Kim jest Kastle Systems i dlaczego trudno jest zdobyć części zamienne
Kastle Systems to jeden z największych dostawców zarządzanych fizycznych systemów kontroli dostępu w Ameryce Północnej, obsługujący kontrolę dostępu połączoną z chmurą, głównie w nieruchomościach komercyjnych — wieżowcach biurowych, przestrzeniach coworkingowych i budynkach wielonajemnych. W przeciwieństwie do konwencjonalnych systemów, gdzie budynek instaluje sprzęt i niezależnie zarządza poświadczeniami, Kastle zachowuje pełną kontrolę: czytniki, platforma oprogramowania i łańcuch dostaw poświadczeń są administrowane poprzez umowy serwisowe Kastle.
Ten model ma zalety operacyjne dla właścicieli budynków, ale tworzy znany punkt tarcia dla najemców: gdy pracownik zgubi brelok lub firma zatrudni nową partię pracowników, prośba trafia do zarządu budynku, a następnie do Kastle. Czasy realizacji, opłaty za jednostkę i progi minimalnego zamówienia są dyktowane przez umowę serwisową, a nie przez ceny rynkowe. Dla zespołów obiektowych z pilnymi zmianami w liczbie pracowników, ta zależność może znacznie spowolnić udostępnianie dostępu.
Podstawowym powodem, dla którego Kastle może utrzymać ten model, jest sam format. Format 32-bitowy format Kastle Systems wykorzystuje zastrzeżoną strukturę danych i schemat parzystości, który nie jest publicznie udokumentowany i nie jest obsługiwany przez ogólnodostępne 26-bitowe karty kompatybilne z H10301, dostępne u ogólnych dostawców. Bez znajomości dokładnego układu pól, dostawca nie może wyprodukować działającego poświadczenia — dlatego właśnie kompatybilne breloki Kastle były historycznie niedostępne poza własnym kanałem Kastle.
32-bitowy format Kastle: kod obiektu, numer karty i poziom wydania
Poświadczenia Kastle działają na częstotliwości 125 kHz, tej samej częstotliwości nośnej, co wszechobecny 26-bitowy standard Wiegand. To podobieństwo powierzchniowe jest miejscem, gdzie podobieństwo się kończy. Format Kastle ma szerokość 32 bitów i zawiera trzy funkcjonalne pola danych: kod obiektu, który identyfikuje miejsce lub budynek, numer karty, który identyfikuje indywidualne poświadczenie, oraz pole Poziomu Wydania (Issue Level), które nie ma odpowiednika w standardowych formatach proximity.
Pole Poziomu Wydania jest istotne, ponieważ pozwala Kastle — a co za tym idzie, kontrolerowi dostępu — rozróżniać wiele poświadczeń, które współdzielą ten sam numer karty wydany tej samej osobie w czasie. Gdy brelok zostanie zgłoszony jako zagubiony i zostanie wydany zamiennik z zwiększonym poziomem wydania, kontroler może zostać poinstruowany, aby odrzucić poprzednie poświadczenie bez konieczności pełnej zmiany numeru karty w harmonogramie dostępu. Jest to przydatna kontrola administracyjna w środowisku usług zarządzanych, gdzie dostawca, a nie najemca, kontroluje zaplecze.
Bity parzystości specyficzne dla Kastle są dołączane do ładunku danych w celu walidacji integralności transmisji. Schemat parzystości nie jest prostą parzystością parzystą/nieparzystą H10301; jest on dostosowany do 32-bitowego układu i spowoduje, że czytnik odrzuci każde poświadczenie, w którym obliczenie parzystości nie pasuje. Jest to jeden z kilku powodów, dla których samo zaprogramowanie przepisywalnego chipa LF T5577 z odgadniętym wzorcem bitowym nie daje działającego poświadczenia — parzystość musi być poprawnie obliczona na podstawie rzeczywistych wartości kodu obiektu i numeru karty. Nasz przewodnik po niestandardowych kodach obiektów i zastrzeżonych formatach omawia, jak niestandardowe schematy parzystości wpisują się w szerszy krajobraz inżynierii poświadczeń 125 kHz.
Format ten mieści się w kategorii 125 kHz LF proximity — nie ma uwierzytelniania kryptograficznego, wzajemnego wyzwania-odpowiedzi ani zaszyfrowanego kanału między brelokiem a czytnikiem. Model bezpieczeństwa jest całkowicie zależny od niejasności formatu i kanału usług zarządzanych ograniczającego dostawy poświadczeń.
Dlaczego zarządzany dostęp sprawia, że wymiana jest bolesna
Połączenie zastrzeżonego formatu i zamkniętego łańcucha dostaw jest powszechne w platformach zarządzanego i chmurowego dostępu . Kastle nie jest pod tym względem wyjątkowe — systemy zbudowane wokół poświadczeń zablokowanych przez dostawcę obejmują kilka innych platform korporacyjnych, gdzie marka zamka kontroluje zarówno sprzęt, jak i oprogramowanie. To, co wyróżnia Kastle, to penetracja rynku: platforma jest osadzona w bardzo dużej liczbie biurowców klasy A w głównych metropoliach USA, co oznacza, że populacja najemców dotkniętych powolnym realizowaniem poświadczeń jest znaczna.
W praktyce ból pojawia się w kilku powtarzających się scenariuszach. Firma podnajmuje powierzchnię i dziedziczy sprzęt dostępowy bez bezpośredniej umowy serwisowej Kastle; wymiana breloków wymaga, aby główny najemca zainicjował zamówienie. Kierownik obiektu musi udostępnić dziesięć poświadczeń dla nowego zespołu, który zaczyna w poniedziałek; standardowy czas realizacji Kastle działa według dłuższego harmonogramu. Pracownik odchodzi, brelok ginie, a proces zgłaszania zagubionego poświadczenia uruchamia wieloetapowy przepływ pracy administracyjnej. W każdym przypadku najemca nie ma niezależnych środków, aby pozyskać kompatybilny zamiennik.
Dlatego prawidłowo zakodowane kompatybilne poświadczenie — takie, które zawiera właściwy kod obiektu, numer karty, poziom wydania i parzystość — ma prawdziwą wartość operacyjną. Nie jest to obejście problemu; jest to alternatywa w łańcuchu dostaw w sytuacjach, gdy harmonogram realizacji zarządzanego dostawcy nie odpowiada potrzebom operacyjnym najemcy. Zespoły budynków i obiektów, które mają uprawnienia do zarządzania własnymi harmonogramami dostępu, mogą dodawać i usuwać numery kart bez angażowania Kastle, pod warunkiem, że samo poświadczenie jest prawidłowo zakodowane zgodnie ze specyfikacją formatu. Porównaj to z innymi zastrzeżonymi poświadczeniami o długim formacie, takimi jak kompatybilne Lenel 42-bitowe lub kompatybilne Avigilon 56-bitowe, gdzie obowiązuje ta sama zasada: prawidłowo zakodowane poświadczenie działa w czytniku niezależnie od tego, kto wyprodukował podłoże.
Jak kodowane jest kompatybilne poświadczenie Kastle
Wyprodukowanie działającego kompatybilnego breloka Kastle wymaga trzech rzeczy: znajomości dokładnego 32-bitowego układu pól, prawidłowego kodu obiektu dla docelowej instalacji oraz dokładnego obliczenia parzystości Kastle. Podłoże — fizyczny chip — to przepisywalny transponder LF T5577 lub EM4305, z których oba są standardowymi komponentami branżowymi używanymi w branży kompatybilnych poświadczeń dla formatów 125 kHz. Sam chip nie jest specjalny; liczy się sekwencja bitów do niego zapisana.
Kod obiektu jest specyficzny dla instalacji. Każdy budynek zarządzany przez Kastle ma przypisany własny kod obiektu, a poświadczenie zakodowane z niewłaściwym kodem obiektu zostanie odrzucone przez każdy czytnik w tym miejscu, nawet jeśli numer karty i parzystość są w inny sposób poprawne. Oznacza to, że kompatybilny dostawca potrzebuje kodu obiektu klienta, aby wyprodukować działające poświadczenie — nie można go wywnioskować z przykładowego breloka bez odczytania surowych danych, a Security ID Systems wymaga od klienta dostarczenia go lub dostarczenia istniejącego poświadczenia, z którego można go wyodrębnić podczas procesu zamówienia.
Numery kart są przypisywane sekwencyjnie lub według wyboru klienta w zakresie dozwolonym przez szerokość pola. Poziom wydania jest zazwyczaj ustawiany tak, aby odpowiadał wartości, którą kontroler dostępu budynku zarejestrował — zazwyczaj 1 dla poświadczenia pierwszego wydania. Jeśli wymieniasz zagubiony brelok, administrator budynku będzie wiedział, jakiego poziomu wydania oczekuje kontroler; jeśli do harmonogramu dodawany jest nowy numer karty, standardem jest poziom wydania 1. Proces jest prosty dla każdego, kto wcześniej zarządzał systemem dostępu opartym na Wiegand; główną różnicą jest szersza szerokość bitów i zastrzeżona parzystość. W celu uzyskania kontekstu, jak podejście Kastle wypada w porównaniu z innymi mniej powszechnymi formatami, nasz artykuł na temat kompatybilnych a oryginalnych kart dostępu jasno wyjaśnia techniczne i handlowe różnice.
Po zakodowaniu poświadczenie jest weryfikowane za pomocą czytników testowych przed wysyłką. Kompatybilny brelok Kastle prezentuje się identycznie jak oryginalne poświadczenie wydane przez Kastle z perspektywy czytnika: czytnik dekoduje 32-bitowy ładunek, przekazuje dane Wiegand do kontrolera, a kontroler sprawdza swój harmonogram dostępu. Nie ma mechanizmu po stronie czytnika, aby rozróżnić poświadczenie według jego fizycznego pochodzenia.
Zamawianie kompatybilnego breloka lub karty Kastle
Klienci zamawiający kompatybilne poświadczenia Kastle muszą podać kod obiektu oraz wymagany numer karty lub zakres numerów kart. Jeśli posiadasz istniejący brelok Kastle, kod obiektu można odczytać z poświadczenia i potwierdzić przed rozpoczęciem kodowania. Jeśli nie masz działającej próbki, zarząd budynku lub kontakt serwisowy Kastle zazwyczaj może podać kod obiektu dla Twojej lokalizacji — nie jest to tajemnica na poziomie budynku; po prostu identyfikuje Twoją instalację w sieci Kastle.
Security ID Systems dostarcza kompatybilne poświadczenia Kastle zarówno w formie kart clamshell, jak i breloków. Oba podłoża wykorzystują ten sam chip LF i zawierają identyczne zakodowane dane; wybór jest czysto fizyczny. Breloki są bardziej powszechnym formatem wydawania dla budynków Kastle, ale karty są dostępne dla instalacji, które używają czytników kart na podestach wind lub w dodatkowych punktach wejścia. Minimalne ilości zamówienia i czasy realizacji są wymienione na stronie produktu kompatybilnych poświadczeń Kastle.
Jeśli nie jesteś pewien swojego formatu lub potrzebujesz pomocy w odczytaniu istniejącego poświadczenia, nasz przewodnik identyfikacji formatu kart dostępu opisuje proces dla poświadczeń zbliżeniowych 125 kHz. Klienci, którzy zbadali i stwierdzili, że ich budynek faktycznie nie używa 32-bitowego formatu Kastle — co jest dość powszechną sytuacją w budynkach, które przeszły między dostawcami dostępu — mogą również przeglądać porównywalne, zastrzeżone kompatybilne formaty długie, w tym Software House CCOTZ 37-bit, ADT 31-bit, oraz ATSW30 30-bit poświadczenia, a także nowsze kompatybilne platformy zarządzane w chmurze, takie jak karty kompatybilne z Verkada.
Security ID Systems jest niezależnym producentem i dostawcą kompatybilnych poświadczeń kontroli dostępu i nie jest powiązany, autoryzowany ani wspierany przez Kastle Systems.
Układ pól 32-bitowych poświadczeń Kastle Systems
| Pole | Szerokość bitowa | Pozycja w ładunku | Uwagi |
|---|---|---|---|
| Preamble / synchronizacja | różni się | Bity wiodące | Synchronizacja czytnika; nie jest częścią wyjścia danych Wiegand |
| Kod obiektu | ~8–10 bitów | Po preambule | Specyficzne dla obiektu; wymagane do wygenerowania działającego poświadczenia |
| Numer karty | ~16 bitów | Środek ładunku | Indywidualny identyfikator poświadczenia; przypisany przez klienta |
| Poziom wydania | ~4 bity | Po numerze karty | Wzrasta przy ponownym wydaniu; brak odpowiednika w 26-bitowym H10301 |
| Parzystość Kastle | 2–4 bity | Końcowe | Zastrzeżone obliczenie; musi odpowiadać wartościom kodu obiektu i numeru karty |
| Całkowity ładunek | 32 bity | Pełna transmisja | Szerszy niż standardowy 26-bitowy; odrzucany przez czytniki oczekujące H10301 |