Os três níveis HID 13.56 MHz explicados
A linha de smart-cards de 13.56 MHz da HID Global não é um único produto, mas uma família de três níveis arquitetonicamente distintos, cada um com seu próprio modelo de segurança, design de chip e história prática de substituição. Agrupá-los é a fonte mais comum de confusão quando as equipes de instalações procuram um chaveiro compatível hid iclass ou um cartão para substituir uma credencial antiga.
Os três níveis são: (1) iCLASS legado, também chamado Picopass, que sustenta os leitores iCLASS de primeira geração; (2) iCLASS SE e iCLASS Elite, que adicionam diversificação de aplicativos sobre a base Picopass; e (3) Seos, a plataforma de geração atual da HID construída em torno da criptografia AES em um elemento seguro dedicado. Cada nível apresenta uma questão de compatibilidade diferente, então o restante deste guia os trata por sua vez.
Todos os três níveis compartilham a banda de frequência de 13.56 MHz ISO 15693 / ISO 14443 e ativarão fisicamente um leitor compatível. A compatibilidade de frequência é onde a semelhança termina. As arquiteturas de autenticação, diversificação de chaves e armazenamento de credenciais são substancialmente diferentes entre os três, e essa arquitetura — não a radiofrequência — governa se uma credencial compatível pode carregar um aplicativo funcional.
iCLASS legado (Picopass) e seu caminho compatível
As credenciais iCLASS legadas usam o protocolo Picopass com um aplicativo armazenado em um layout de memória definido. Quando um site está executando o iCLASS legado de configuração padrão — a implantação mais comum em instalações corporativas e governamentais mais antigas — cartões em branco compatíveis programados para o mesmo formato de credencial autenticarão com os leitores existentes sem qualquer alteração de firmware ou hardware.
Este é o caso compatível claro no mundo iCLASS. Se o log de auditoria do seu painel de leitor mostrar credenciais iCLASS 2K ou 16K, e o site não tiver habilitado a diversificação de chaves de nível Elite, você está quase certamente em território de configuração padrão. Um HID iCLASS Legado (2K/16K Picopass) cartão de formato obtido de um fornecedor especializado pode ser codificado com seu código de site e número de cartão existentes e emitido para usuários através do seu fluxo de trabalho de programação normal.
O requisito prático é que você precisa de uma credencial de amostra ou dos dados do código do site para programar as substituições corretamente. Ferramentas comuns de leitura e gravação disponíveis para qualquer instalador certificado podem ler os dados da credencial de um cartão de amostra e registrá-los para programar novos cartões em branco. Nenhuma ferramenta de ataque especializada é necessária ou apropriada — este é um processo de manutenção de rotina para qualquer integrador familiarizado com o iCLASS legado.
Os usuários de chaveiros têm as mesmas opções. O mesmo aplicativo Picopass funciona em fatores de forma de chaveiro tipo concha, então um chaveiro compatível hid iclass contendo o mesmo formato codifica e autentica-se identicamente ao equivalente do cartão. O formato e a configuração da memória importam; o invólucro físico é intercambiável na maioria das instalações de leitores.
Se você não tem certeza se seu site é de configuração padrão ou Elite, o passo mais seguro é testar um cartão em branco compatível em seu leitor antes de fazer um pedido em massa. Um leitor de configuração padrão genuíno aceitará um cartão em branco corretamente codificado imediatamente. Um leitor Elite o rejeitará, o que lhe diz claramente que você está na categoria de nível seguro coberta na próxima seção.
Para programas iCLASS legados em larga escala — data centers, salas de servidores e campi que ainda não migraram para SE ou Seos — mantemos estoque de chaveiro compatível hid iclass e formatos de cartão nas configurações padrão 2K e 16K Picopass. Nosso iCLASS, iCLASS SE & Seos: Opções de Cartão Compatíveis por Nível guia cobre os detalhes específicos do pedido.
iCLASS SE / Elite: seguro por design
O iCLASS SE introduziu uma arquitetura de segurança fundamentalmente diferente. Onde o iCLASS legado usa uma chave de aplicativo em todo o site que é a mesma em todos os cartões em uma implantação, o iCLASS SE e o esquema de diversificação de chaves Elite derivam uma chave única por credencial de uma chave raiz mantida pelo operador. Um leitor programado com chaves Elite rejeitará qualquer cartão que não apresente uma resposta corretamente diversificada — incluindo um cartão padrão iCLASS legado apresentado a um leitor SE no modo multi-classe.
Esta arquitetura é intencional. É por isso que o iCLASS SE tem um prêmio em instalações empresariais e governamentais: o bloqueio do leitor instalado criado por chaves diversificadas mantidas pelo operador é uma propriedade de segurança genuína, não um inconveniente comercial. Um cartão de substituição em potencial não pode simplesmente copiar os dados do aplicativo de uma amostra, porque a etapa de verificação requer a chave diversificada que apenas o cartão correto produziria durante uma troca de autenticação legítima.
O que fornecemos para implantações iCLASS SE e Elite é, portanto, uma credencial em branco compatível: um cartão compatível hid iclass se construído na plataforma de chip correta com a estrutura de aplicativo correta, mas sem chaves pré-carregadas. O processo de registro do seu sistema — tipicamente realizado através do mesmo software de gerenciamento de controle de acesso que você já usa — grava as chaves diversificadas e os dados da credencial do seu site no cartão em branco durante a emissão.
Isso é idêntico ao processo de emissão de um cartão novo do seu fornecedor atual, com duas diferenças: você obtém o cartão em branco de nós em vez da HID, e o custo unitário é menor. As propriedades de segurança da credencial emitida são determinadas pelas chaves que seu sistema carrega, não por quem fabricou o suporte em branco.
Da mesma forma, o cartão compatível hid iclass elite formato que temos em estoque é construído para aceitar a diversificação de chaves do esquema Elite através da sua infraestrutura de registro. Se o seu instalador ou integrador de sistemas configurou seus leitores para Elite, o mesmo fluxo de trabalho de registro se aplica.
Para instalações que misturam níveis iCLASS — uma realidade comum durante programas de migração de vários anos — cartões multi-tecnologia que carregam tanto um aplicativo Picopass legado quanto uma camada de aplicativo SE também estão disponíveis. Isso permite que você elimine gradualmente os leitores legados edifício por edifício sem emitir credenciais duplas para cada titular de cartão.
Seos: AES em um elemento seguro
Seos é a plataforma principal atual da HID e representa a arquitetura de credenciais mais sofisticada da família iCLASS. A aplicação é executada dentro de um elemento seguro dedicado — um enclave de hardware resistente a adulterações — e todas as operações de credenciais são protegidas por criptografia AES-128 ou AES-256 com chaves que nunca saem do elemento seguro em texto simples.
A consequência prática para a compra de substituição é a mesma que para o iCLASS SE, mas ainda mais claramente definida: não há um caminho compatível que escreva uma aplicação Seos funcional a partir do exterior. As chaves AES que autenticam uma credencial Seos a um leitor Seos residem dentro do elemento seguro e são carregadas exclusivamente através da Trusted Identity Platform da HID ou de uma infraestrutura de registo licenciada. Um HID Seos em branco que fornecemos é, portanto, exatamente isso: uma credencial em branco com o chip de elemento seguro correto e o contentor de aplicação Seos correto, pronto para receber as chaves do seu sistema através do seu processo normal de emissão.
Isso é importante para as equipas de compras que substituem cartões Seos perdidos ou danificados. Não precisa de comprar substituições através do seu integrador de sistema original ao preço de tabela. Pode adquirir a credencial em branco de um fornecedor de cartões compatíveis, executá-la através da sua estação de registo existente e emiti-la ao titular do cartão. O leitor não sabe nem se importa quem fabricou o cartão em branco; ele apenas se importa que a credencial apresente uma resposta AES válida usando as chaves que o seu sistema carregou.
Seos é também a plataforma por trás do ecossistema de credenciais móveis e vestíveis da HID, mas essa é uma questão de licenciamento de software separada do fornecimento de cartões físicos. Cartões e fobs Seos físicos para pessoal que prefere ou exige uma credencial física permanecem simples de adquirir como cartões em branco compatíveis.
Para ambientes de alta segurança, como centros de dados, instalações de pesquisa e salas de operações financeiras — os tipos de implementações no nosso conjunto de soluções de Credenciais de Alta Segurança para Sala de Servidores & de Centro de Dados — as credenciais em branco Seos fornecem um caminho de emissão económico sem comprometer as propriedades de segurança AES que a plataforma foi projetada para oferecer.
Operadores que utilizam Seos juntamente com outras tecnologias de 13.56 MHz também podem achar o nosso A Família MIFARE Explicada: Classic, Plus, DESFire, Ultralight guia útil para entender o cenário paralelo de smart-cards, uma vez que painéis de leitores mistos que leem credenciais Seos e MIFARE DESFire são cada vez mais comuns em programas de acesso empresarial.
O que realmente fornecemos para cada nível
Para remover qualquer ambiguidade, aqui está exatamente o que a Security ID Systems armazena e envia para cada nível da família HID iCLASS.
Para iCLASS (Picopass) legado em configuração padrão: fornecemos cartões e fobs em branco totalmente compatíveis nos formatos 2K e 16K. Estes podem ser encomendados pré-codificados para o seu código de site e intervalo de número de cartão, ou encomendados como cartões em branco para codificação através da sua própria cadeia de ferramentas de instalador. O formato cartão compatível com passagem de csn iclass também está disponível para implementações que dependem do modo somente leitura CSN em vez de uma aplicação completa.
Para iCLASS SE e Elite: fornecemos credenciais em branco compatíveis na plataforma de chip correta, prontas para registo através do seu sistema de gestão de controlo de acesso. Não fornecemos credenciais SE ou Elite pré-carregadas porque as chaves pertencem ao seu sistema, não a nós — esse é o modelo de segurança a funcionar corretamente.
Para Seos: o mesmo modelo. Credenciais Seos em branco compatíveis, chip de elemento seguro correto, contentor de aplicação correto, zero chaves pré-carregadas. O registo através da sua infraestrutura carrega as suas chaves e os seus dados de credenciais.
Também temos uma gama de formatos multi-tecnologia que emparelham aplicações iCLASS com outros protocolos — útil durante as migrações. Por exemplo, sites que migram de proximidade legada de 125 kHz para iCLASS ou Seos frequentemente precisam de cartões que transportem ambas as tecnologias simultaneamente durante o período de transição. O nosso Cartões Inteligentes HF de 13,56 MHz catálogo e Alta Segurança & Formatos Personalizados secção cobrem toda a gama multi-tecnologia.
Compradores que procuram para Bosch, TESA, Mul-T-Lock, ou outros sistemas OEM que incorporam leitores iCLASS encontrarão a mesma lógica de nível aplicável. Um cartão de controlo de acesso bosch compatível, cartão-chave de hotel tesa compatível, ou cartão compatível com smartair que usa uma camada de credencial iCLASS segue a mesma divisão de configuração padrão vs nível seguro. Verifique qual nível iCLASS o leitor OEM está a executar antes de encomendar.
Se estiver a migrar um sistema Wiegand de 125 kHz mais antigo ao mesmo tempo, a gama de cartão de proximidade compatível com HID fornece o lado de 125 kHz de qualquer emparelhamento multi-tecnologia.
A nossa Cartões de Acesso Compatíveis vs. Genuínos: Um Guia Honesto do Comprador mais ampla abrange o argumento de aquisição na íntegra — quando os cartões em branco compatíveis fazem sentido comercial, o que verificar antes de encomendar em volume e como gerir o processo de registo através da sua infraestrutura existente.
A Security ID Systems é um fornecedor independente de credenciais de acesso compatíveis. Não somos afiliados, endossados ou temos qualquer relação comercial com a HID Global. HID, iCLASS, iCLASS SE, Seos e Picopass são marcas comerciais dos seus respetivos proprietários.
Níveis de credenciais HID 13.56 MHz: modelo de segurança e caminho de fornecimento compatível
| Nível | Protocolo / Chip | Modelo de autenticação | Caminho compatível | O que fornecemos |
|---|---|---|---|---|
| iCLASS Legacy Padrão | Picopass (ISO 15693) | Chave de aplicação para todo o site, a mesma em todos os cartões | Direto: compatível em branco codificado com o seu código de site e número de cartão | Cartões e fobs Picopass 2K/16K pré-codificados ou em branco |
| iCLASS Elite Legacy | Picopass + diversificação de chave Elite | Chave por cartão diversificada da chave raiz do operador | Apenas para inscrição: o cartão em branco aceita as chaves diversificadas do seu sistema na emissão | Credenciais Elite compatíveis em branco para inscrição através do seu sistema |
| iCLASS SE / SE Elite | Picopass SE + diversificação de aplicação | Chave diversificada por cartão, camada de aplicação SE | Apenas para inscrição: o cartão em branco aceita as chaves SE do seu sistema na emissão | Credenciais SE compatíveis em branco; multi-tecnologia (legacy + SE) também disponível |
| Seos | Elemento seguro, AES-128/256 | Operações de credenciais AES dentro de elemento seguro resistente a adulterações; chaves nunca expostas em texto simples | Apenas para inscrição: o cartão em branco aceita as chaves AES do seu sistema via infraestrutura de inscrição licenciada | Credenciais Seos compatíveis em branco com chip de elemento seguro e contêiner de aplicação corretos |