Diseño de credenciales de acceso RFID , una elección mas complicada de lo que en principio podría parecer

Las credenciales RFID sin contacto son el componente más común utilizado en un sistema de control de acceso y, aunque muchas se parecen externamente, existen diferencias importantes. Elegir la correcta puede marcar la diferencia entre una instalación segura y una pérdida significativa de dinero. Comprender cómo operan y qué significan sus especificaciones es un gran desafío.

En este articulo, cubrimos los elementos básicos necesarios para especificar las credenciales sin contacto.

Entre otros conceptos revisaremos:

• Formatos de credenciales HID frente a NXP
• Frecuencias de 125 kHz frente a 13,56 MHz
• Nombres de las instalaciones
• Códigos de instalaciones
• ID de tarjeta / números de serie
• ISO 14443A frente a 14443B
• Factores de forma

Descripción general de las credenciales

Si bien existen otras opciones de credenciales, la opción más común son los tipos RFID "sin contacto". Casi el 90% de los sistemas utilizan tarjetas sin contacto o llaveros integrados como dispositivos sin alimentación que se excitan y leen cuando se acercan a una unidad lectora. Este proceso de "energía inalámbrica" se denomina transferencia de energía resonante . 

El concepto teórico de comunicación RFID podemos observarlo por ejemplo al calentar una bombilla incandescente en el microondas : ( Por favor no repliquéis en casa esta prueba por motivos de seguridad )

El propio lector emite un campo recopilado por la tarjeta, que finalmente alcanza una carga suficiente y alimenta temporalmente una transferencia inalámbrica de datos entre los dos. La siguiente imagen detalla los componentes internos habituales, donde la antena de cable recolecta energía, el capacitor la almacena y, cuando se descarga por completo, los datos del chip ICC (credenciales) de regreso a través de la antena al lector:

En general, todas las credenciales sin contacto funcionan de esta manera, pero los parámetros exactos como la frecuencia operativa, el tamaño de los datos de las credenciales, el cifrado y el formato de los datos pueden variar según diferentes formatos y opciones disponibles en el mercado. ( Justo aquí es donde comienza la complejidad tecnológica )

A continuación examinaremos estos parámetros de cara poder entenderlos un poco mejor.

Credenciales sin contacto - Mercado controlado por "Gigantes"

Una de las mayores diferencias en las credenciales sin contacto es el formato de los datos que contienen, el cual normalmente viene determinado por el fabricante. Más de las tres cuartas partes de las credenciales sin contacto  a nivel mundial utilizan  formatos desarrollados o bajo licencia  de  HID  Global  y  NXP Semiconductor , las dos compañías que actualmente controlan el mercado mundial.

Descripción general de HID

Desde que el mercado comenzó a alejarse de las credenciales de 'banda magnética' a principios de la década de 1990, HID Global ganó participación de mercado con sus  tarjetas "Prox" de 125  kHz . 

HID, que ahora forma parte de ASSA  ABLOY , se ha convertido en el proveedor de credenciales de seguridad más común y OEM de productos para marcas de acceso como Lenel, Honeywell y Siemens , etc...

Los formatos más conocidos de la empresa incluyen:

• "Proximidad 125kHz": Es el formato más antiguo de 125  kHz , pero que todavía nos los encontramos en múltiples diseños nuevos.
• "iClass" : una 'tarjeta inteligente' de 13,56 MHz específica de HID Global

HID es la opción más generalizada en EE. UU. Debido a su importante participación en el mercado, HID gestiona , controla y autoriza el uso de sus formatos de credenciales a una gran variedad de fabricantes de credenciales y lectores.  Cuando comercializa ofertas generales 'que cumplen con la norma ISO 14443', HID sigue estrictamente los estándares de la "Parte B" (en comparación con la Parte "A").

Descripción general de NXP

Phillips Semiconductor, NXP, con sede en Europa, ofrece una serie de componentes de credenciales "sin contacto" que se utilizan en varios mercados: seguridad, finanzas e industrial.  Este fabricante cumple en sus requisitos de fabricación el estándar ISO.

NXP ofrece varios tipos de perfiles de credenciales entre los cuales por ejemplo se incluyen:

• MIFARE PROX 125kHz:  formato de 125 kHz de NXP  construido sobre los primeros borradores de las normas ISO.
• MIFARE / DESFire: Un formato de 'tarjeta inteligente' NXP basado en estándar ISO, que también opera en 13.56 MHz. El apodo 'DESFire' se introdujo a principios de la década de 2000 para distinguir el formato de las credenciales 'MIFARE Classic'. Las credenciales DESFire cuentan con un cifrado más fuerte que requiere chips de mayor rendimiento. El formato 'Classic' fue objeto de revisión por ser vulnerable a los ataques de hacking , y DESFire contrarrestó esta amenaza. Debido a que estas mejoras se realizaron solo en las credenciales y los lectores MIFARE existentes aún se podían usar, el nuevo formato se conoció como 'MIFARE / DESFire'.

A diferencia de HID, los formatos de credenciales de NXP son 'libres de licencia' y los estándares correspondientes están disponibles para uso de producción sin costo alguno. NXP fabrica todos los productos ISO 14443 según las normas de la "Parte A". ( En España actualmente es el formato predominante en el mercado).

125 kHz frente a 13,56 MHz

La frecuencia de RF de la credencial tiene un papel clave en su diseño. Debido a que los lectores solo pueden escanear credenciales que operan a frecuencias coincidentes específicas, este atributo es el primero que debemos de analizar. 

"Si la frecuencia y el formato no coinciden, las credenciales simplemente no se leen"

El siguiente cuadro muestra la frecuencia de alguno de los formatos mas populares:

Quizás la mayor diferencia entre las frecuencias de 125 kHz y 13,56 MHz es la seguridad de las credenciales. Los formatos de 125 kHz no son compatibles con el cifrado y se pueden sniffar o falsificar fácilmente. Sin embargo, los formatos de 13,56 MHz están cifrados (normalmente AES de 128 bits o superior) y los datos de las credenciales solo pueden ser leídos por un dispositivo al que se le haya dado específicamente la clave para hacerlo. ( Ojo! , No todos los métodos de cifrado de este tipo de credencial son intrínsecamente seguros )

Descifrando los tipos de credenciales

Uno de los trabajos más desafiantes es simplemente identificar qué credencial está usando un sistema. 

"El mercado está repleto de cientos de opciones sin garantías de compatibilidad."

La imagen a continuación detalla cuatro tipos de credenciales diferentes con características de rendimiento y seguridad dramáticamente diferentes, pero todas parecen iguales para el ojo inexperto: ¿ vaya lio verdad? Pues si!! , vamos a intentar aclarar los conceptos principales.

Las tarjetas RFID sin contacto, cuentan con tres atributos que normalmente no están impresos con claridad o etiquetados abiertamente en la credencial:

• Nombre de formato:  esto designa cómo y cuántos datos transmite la credencial, generalmente definido por un estándar ISO para formatos Wiegand. Por ejemplo, H10301 es el formato típico de 26 bits, H10304 es Wiegand de 37 bits de HID, y así sucesivamente. La mejor manera de confirmar el formato utilizado por una tarjeta y mas simple es localizar la etiqueta de la caja de tarjeta original de compra ( fácil verdad? ) o usar  una calculadora en línea  (ejemplo de Brivo link adjunto) para interpretar la salida hexadecimal sin procesar. Si la caja original de fabrica no está disponible ( lo cual por desgracia suele pasar a menudo , dado los usuarios finales no siempre la conservan ), será necesario investigar el tipo de credencial comprobando el formato utilizado sobre la  aplicación del software de gestión de control de acceso , normalmente en los ajustes de configuración del lector y del usuario de la tarjeta suele indicar este dato.
• Código de instalación : este atributo NO está impreso en la tarjeta en la mayoría de los casos. Esta información también se encuentra normalmente en las etiquetas de las cajas, pero se puede decodificar utilizando las mismas calculadoras en línea para el nombre del formato. En ciertos casos, los sistemas de acceso deben configurarse para aceptar códigos de instalaciones específicos y algunos sistemas de gama baja pueden limitar los códigos aceptables a un número específico. En todo caso Sin conocer este código, no es seguro que las credenciales funcionen.
• ID de tarjeta / número de serie (CSN / UID) : en muchos casos, el número de ID está grabado o impreso en la tarjeta o puede ser extraido a traves de una lectura del numero interno mediante el software de gestión. Este número es el "ID único" que vincula a un usuario con una insignia específica. Si bien los números simultáneos no son un problema, los números redundantes sí lo son, y la misma identificación de tarjeta y la misma credencial codificada para instalaciones no se pueden emitir dos veces en el mismo sistema. 

La siguiente imagen muestra esta información:

Curiosamente, en este caso además nos indica la referencia del pedido de venta / número de lote impresa en la tarjeta a menudo no es utilizada por el sistema de acceso y solo se imprime para ayudar a investigar el origen de la tarjeta tal como se envió a un distribuidor, usuario final o comerciante específico.

A menudo, la caja para tarjetas tal y como hemos comentado es a menudo la forma más rápida y fácil de recopilar las tres piezas de esta información, , como se muestra a continuación:

La División ISO / IEC 14443

La realidad es que existen pocas diferencias que separa el formato iClass  de HID  de las propuestas de MIFARE de NXP, y si no fuera por una interpretación ambigua de un estándar ISO, "serian iguales" para la mayoría de los lectores. Sin embargo, debido a que las primeras versiones del estándar dejaban espacio para la diferenciación, HID y NXP diseñaron sus estándares "compatibles" con una estructura de cifrado diferente.

El resultado final son ambas versiones de la declaración de credencial ' Cumplimiento de ISO 14443 ', pero no son completamente intercambiables. Para conciliar esta diferencia, ISO revisó 14443 para incluir las partes ' A  y / o B' para segregar las dos soluciones. 

El número de serie básico predeterminado de las tarjetas se puede leer en ambas partes A y B, pero cualquier dato codificado en la tarjeta es ilegible entre las dos porque el estándar original dejaba espacio para la ambigüedad de implementación.

En general, debido a que el uso de los estándares de la 'Parte A' no conlleva ningún costo de licencia, muchos productos para lectores nuevos y cuyo mercado objetivo esta fuera de los EE. UU utilizan este estándar utilizado por NXP. Sin embargo, los lectores comercializados específicamente en los EE. UU. o de proveedores con una licencia de mercado global suelen utilizan el cumplimiento de la 'Parte B' común a HID.

Por ejemplo, este lector TSDi admite 14443-A, pero no 14443-B, es decir, en términos prácticos, no admite los formatos iClass de 13,56 MHz de HID, pero sí los formatos MIFARE / DESFire de 13,56 MHz de NXP:

Por el contrario, los lectores de HID iClass admiten tanto 'A' como 'B' junto con el 'CSN' no específico de ISO, de modo que cualquiera de los tipos de credenciales funcionará con estos lectores:

Interoperabilidad de tarjetas inteligentes de 13,56 MHz

Si bien la división 'Parte A y B' en ISO 14443 separa los formatos, no siempre significa que no se puedan utilizar entre sí. 

En ambas partes de la ISO 14443 existen algunas similitudes tales como :

• Cadena CSN / UID:  Básicamente, el identificador único de la tarjeta es legible porque no está almacenado en los medios "encriptados" internos. Muchas plataformas EAC simples usan solo este número para definir un usuario y, en su lugar, usan la base de datos interna para asignar derechos, horarios y privilegios.
• Lectura / escritura codificada:  Sin embargo, la gran mayoría del almacenamiento dentro de la tarjeta está encriptada y es ilegible a menos que se utilicen lectores compatibles. Especialmente para los sistemas de acceso que utilizan la propia credencial para el almacenamiento y para la autenticación multifactor ( por ejemplo : biometría) implementaciones de alta seguridad, el CSN simple no es suficiente.

La Alternativa al CSN

En términos de seguridad, no todos los detalles de las credenciales están encriptados. El 'Número de serie de la tarjeta' (definido por las normas ISO) para las tarjetas de 13,56 MHz a menudo se puede leer independientemente del formato subyacente, el método de modulación o el cifrado. El sistema puede utilizar el CSN como una identificación única, pero el conjunto de datos completo de la credencial no estará disponible.

Para sistemas más pequeños con solo unas pocas puertas y un centenar o menos de uuarios de tarjetas, el uso del CSN como identificación principal es común debido a la facilidad de inscripción en el uso de CSN como números de credencial únicos. Sin embargo, para sitios de alta seguridad donde el cifrado de identidad de acceso es requerido por estándar o cuando se usan credenciales para múltiples sistemas integrados, el uso de CSN para identificar a los usuarios de tarjetas emitidas a menudo no seria lo mas adecuado. Más bien, se requerirán almacenar los datos de verificación del credencial encriptados sobre la propia tarjeta.

Factor de forma

Las formas de las credenciales no se limitan solo a tarjetas o llaveros. El tamaño y el método para alojar una credencial pueden incluir pegatinas Rfid, Tag's, pulseras, anillos, llaveros, smartphone, etc...

El factor de forma de la credencial a menudo es una consideración importante en la durabilidad general y la experiencia de usuario final del diseño.

Por ejemplo, si bien una tarjeta de PVC blanca puede ser ideal para imprimir una tarjeta de identificación y colgarla de un lanyard, puede doblarse o romperse fácilmente en un entorno difícil. 

Un llavero, aunque no es adecuado para imprimir una imagen, está diseñado para ser lo suficientemente duradero como para resistir el abuso, las exposiciones en entornos hostiles e incluso la inmersión en agua.

La elección correcta del factor de forma debe ser incluido como un parámetro mas en el proyecto de cara facilite el uso final por parte del usuario sin menoscabar la seguridad del sistema general.

Impacto del sistema

En términos de sistemas de acceso, los proveedores / formatos de credenciales son los más importantes durante el diseño. La selección del lector debe considerar el formato de la credencial, y todas las credenciales o llaveros posteriores deben coincidir con esa elección. En cuanto a la selección de 'Plataforma de gestión de acceso', este formato generalmente no importa, porque el lector mismo negocia la comunicación de credenciales. Siempre que la plataforma sea compatible con el lector, la elección de la credencial tiene un impacto marginal y la mayoría especifica los tipos de credenciales en función de la logística y la facilidad de compra en lugar de la diferencia tecnológica.

Sin embargo, una vez que se toma esta decisión, los cambios son costosos porque generalmente requieren el cambio de todas las credenciales o dispositivos de lectura. 

"Cambiar de un formato a otro puede costar miles de euros y afecta a todos los usuarios, por lo que es importante poder estar bien asesorado desde un inicio del proyecto."

Conclusión:

Obviamente como podemos comprobar influyen múltiples factores no siendo sencillo la selección final de una credencial dentro de un entorno corporativo.

Mi recomendación dado el impacto que podría ocasionar un mal diseño en la organización de este tipo de tecnologías es realizar un estudio previo detallado de cara poder confeccionar un plan integral acorde a un análisis de riesgos inicial que nos permita poder contar con un modelo completo de seguridad, incluyendo formación , protocolos de actuación , servicios y actualizaciones que permita que la solución final evolucione acorde los riesgos y las futuras necesidades de seguridad.

Si tiene alguna duda al respecto no dude en contactar conmigo para poder asesorarle en su caso particular.

FIN

“La SEGURIDAD es lo que distingue a una empresa líder de las demás”