Blog

OSDP Encriptación de protocolos de Control de Accesos ( ¿Un estándar para Gobernarlos a TODOS ?)

En este articulo analizaremos en detalle el protocolo OSDP el cual nace con la visión de poder ofrecer una estandarización en las comunicaciones securizadas de sistemas de control de accesos. Es importante poder entender el alcance asociado a este estándar el cual actualmente aun en evolución y desarrollo. Si tienes alguna responsabilidad en cuanto este tipo de diseños de seguridad , te interesara conocer las ventajas y desventajas que OSDP puede ofrecer en tu diseño de seguridad.

Comenzamos indicando todo lector y controlador de control de acceso necesitan comunicarse. Si bien como es sabido Wiegand ha sido el estándar de facto durante décadas, OSDP tiene como objetivo resolver los principales problemas de Wiegand.

En particular, los beneficios de OSDP:

  • Comunicación bidireccional, incluida la retroalimentación mostrada por el lector
  • Integración biométrica estandarizada con sistemas de acceso
  • Manejo de grandes cantidades de datos de credenciales
  • Versión ‘Secure Channel’ de OSDP que admite el cifrado de datos

Sin embargo, el protocolo tiene varios problemas importantes que afectan la adopción, que incluyen:

  • Versiones de OSDP y definición de perfil poco claras
  • Falta de verificación de conformidad con OSDP
  • Proveedores que afirman que solo ‘Soporte OSDP’ no es suficiente
  • No hay directorio oficial de productos compatibles con OSDP

En este articulo examinaremos esos problemas y detalles más básicos que incluyen:

  • Qué hace OSDP
  • Por qué se necesita OSDP
  • Cómo está organizado el OSDP
  • Qué son los perfiles de OSDP
  • Diferencias de rendimiento y cableado entre Wiegand y OSDP
  • Qué significa ‘canal seguro’ para OSDP

¿ Qué hace OSDP ?

OSDP especifica el protocolo de comunicación entre lectores y controladores, eliminando la necesidad de ‘controladores propietarios’ cuando se utilizan controladores y lectores de terceros al simplificar la forma en que se comunican esos dispositivos. Las funciones comunes están estandarizadas, incluida la forma en que se envían, formatean y cifran los datos de las credenciales.

También están estandarizadas características avanzadas como qué mensajes muestra el lector, cómo funcionan los LED o el sabotaje integrado, o incluso cómo funciona la verificación biométrica bidireccional. 

“Para el mercado una de las principales ventajas de OSDP es que la especificación se puede utilizar para la interoperabilidad de terceros con muchos fabricantes”

Por qué se necesita OSDP

Los proveedores de administración de acceso a menudo no diseñan sus propios lectores y controladores (y viceversa), y Wiegand ha manejado la necesaria interoperabilidad de terceros durante varias décadas.

Sin embargo, OSDP mejora o se expande sobre Wiegand para la máxima distancia de cable, tamaños totales de transferencia de datos, comunicación bidireccional, cifrado de datos y validación biométrica bidireccional.

Elementos clave de OSDP

El nuevo protocolo refuerza esas debilidades y se expande para ofrecer:

  • Bidireccional : permitir que la comunicación viaje en ambos sentidos permite cambios en tiempo real, incluso permitiendo que los comportamientos de salida como los LED, los mensajes en pantalla o el comportamiento de la sirena se cambien dinámicamente. Dependiendo del lector, las características como las claves de seguridad o los campos de texto pueden cambiar según el estado del sistema detrás del lector.
  • Mayor rendimiento: con OSDP, los mensajes se pueden transmitir en etapas, con cada mensaje individual de 1.024 bytes, pero en capas en varios mensajes. Esto significa que son posibles mucho más que transferencias provisionales de 37 bits cuando alguien presenta una credencial (huella digital, rostro o tarjeta) en una puerta.

Cómo está organizado el OSDP

Comprender el control de versiones y los perfiles de OSDP es complicado. En el pasado, las versiones de OSDP se lanzaron en un intervalo de tres años, con versiones lanzadas en 2011, 2014 y 2017. 2020, etc…

Las versiones completas de OSDP incluyen más criterios y características que los productos individuales, por lo que SIA ( Security industry authority) mantiene varios ‘perfiles OSDP’ diferentes aplicando implementaciones parciales según el tipo de producto. Estos perfiles incluyen:

  • Básico : este perfil es el más típico de los lectores de tarjetas de acceso remoto y tarjeta que admitirán como mínimo
  • Biometría : este perfil aborda la ‘verificación bidireccional’ para lectores biométricos, intercambiando plantillas con sistemas de acceso central.
  • Modo de paquete extendido : para dispositivos diseñados para interactuar con capas de tarjetas inteligentes o estándares de seguridad avanzados como FICAM , o credenciales móviles, este perfil describe formatos estandarizados para datos grandes o complejos.
  • Periférico : para dispositivos ‘mínimos’ que no incluyen pantalla de salida del lector, soporte biométrico o soporte de mensajes ‘grandes’ de varias partes.

Reclamaciones de soporte de OSDP genérico

A pesar de que los proveedores afirman ‘compatibilidad con OSDP’, eso por sí solo no es suficiente para evaluar qué versiones, perfiles o características son compatibles. Ni SIA ni las empresas miembro aclaran esto.

“Existen fabricantes que afirman ser compatibles con OSDP pero no explica qué versión o perfiles son compatibles”

 La falta de claridad con respecto a los tipos / versiones de soporte de los proveedores de OSDP, y cuando se le preguntó sobre esto, SIA ( Security industry authority) asignó la responsabilidad a los clientes finales para dejar esto en claro:

“Por ahora, los clientes finales de control de acceso deben comunicarse con sus proveedores en los perfiles OSDP que admiten, Básico, Canal Seguro, Biométrico, etc. Si bien este sistema de comunicación y confianza no era un gran problema cuando solo unos pocos proveedores ofrecían OSDP soluciones nos damos cuenta de que este modelo no funcionará por mucho tiempo y, como se dijo, estaremos trabajando para abordar esto”

Esta respuesta ilustra los importantes problemas de claridad que enfrentan algunos compradores al especificar el OSDP.

“Esto refuerza la importancia de realizar un análisis y estudio previo a través de una empresa de seguridad con experiencia en la implantación de este tipo de soluciones de cara evitar seleccionar elementos incompatibles con este tipo de protocolos”

Límites de la actualización de OSDP

A medida que se lanzan versiones o perfiles actualizados, no siempre es posible actualizar el hardware existente en el campo.

En general, si los diseños de hardware incluyen suficientes recursos físicos y la capacidad de actualizar el firmware integrado, se puede realizar una simple actualización al equipo instalado.

Sin embargo, los lectores de acceso y los paneles de control son en ocasiones dispositivos con “limitaciones informáticas” que no pueden admitir estas actualizaciones o una mayor funcionalidad y deben ser reemplazados físicamente.

Un ejemplo común de esto se encuentra en los paneles Mercury Security, con las antiguas placas SIO ‘Serie 2’ frente a las ‘Redboards Serie 3’.

No hay texto alternativo para esta imagen

Uno de los factores más importantes en el desarrollo del hardware ‘Serie 3’ fue el procesamiento adicional a bordo para admitir el cifrado OSDP lanzado con la versión 2.1.7 ‘Secure Channel’, mientras que otros dispositivos como el controlador Axis A1001 se lograron con una actualización de firmware.

Comparación entre OSDP y Wiegand

Las características principales de ambos se comparan en este gráfico:

No hay texto alternativo para esta imagen

Debilidades del OSDP

Sin embargo, OSDP presenta varios problemas nuevos que incluyen:

  • Cableado más complejo : a diferencia de Wiegand, el uso de OSDP requiere terminales de lector y colores de cubierta de cables no estándar y puede requerir resistencias eléctricas adicionales instaladas en el panel, lo que puede aumentar la complejidad del instalador y agregar mano de obra adicional.
  • Perfiles múltiples : como se mencionó anteriormente, ningún perfil OSDP es completo y se necesita más de un perfil OSDP, no se necesita complejidad cuando se usa Wiegand. (Consulte ‘Múltiples perfiles OSDP’ más arriba para obtener más detalles).
  • Conformidad de auto-vigilancia : SIA no ofrece verificación de conformidad de reclamos, y similar a la Lista de fabricantes que falsifican la conformidad con ONVIF , el riesgo de que los fabricantes falsifiquen la conformidad con OSDP es un riesgo fundamental y causa incertidumbre.

Revisaremos a lo largo del articulo , estos conceptos y ciertas diferencias y características clave frente a la tecnología Wiegand .

El cableado OSDP utiliza diferentes terminales y cables

Muchos lectores admiten tanto Wiegand como OSDP, pero requieren el uso de conductores distintos para cada tipo.

La siguiente imagen muestra un lector de ejemplo que admite ambos protocolos con cables separados para conectar según el tipo:

No hay texto alternativo para esta imagen

OSDP requiere solo dos conductores para datos y dos para energía, mientras que Wiegand requiere mucho más para funciones de lector individual.

Los conductores adicionales de Wiegand dan como resultado coletas sustancialmente grandes con haces de diez cables o más. Si los lectores OSDP tienen grandes coletas, es debido a que ofrecen conexiones Wiegand u OSDP como una opción.

Las conexiones de terminales para este lector HID iClass SE ilustran que casi 14 cables están incluidos en un cable flexible. Para este lector, el cable ‘rojo / verde’ (terminal P2-7) y los conectores ‘tan’ (P2-6) están dedicados para OSDP:

No hay texto alternativo para esta imagen

A diferencia de Wiegand, donde “blanco” y “verde” son colores típicamente estandarizados, los colores de los cables OSDP no lo son, lo que puede generar confusión en el instalador.

No solventa el problema de formato de 125 kHz o 13,56 MHz

OSDP no hace nada para mitigar o mejorar el riesgo de vulnerabilidad completamente descifrado de usar formatos como por ejemplo de 125 kHz.

De hecho, incluso si se utilizan tarjetas DESFire o iClass “seguras” , si el lector se comunica con los controladores ascendentes mediante un protocolo no cifrado como Wiegand, el sistema es vulnerable a los ataques que interceptan y retransmiten las lecturas de las tarjetas.

Cifrado de ‘canal seguro’

partir de la versión 2.1.7 de OSDP, se utiliza cifrado AES de 128 bits en los datos entre el lector y el controlador. 

“Es posible que las versiones anteriores a la version 2.1.7 de OSDP no admitan el cifrado, ya que no se definió como “obligatorio” hasta entonces.”

Con OSDP Secure Channel, el protocolo entre el lector y el controlador ascendente está encriptado contra una fácil interceptación y posible copia con dispositivos “man in the middle”. Por ejemplo, la instalación de BLEKey demora unos 60 segundos, se puede realizar desde el lado público / no seguro de la puerta y es indetectable por el sistema y los administradores del sistema.

No hay texto alternativo para esta imagen

Casi todos los sistemas de acceso son vulnerables al riesgo de copia Wiegand cuando se instalan skimmers en el lector. La información de la tarjeta que interceptan se puede utilizar para crear copias idénticas de tarjetas válidas o para inyectar señales Wiegand válidas en sistemas que omiten por completo a los lectores.

Los rastreadores Wiegand son fáciles y económicos de obtener en el mercado de electronica.

Mensajes del sistema que se muestran en el lector

Una característica de OSDP que no es posible a través de Wiegand es la capacidad de enviar información del sistema y mensajes de usuario a los lectores.

Esto permite que los mensajes preventivos se muestren a los nuevos usuarios, los números de contacto para el acceso de los visitantes y la información, como las fechas y horas, se muestre para las aplicaciones de reloj de tiempo:

No hay texto alternativo para esta imagen

Cabe destacar que el estándar OSDP ‘Periférico’ no admite esta función y solo está disponible en las versiones ‘Básica’ y ‘Biométrica’.

Soporte biométrico

Un aspecto interesante de OSDP es cómo se admite la autenticación biométrica mediante el paso de datos bidireccional entre el sistema y el lector.

La biometría típica de Wiegand realiza comparaciones de plantillas biométricas dentro del lector en bases de datos almacenadas en el lector u otra aplicación potencialmente peligrosa, pero el uso de OSDP descarga el almacenamiento de plantillas para acceder a los sistemas que las envían a los lectores solo cuando se ponen en cola a pedido.

La siguiente imagen muestra cómo funciona normalmente el intercambio:

No hay texto alternativo para esta imagen

El intercambio de datos bidireccional permite verificaciones potencialmente más rápidas

Se requiere soporte para lector y controlador

Un aspecto del uso de OSDP que no se comprende bien: tanto el lector como el controlador deben admitir el protocolo.

A diferencia de Wiegand, el protocolo predeterminado que a menudo no requiere configuración adicional durante la instalación, OSDP generalmente requiere configurar el controlador, como muestra la siguiente imagen:

No hay texto alternativo para esta imagen

Hay ejemplos de “detección automática” para OSDP en algunos productos, pero la configuración automática no forma parte de la especificación OSDP predeterminada.

Resistencias del controlador que en algún momento se requieren

Es de destacar que algunos controladores exigen el uso de resistencias en los lectores OSDP, especialmente en recorridos largos de lectura por cable / en cadena o donde la EMI puede ser una preocupación:

 Si bien las resistencias de ‘fin de línea’ no son infrecuentes con las alarmas de intrusión, requerirlas para el uso del lector en el acceso no es típico con Wiegand y puede suponer un costo adicional inesperado, aunque trivial.

No hay texto alternativo para esta imagen

Conformidad con la auto política

Para agravar el riesgo de declaraciones falsas, SIA no verifica ni supervisa los productos que afirman la conformidad con OSDP, y ningún grupo externo tiene la tarea de hacerlo.

SIA comentó:

“No existe un tercero que verifique las afirmaciones de cumplimiento de OSDP. El Grupo de Trabajo OSDP (WG) comenzó como un pequeño grupo de proveedores que trabajaban para mejorar y agregar al OSDP heredado, incluidas herramientas para verificar que están haciendo el OSDP correctamente.

Ahora que hemos visto un aumento en el número de proveedores que participan en el OSDP WG y que también reclaman apoyo, nos damos cuenta de la necesidad de un programa de verificación / certificación y estamos trabajando en ese proceso ahora “

Sin lista de conformidad con OSDP

Otra complicación es que no hay una lista administrada de forma centralizada que muestre qué dispositivos son conformes y cuáles hacen afirmaciones no probadas.

A diferencia de ONVIF, que publica una lista de dispositivos ‘conformes’ según el perfil que afirman, OSDP no ofrece ni rastrea de manera similar.

El apoyo de OSDP crece, pero aún es limitado

Los proveedores que afirman ser compatibles con OSDP son en su mayoría marcas de acceso comercial convencionales, incluidas HID Global / Mercury Security, Wavelynx, Axis, Software House, Lenel, Suprema, Farpointe Data, Rosslare y Cypress, etc…

En términos de proveedores que no son compatibles con OSDP, en la actualidad aun existen muchos fabricantes que aun no lo soportan.

SIA indica que el número de proveedores que producen equipos OSDP es “alrededor de 40-50, la mayoría de los cuales son proveedores de dispositivos periféricos (lectores)”.

Sin embargo, a menos que los aspectos de conformidad incompletos o inciertos del soporte de perfiles estén mejor definidos, el esfuerzo puede enfrentar problemas de adopción y el posterior rechazo del estándar Wiegand más confiable.

Herramientas de prueba OSDP

Para aquellos interesados en ver si un dispositivo cumple con la especificación OSDP de SIA , recomiendan usar esta herramienta de prueba basada en Linux . Sin embargo, configurarlo y usarlo requiere que los usuarios comprendan la navegación de línea de comandos de Linux.

Para una opción basada en PC / aplicación, OSDP Bench de Z-bit es una opción. Es una utilidad gratuita basada en PC, pero requiere que la PC tenga puertos serie y los lectores se conecten mediante adaptadores RS485:

No hay texto alternativo para esta imagen

Sin embargo, la aplicación no es una herramienta de conformidad con soporte oficial y los detalles que registra son básicos en lugar de una lista completa de comprobaciones de prueba. Admite alternar entre las versiones de OSDP y verificar si se admite el ‘Canal seguro’.

Otra opción es utilizar un analizador de protocolos como Saleae’s Logic . Este dispositivo se conecta a una PC o estación de trabajo iOS mediante USB y puede conectarse a varios dispositivos OSDP, hasta 8 a la vez.

Sin embargo, el dispositivo no es para usuarios novatos y requiere conocimientos técnicos para usar e interpretar los resultados. La salida de los analizadores de protocolo es similar a la de los osciloscopios, y los resultados son mucho más profundos que las comprobaciones de conformidad “pasa” o “no pasa”.

Conclusión:

Obviamente este tipo de soluciones de encriptación deben de ser la base de todos nuestros diseños dado de otro modo estaríamos abriendo literalmente la puerta de nuestra “casa” a un potencial atacante , si bien es necesario analizar durante el proceso de diseño y de implantación las ventajas y desventajas que ocasiona la implantación de protocolos como OSDP. Mi recomendación en el caso tener que implementar este tipo de tecnologías dada su complejidad e impacto en la organización es a través siempre de un estudio previo detallado de cara poder confeccionar un plan integral de medidas acorde los riesgos detectados permitiendo poder contar con un modelo completo de seguridad, incluyendo formación , protocolos de actuación , servicios y actualizaciones que permita que la solución final evolucione acorde los riesgos y las futuras necesidades de seguridad.

Si tiene alguna duda al respecto no dude en contactar conmigo para poder asesorarle en su caso particular.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *