Wyjaśnienie trzech poziomów HID 13.56 MHz
Gama kart inteligentnych HID Global 13.56 MHz to nie jeden produkt, ale rodzina trzech architektonicznie odrębnych poziomów, każdy z własnym modelem bezpieczeństwa, projektem chipa i praktyczną historią wymiany. Grupując je razem, jest to najczęstsze źródło zamieszania, gdy zespoły obiektowe szukają kompatybilny brelok HID iCLASS lub karty do wymiany starzejących się danych uwierzytelniających.
Trzy poziomy to: (1) starszy iCLASS, zwany również Picopass, który stanowi podstawę czytników iCLASS pierwszej generacji; (2) iCLASS SE i iCLASS Elite, które nakładają dodatkową dywersyfikację aplikacji na bazę Picopass; oraz (3) Seos, obecna platforma HID zbudowana wokół szyfrowania AES na dedykowanym bezpiecznym elemencie. Każdy poziom przedstawia inne pytanie dotyczące kompatybilności, więc reszta tego przewodnika traktuje je po kolei.
Wszystkie trzy poziomy współdzielą pasmo częstotliwości 13.56 MHz ISO 15693 / ISO 14443 i fizycznie aktywują kompatybilny czytnik. Kompatybilność częstotliwości to koniec podobieństw. Architektury uwierzytelniania, dywersyfikacji kluczy i przechowywania danych uwierzytelniających są znacznie różne w tych trzech poziomach, i to ta architektura — a nie częstotliwość radiowa — decyduje o tym, czy kompatybilne dane uwierzytelniające mogą przenosić działającą aplikację.
Starszy iCLASS (Picopass) i jego ścieżka kompatybilności
Starsze dane uwierzytelniające iCLASS używają protokołu Picopass z aplikacją przechowywaną w zdefiniowanym układzie pamięci. Gdy obiekt używa starszego iCLASS w standardowej konfiguracji — najczęstsze wdrożenie w starszych instalacjach korporacyjnych i rządowych — kompatybilne puste karty zaprogramowane do tego samego formatu danych uwierzytelniających będą uwierzytelniać się z istniejącymi czytnikami bez żadnych zmian w oprogramowaniu układowym lub sprzęcie.
Jest to jednoznaczny przypadek kompatybilności w świecie iCLASS. Jeśli dziennik audytu panelu czytnika pokazuje dane uwierzytelniające iCLASS 2K lub 16K, a obiekt nie włączył dywersyfikacji kluczy na poziomie Elite, prawie na pewno znajdujesz się w obszarze standardowej konfiguracji. Karta w formacie HID iCLASS Legacy (2K/16K Picopass) pochodząca od wyspecjalizowanego dostawcy może być zakodowana z istniejącym kodem obiektu i numerem karty oraz wydana użytkownikom poprzez normalny przepływ pracy programowania.
Praktycznym wymogiem jest posiadanie przykładowych danych uwierzytelniających lub danych kodu obiektu do prawidłowego zaprogramowania zamienników. Zwykłe narzędzia do odczytu/zapisu dostępne dla każdego certyfikowanego instalatora mogą odczytać dane uwierzytelniające z przykładowej karty i zapisać je do programowania nowych pustych kart. Nie są potrzebne ani odpowiednie żadne specjalistyczne narzędzia do ataku — jest to rutynowy proces konserwacji dla każdego integratora zaznajomionego ze starszym iCLASS.
Użytkownicy breloków mają te same opcje. Ta sama aplikacja Picopass działa w formach breloków typu clamshell, więc kompatybilny brelok HID iCLASS przenoszący ten sam format koduje i uwierzytelnia się identycznie jak odpowiednik karty. Konfiguracja formatu i pamięci ma znaczenie; fizyczna obudowa jest wymienna w większości instalacji czytników.
Jeśli nie masz pewności, czy Twoja witryna jest w standardowej konfiguracji, czy Elite, najbezpieczniejszym krokiem jest przetestowanie jednej kompatybilnej pustej karty z czytnikiem przed złożeniem zamówienia hurtowego. Prawdziwy czytnik w standardowej konfiguracji natychmiast zaakceptuje prawidłowo zakodowaną pustą kartę. Czytnik Elite ją odrzuci, co wyraźnie wskazuje, że znajdujesz się w kategorii zabezpieczonego poziomu, omówionej w następnej sekcji.
W przypadku programów iCLASS na dużą skalę — centrów danych, serwerowni i kampusów, które jeszcze nie migrowały do SE lub Seos — utrzymujemy zapasy kompatybilny brelok HID iCLASS i formatów kart w standardowych konfiguracjach Picopass 2K i 16K. Nasz przewodnik iCLASS, iCLASS SE & Seos: Kompatybilne opcje kart według poziomu szczegółowo omawia specyfikę zamawiania.
iCLASS SE / Elite: zabezpieczone z założenia
iCLASS SE wprowadził fundamentalnie inną architekturę bezpieczeństwa. Tam, gdzie starszy iCLASS używa klucza aplikacji dla całej witryny, który jest taki sam dla wszystkich kart wdrożonych, iCLASS SE i schemat dywersyfikacji kluczy Elite wyprowadzają unikalny klucz dla każdego poświadczenia z klucza głównego przechowywanego przez operatora. Czytnik zaprogramowany kluczami Elite odrzuci każdą kartę, która nie przedstawi prawidłowo zdywersyfikowanej odpowiedzi — w tym standardową kartę starszego iCLASS przedstawioną czytnikowi SE w trybie wieloklasowym.
Ta architektura jest celowa. To dlatego iCLASS SE ma przewagę w instalacjach korporacyjnych i rządowych: blokada czytnika zainstalowanego, stworzona przez operatora posiadającego zdywersyfikowane klucze, jest prawdziwą właściwością bezpieczeństwa, a nie niedogodnością komercyjną. Potencjalna karta zastępcza nie może po prostu skopiować danych aplikacji z próbki, ponieważ krok weryfikacji wymaga zdywersyfikowanego klucza, który tylko prawidłowa karta wygenerowałaby podczas legalnej wymiany uwierzytelniającej.
To, co dostarczamy dla wdrożeń iCLASS SE i Elite, to zatem kompatybilne puste dane uwierzytelniające: kompatybilna karta HID iCLASS SE zbudowana na prawidłowej platformie chipowej z prawidłową strukturą aplikacji, ale bez wstępnie załadowanych kluczy. Proces rejestracji Twojego systemu — zazwyczaj wykonywany za pomocą tego samego oprogramowania do zarządzania kontrolą dostępu, którego już używasz — zapisuje zdywersyfikowane klucze i dane uwierzytelniające Twojej witryny na pustej karcie podczas wydawania.
Jest to identyczne z procesem wydawania zupełnie nowej karty od Twojego obecnego dostawcy, z dwoma różnicami: puste karty pozyskujesz od nas, a nie od HID, a koszt jednostkowy jest niższy. Właściwości bezpieczeństwa wydanych danych uwierzytelniających są określane przez klucze ładowane przez Twój system, a nie przez to, kto wyprodukował pusty nośnik.
Podobnie, format kompatybilna karta HID iCLASS Elite który posiadamy w magazynie, jest zbudowany tak, aby akceptować dywersyfikację kluczy w schemacie Elite poprzez Twoją infrastrukturę rejestracji. Jeśli Twój instalator lub integrator systemu skonfigurował Twoje czytniki dla Elite, obowiązuje ten sam przepływ pracy rejestracji.
Dla obiektów, które mieszają poziomy iCLASS — co jest częstą rzeczywistością podczas wieloletnich programów migracyjnych — dostępne są również karty wielotechnologiczne, zawierające zarówno starszą aplikację Picopass, jak i warstwę aplikacji SE. Pozwalają one na stopniowe wycofywanie starszych czytników w poszczególnych budynkach bez podwójnego wydawania danych uwierzytelniających każdemu posiadaczowi karty.
Seos: AES na bezpiecznym elemencie
Seos to obecna flagowa platforma HID i reprezentuje najbardziej zaawansowaną architekturę poświadczeń w rodzinie iCLASS. Aplikacja działa w dedykowanym bezpiecznym elemencie — odpornej na manipulacje enklawie sprzętowej — a wszystkie operacje poświadczeń są chronione szyfrowaniem AES-128 lub AES-256 z kluczami, które nigdy nie opuszczają bezpiecznego elementu w postaci jawnego tekstu.
Praktyczna konsekwencja dla zakupu zamienników jest taka sama jak dla iCLASS SE, ale jeszcze jaśniej zdefiniowana: nie ma kompatybilnej ścieżki, która zapisuje działającą aplikację Seos z zewnątrz. Klucze AES, które uwierzytelniają poświadczenie Seos do czytnika Seos, znajdują się w bezpiecznym elemencie i są ładowane wyłącznie za pośrednictwem platformy HID Trusted Identity Platform lub licencjonowanej infrastruktury rejestracji. HID Seos puste poświadczenie, które dostarczamy, jest dokładnie tym: pustym poświadczeniem z prawidłowym chipem bezpiecznego elementu i prawidłowym kontenerem aplikacji Seos, gotowym do przyjęcia kluczy Twojego systemu poprzez normalny proces wydawania.
Ma to znaczenie dla zespołów zakupowych wymieniających zgubione lub uszkodzone karty Seos. Nie musisz kupować zamienników za pośrednictwem swojego oryginalnego integratora systemu po cenie katalogowej. Możesz pozyskać puste poświadczenie od dostawcy kompatybilnych kart, przeprowadzić je przez istniejącą stację rejestracji i wydać posiadaczowi karty. Czytnik nie wie ani nie obchodzi go, kto wyprodukował puste poświadczenie; obchodzi go tylko to, że poświadczenie przedstawia prawidłową odpowiedź AES przy użyciu kluczy załadowanych przez Twój system.
Seos to także platforma stojąca za ekosystemem mobilnych i noszonych poświadczeń HID, ale to jest kwestia licencjonowania oprogramowania, oddzielna od dostarczania fizycznych kart. Fizyczne karty i breloki Seos dla personelu, który preferuje lub wymaga fizycznego poświadczenia, pozostają proste do pozyskania jako kompatybilne puste poświadczenia.
Dla środowisk o wysokim poziomie bezpieczeństwa, takich jak centra danych, placówki badawcze i pomieszczenia operacyjne finansowe — rodzaje wdrożeń w naszym zestawie rozwiązań Centrum Danych & Poświadczenia Wysokiego Bezpieczeństwa w Serwerowni — puste poświadczenia Seos zapewniają opłacalną ścieżkę wydawania bez kompromitowania właściwości bezpieczeństwa AES, do których platforma została zaprojektowana.
Operatorzy używający Seos wraz z innymi technologiami 13.56 MHz mogą również uznać nasz Rodzina MIFARE wyjaśniona: Classic, Plus, DESFire, Ultralight przewodnik za przydatny do zrozumienia równoległego krajobrazu kart inteligentnych, ponieważ panele z czytnikami mieszanymi, odczytujące zarówno poświadczenia Seos, jak i MIFARE DESFire, są coraz bardziej powszechne w programach dostępu dla przedsiębiorstw.
Co faktycznie dostarczamy dla każdego poziomu
Aby usunąć wszelkie niejasności, oto dokładnie to, co Security ID Systems magazynuje i wysyła dla każdego poziomu rodziny HID iCLASS.
Dla starszych iCLASS (Picopass) w standardowej konfiguracji: dostarczamy w pełni kompatybilne puste karty i breloki w formatach 2K i 16K. Można je zamówić wstępnie zakodowane do Twojego kodu obiektu i zakresu numerów kart, lub zamówić jako puste do kodowania za pomocą własnego łańcucha narzędzi instalatora. Format kompatybilna karta iCLASS CSN passthrough jest również dostępny dla wdrożeń, które polegają na trybie tylko do odczytu CSN, a nie na pełnej aplikacji.
Dla iCLASS SE i Elite: dostarczamy kompatybilne puste poświadczenia na prawidłowej platformie chipowej, gotowe do rejestracji za pośrednictwem Twojego systemu zarządzania kontrolą dostępu. Nie dostarczamy wstępnie załadowanych poświadczeń SE lub Elite, ponieważ klucze należą do Twojego systemu, a nie do nas — to jest prawidłowo działający model bezpieczeństwa.
Dla Seos: ten sam model. Kompatybilne puste poświadczenia Seos, prawidłowy chip bezpiecznego elementu, prawidłowy kontener aplikacji, zero wstępnie załadowanych kluczy. Rejestracja za pośrednictwem Twojej infrastruktury ładuje Twoje klucze i dane poświadczeń.
Posiadamy również szereg formatów wielotechnologicznych, które łączą aplikacje iCLASS z innymi protokołami — przydatne podczas migracji. Na przykład, obiekty przechodzące z starszych 125 kHz proximity na iCLASS lub Seos często potrzebują kart, które jednocześnie obsługują obie technologie w okresie przejściowym. Nasz Karty inteligentne HF 13,56 MHz katalog i Wysokie bezpieczeństwo & Niestandardowe formaty sekcja obejmują pełną gamę wielotechnologiczną.
Kupujący zaopatrujący się w systemy Bosch, TESA, Mul-T-Lock lub inne systemy OEM, które zawierają czytniki iCLASS, stwierdzą, że obowiązuje ta sama logika poziomów. Karta kompatybilna karta kontroli dostępu Bosch, kompatybilna karta hotelowa TESA, lub kompatybilna karta Smartair która wykorzystuje warstwę poświadczeń iCLASS, podlega temu samemu podziałowi na konfigurację standardową i poziom zabezpieczony. Przed złożeniem zamówienia sprawdź, który poziom iCLASS obsługuje czytnik OEM.
Jeśli jednocześnie migrujesz starszy system Wiegand 125 kHz, seria kompatybilna karta zbliżeniowa HID zapewnia stronę 125 kHz każdego parowania wielotechnologicznego.
Nasza szersza Kompatybilne a oryginalne karty dostępu: Uczciwy przewodnik dla kupującego omawia w pełni argumenty dotyczące zamówień — kiedy kompatybilne puste poświadczenia mają sens komercyjny, co należy zweryfikować przed zamówieniem w dużych ilościach i jak zarządzać procesem rejestracji za pośrednictwem istniejącej infrastruktury.
Security ID Systems jest niezależnym dostawcą kompatybilnych poświadczeń dostępu. Nie jesteśmy powiązani, wspierani ani w żadnym stosunku handlowym z HID Global. HID, iCLASS, iCLASS SE, Seos i Picopass są znakami towarowymi ich odpowiednich właścicieli.
Poziomy poświadczeń HID 13.56 MHz: model bezpieczeństwa i kompatybilna ścieżka dostaw
| Poziom | Protokół / Chip | Model uwierzytelniania | Kompatybilna ścieżka | Co dostarczamy |
|---|---|---|---|---|
| iCLASS Standard starszej generacji | Picopass (ISO 15693) | Klucz aplikacji dla całej witryny, taki sam dla wszystkich kart | Bezpośrednio: kompatybilny blank zakodowany z kodem witryny i numerem karty | Wstępnie zakodowane lub puste karty i breloki Picopass 2K/16K |
| iCLASS Elite starszej generacji | Picopass + dywersyfikacja klucza Elite | Klucz dla każdej karty zdywersyfikowany z klucza głównego operatora | Tylko do rejestracji: blank akceptuje zdywersyfikowane klucze systemu podczas wydawania | Kompatybilne puste poświadczenia Elite do rejestracji przez system |
| iCLASS SE / SE Elite | Picopass SE + dywersyfikacja aplikacji | Klucz zdywersyfikowany dla każdej karty, warstwa aplikacji SE | Tylko do rejestracji: blank akceptuje klucze SE systemu podczas wydawania | Kompatybilne puste poświadczenia SE; dostępne również wielotechnologiczne (starsze + SE) |
| Seos | Bezpieczny element, AES-128/256 | Operacje poświadczeń AES w odpornym na manipulacje bezpiecznym elemencie; klucze nigdy nie są ujawniane w postaci jawnego tekstu | Tylko do rejestracji: blank akceptuje klucze AES systemu za pośrednictwem licencjonowanej infrastruktury rejestracji | Kompatybilne puste poświadczenia Seos z prawidłowym chipem bezpiecznego elementu i kontenerem aplikacji |