロジックが適用されることを確認できます。 Boschアクセス制御カード互換, TESAホテルキーカード互換、または Smartair互換カード iCLASSクレデンシャルレイヤーを使用するものは、同じ標準構成とセキュアティアの分割に従います。注文する前に、OEMリーダーが実行しているiCLASSティアを確認してください。

古い125 kHz Wiegand環境を同時に移行している場合は、 HID互換近接カード 範囲は、マルチテクノロジーペアリングの125 kHz側を提供します。

当社のより広範な 互換性のあるアクセスカードと純正アクセスカード：正直な購入者ガイド は、調達に関する議論全体をカバーしています。互換性のあるブランクが商業的に意味をなす場合、大量に注文する前に何を検証するか、そして既存のインフラストラクチャを通じて登録プロセスを管理する方法について説明しています。

Security ID Systemsは、互換性のあるアクセス資格情報の独立したサプライヤーです。当社はHID Globalと提携しておらず、承認されておらず、いかなる商業的関係もありません。HID、iCLASS、iCLASS SE、Seos、およびPicopassは、それぞれの所有者の商標です。