Qontinuum
 Ingeniería Electrónica e Informática aplicadas mapa | contactar | registro | aviso legal | política
Inicio Productos Servicios Sop-Tec Empresa


Sop-Tec

Documentos
Actualizaciones
Base de Conocimientos
Consejos
Instalaciones completas
Renove electrónicas

info    Información complementaria     info

Acreditaciones virtuales

Limitaciones de uso en el entorno NFC

Panel de Alarmas externo

El concepto "tamper"

El 'código Producto'

Los elementos IP

'MIFARE': las preguntas sobre los problemas existentes

Prepersonalización

Personalización

La doble intervención simultánea

La biometría "de peso" (Clase "5")

Doble intervención para la iavT ('identificación automática de vehículos en Tránsito')

Utilización de la biometría "de dedo" o "de palma" bajo coacción

Recurso para superar la imposibilidad fisiológica de ser enrolado

Utilización del PIN bajo coacción

 

 

 

Acreditaciones virtuales

Son aquellas que se formatean y cargan en un Smartphone para obtener una gran facilidad de uso, muy especialmente en Instalaciones grandes dotadas, por tanto, de muchos Terminales de tipo fijo, y en las que las comunicaciones por cable no deban ser nunca un impedimento (aunque sólo fuera de manera circunstancial).

Su estructura interna se corresponde con el formato fS=4 para las Acreditaciones 'DESFire', y se cargan (desde el programa QVigila cuando éste dispone del Módulo funcional modelo Mf-CAFE) en la App Qtag_C que debe existir en el Smartphone de cada Usuario involucrado.

 

 

Limitaciones de uso en el entorno NFC

En el proceloso mundo de los Smartphone con capacidad NFC, no es todo siempre como quisiéramos que fuera, de manera que existen limitaciones de funcionamiento que afectan, exclusivamente, a las Acreditaciones 'MIFARE' Classic en el sentido de que podría no resultar posible ni la lectura ni la grabación de los Sectores/Bloques de memoria, aunque si que es siempre posible la lectura del NUID.

Tal limitación sólo se observa en aquellos Smartphone que utilizan un controlador NFC no fabricado por NXP dado que sólo esta empresa implementa en sus controladores la encriptación mediante el algoritmo CRYPTO1, lo cual parece razonable dado que NXP es la propietaria de la tecnología utilizada para las Acreditaciones 'MIFARE' Classic (incluyendo el protocolo CRYPTO1). Por tanto, y dado que muchos de los Smartphone actualmente existentes en el mercado utilizan un controlador NFC que no es de NXP, no pueden acceder a la memoria de las Acreditaciones 'MIFARE' Classic para leer y/o grabar datos en ella, lo cual inhabilita a nuestras App Qtag_R y Qtag_V para, por ejemplo, tratar Acreditaciones 'MIFARE' Classic en formato fS=4 (basado en la lectura y grabación de la memoria), aunque si que pueden ser tratadas en formato fS=3 (basado sólo en la lectura del NUID).

Con independencia de lo expuesto en 'MIFARE': las preguntas sobre los problemas existentes, la constatación empírica de la situación descrita en el párrafo anterior no hace sino potenciar la idea de que las Instalaciones que actualmente estén utilizando Acreditaciones 'MIFARE' Classic en formato fS=4 deberían migrar a la utilización de Acreditaciones 'DESFire' y/o de Acreditaciones 'NFC (Smartphone)' si quieren utilizar las App Qtag_R y/o Qtag_V dado que todos los controladores NFC (para Smartphone) existentes en el mercado tratan tales tipos de Acreditaciones, las cuales están basadas en la norma "ISO/IEC 14443-4 Type A", protocolo T=CL y utilizan encriptación AES-128 en las comunicaciones.

Una relación bastante completa de fabricantes y modelos de Smartphone en relación al tipo de controlador NFC utilizado puede verse en este enlace y en este otro enlace, los cuales son información pública de terceros, por lo que Qontinuum no asume ninguna responsabilidad sobre tal información.

 

 

 

Panel de Alarmas externo

Recibe este nombre aquel elemento específico (fabricado por terceros) para el control de situaciones de alarma y con el que intercambia algunas señales un Terminal Modular de la Serie 500, 700, 900 ó 3000, conectando una Salida del Terminal a una Entrada del Panel de Alarmas externo y una Salida (por nivel o por pulso) de tal Panel a una Entrada del Terminal, pudiendo de esta manera indicar un mínimo de información pero sólo para el “armado” / “desarmado” de una Partición del Panel de Alarmas externo, el cual debe ser convenientemente parametrizado por quien corresponda.

 

 

 

El concepto "tamper"

Se usa (vulgarmente en inglés) para referirse a cualquier tipo de manipulación que pueda afectar a la seguridad en un Terminal, Panel, Cabezal, sensor, etc, pudiendo ser la apertura de un contenedor, el corte de un cable, la provocación de un cortocircuito o el enmascaramiento de una señal.

Exclusivamente para los Paneles de Intrusión, se trata de las condiciones indicadas en la normativa UNE-EN 50131-1 en Grado 3.

 

 

 

El 'código Producto'

El código Producto (c.P.) constituye la identificación genérica del tipo de Firmware en función de la Serie y de la Familia (y en algunos casos también del tipo de Acreditación admitida) a la que pertenecen los Terminales Modulares, los Terminales Compactos, los Terminales de Sobremesa, los Terminales Especiales y los Cabezales cuando se trata de elementos producidos por Qontinuum.

La relación detallada de los 'código Producto' aparece en la Ayuda (Relación de nombres y conceptos > En general > código Producto) del programa de utilidad Q2_UTIL.

 

 

 

Los elementos IP

Recibe este nombre genérico todo producto de Qontinuum que basa sus comunicaciones en la torre de protocolos TCP/IP sobre Ethernet.

En CONACC se trata de los Adaptadores de protocolos (de la Serie 700 y de la Serie 2000) y de aquellos modelos de Terminales Compactos y de Terminales Modulares de la Serie 700 cuando comunican por TCP/IP/Ethernet y de aquellos modelos de Terminales Modulares de la Serie 3000 cuando comunican por TCP/IP/Ethernet y de algunos modelos de Terminales Portables, de Terminales Compactos y de Terminales Especiales de la Serie 000, así como de todos los elementos del entorno del Control de Intrusión.

Cada uno de tales elementos IP utiliza el protocolo GWP de Qontinuum y requiere la existencia de una estructura TInGW.

Cuando los elementos IP disponen del componente capa VirGO pasan a ser compatibles con el Servidor VirGO.

 

 

 

'MIFARE': las preguntas sobre los problemas existentes

Una de las características históricas de las Acreditaciones 'MIFARE' Classic (tanto de 1 como de 4 KBytes de memoria) consistía en la garantía explícita del fabricante NXP de la no duplicidad del número identificador de cada elemento, de manera que era posible diseñar sistemas basados en la seguridad de la existencia del UID (Unique IDentifier) en cada Acreditación 'MIFARE' Classic.

Sin embargo, y por diversas causas, este esquema se ha roto y ha aparecido el NUID (Non Unique IDentifier), de manera que surgen dudas y se formulan preguntas que deben ser contestadas. Además, han surgido novedades muy preocupantes sobre el hecho, ya incontrovertible, de la posibilidad de clonación de las Acreditaciones 'MIFARE' Classic.

El Departamento Técnico de Qontinuum ha preparado la cuarta versión del documento MIFARE : las preguntas.pdf para tratar de responder a tales preguntas y disipar toda duda a nuestros Clientes.

Para la más amplia comprensión de este importante tema es recomendable la lectura de los siguientes documentos:
  BTP017 CONACC: proximidad por radiofrecuencia (RFID)
  BTP031 CONACC : Acreditaciones ‘MIFARE' y 'DESFire' (nativas y emuladas)
  BTP032 CONACC : sobre la seguridad
  BTP033 CONACC : el formato fS=3 y el formato fS=5
  BTP034 CONACC : el formato fS=4 para 'MIFARE' y 'DESFire'
  BTP042 CONACC : el formato fS=4 para Acreditaciones 'DESFire' (nativas y emuladas)

 

 
 

Prepersonalización

La causa y el efecto que permiten que las 'tarjeta-chip 7816', las Acreditaciones 'MIFARE' y/o las Acreditaciones 'DESFire' queden preparadas para su Personalización. La causa reside en la utilización de los recursos del sistema CONACC implementados por el programa OEM o por el programa de utilidad DELTA/1, siendo el efecto la formalización de la estructura fS=4.

 

 

 

Personalización

La causa y el efecto que permiten que las 'tarjeta-chip 7816', las Acreditaciones 'MIFARE', las Acreditaciones 'DESFire' y/o las Acreditaciones 'NFC (Smartphone)' que estén Prepersonalizadas resulten plenamente operativas. La causa reside en la utilización de los recursos del sistema CONACC implementados por el programa OEM para realizar la carga de los datos en los archivos de la estructura fS=4, de manera que, como efecto, cada una de tales Acreditaciones pase a contener información válida que define por completo a su usuario en la Instalación, por lo que pueden ser utilizados en el sistema.

 

 

 

La doble intervención simultánea

Este requisito de seguridad obliga a que, para lograr un acceso, sean necesarios dos usuarios presentando sus Acreditaciones de manera coincidente en el tiempo, por lo que son necesarios dos Cabezales colocados de manera adecuada al punto de control del acceso.

Los usuarios deben presentar las Acreditaciones (cada uno el suyo) de manera "simultánea", esto es dentro del tiempo máximo determinado por el programa de aplicación.

Dadas las características de este tipo de control, éste sólo puede resolverse mediante un subsistema HYDRA especial (dotado con un Módulo "H" modelo XX-101 y con uno modelo XX-101/DIS) o mediante un subsistema HYDRA-II especial.

Si se utilizan Acreditaciones dotadas con una estructura fS=4, el posible control anti Pass-Back se aplica a todas las acreditaciones implicadas (aunque dependiendo del tipo Usuario), al igual que también resulta aplicable la posible IDEP por biometría.

Para obtener una visión más completa de la doble intervención simultánea hay que consultar el subcapítulo 2.4.2 en el documento BTP027 (Revisión Y y posteriores).

 

 

 

La biometría "de peso" (Clase "5")

Este tipo de biometría es específico para ser usado en el Control de Accesos físicos conjuntamente con un susbsistema HYDRA basado en estructuras fS=4 (de la Familia MIF o de la Familia DEF), de manera que facilitan la creación de puntos de paso en modo esclusa (para más información hay que leer el documento BTP038).

Este tipo de biometría es de segundo nivel, por lo que es compatible con otro tipo de autenticación biométrica.

 

 

 

Doble intervención para la iavT ('identificación automática de vehículos en Tránsito')

Aunque puede no ser un requisito habitual, el concepto de doble intervención (requisito que obliga a que, para lograr un acceso, sea necesario presentar un mínimo de dos Acreditaciones dentro de un tiempo máximo determinado por el programa de aplicación) es aplicable también a los Terminales de la Clase "T" de la Familia SEP.
Las combinaciones admitidas para cumplimentar la doble intervención son las siguientes:
1) el NIS de la Acreditación del usuario (tarjeta "huésped") y el NIS de la Acreditación del vehículo (cajetín "booster") deben estar relacionados;
2) el NIS de la Acreditación de un primer usuario y el NIS de la Acreditación de un segundo usuario (tarjetas "huésped" ambas) deben estar relacionados;
3)

Para obtener una visión más general de la doble intervención hay que consultar la entrada así llamada en el documento MRT019-8.

 

 

 

Utilización de la biometría "de dedo" o "de palma" bajo coacción

Todos los Terminales producidos por Qontinuum que incorporan biometría "de dedo" (Clase "3") o "de palma" (Clase "4") disponen de capacidad para que los usuarios puedan ser validados (en modalidad 1:N) o autenticados (en modalidad 1:1) con un elemento biométrico alternativo al usual, de manera que el Terminal validará la presentación "de dedo" o "de palma" pero también activará la oportuna Salida de alarmas (parametrizada desde el programa de aplicación pertinente) para informar a un Panel de Alarmas externo, etc. de que el usuario ha hecho la presentación biométrica por "actuación bajo coacción".

Para indicar el ‘Template' que deberá activar la coacción, los Operadores de los programas de aplicación deberán facilitar información a los usuarios para que éstos sean muy conscientes de cual de sus dedos (de los hasta diez posibles) o de cual de sus palmas (de las hasta dos posibles) es el/la enrolado(a) para poder activar la indicación de "actuación bajo coacción" (los errores de indicación, aunque sean involuntarios, pueden provocar situaciones incómodas).

Cuando el usuario presenta un dedo o una palma el FW compara el ‘Template' resultante con todos los que puedan existir de ese mismo NIS en la memoria del Terminal, de manera que si el ‘Template' finalmente autenticado coincide en tener el ordinal indicado en el parámetro ‘Tratamiento Coacción', el FW asume la existencia de una situación de coacción.

Una explicación más completa se encuentra en los capítulos 4 y 5 de la revisión A y posteriores del documento BTP036.

 

 

 

Recurso para superar la imposibilidad fisiológica de ser enrolado

En un estudio de la Unión Europea se estima que un 5% de la población no puede ser registrada mediante la biometría de sus dedos por carecer éstos de suficiente legibilidad morfológica (dato contenido en el informe del Parlamento Europeo de 2005).

Son muy pocos los productos existentes en el mercado que aporten una solución racional a la situación que se produce al querer controlar biométricamente a personas que presentan la imposibilidad fisiológica de ser enroladas, como sería el caso de aquellos que presentan alguna enfermedad o de aquellos que, debido al desgaste inherente a su trabajo esencialmente manual, están en situación de hacer muy difícil, sino imposible, el reconocimiento computerizado de las yemas de sus dedos.

Las Instalaciones en las que ocurre la existencia de tal tipo de usuarios se ven en la tesitura de llegar a provocar un agravio comparativo interno entre aquellas personas que pueden ser enroladas (y que, por tanto, están obligadas a la validación biométrica) y aquellas personas a las que no les resulta posible el enrolamiento, dado que éstas no pueden ser "controladas" por medios biométricos. Por ello es muy conveniente que los Terminales implantados dispongan entonces de la capacidad de poder identificar/autenticar por otro medio que, sin llegar a alcanzar la fiabilidad que se consigue mediante biometría, garantice un mínimo razonable de seguridad, como puede ser la anotación de un NIS y un PIN o la utilización de una Acreditación y un PIN.

En consecuencia, casi todos los Terminales producidos por Qontinuum que involucren el uso de la biometría de Clase "3" disponen de un teclado para facilitar, a los usuarios afectados, la anotación de su NIS y de su PIN, disponiendo también Qontinuum de Terminales capaces de leer Acreditaciones y biometría "de dedo", de manera que los programas de aplicación pueden hacer uso de una prestación del sistema CONACC que les permite definir una 'Tabla_Excepción_Biometría' con los valores de NIS y de PIN para cada uno de aquellos usuarios que no puedan ser reconocidos por su biometría "de dedo", permitiendo de esta manera que no haya que excluir a tales usuarios del sistema.

Una explicación más completa se encuentra en el capítulo 2.13 de la revisión Q y posteriores del documento BTP027.

 

 

 

Utilización del PIN bajo coacción

Aunque realmente no es habitual, cabe dentro de lo posible el que en algunas Instalaciones (o en algunos Terminales muy concretos de algunas Instalaciones) se pretenda conocer que alguien está forzando a un usuario legítimo a realizar el acceso, para lo cual hay que proporcionar a los usuarios un mecanismo que les resulte fácil de recordar (este tipo de situación es siempre motivo de nervios) y que sea discreto en el uso (para no ponerles en mayor peligro), de manera que tal mecanismo les permita, y siempre a su criterio personal, informar de que están siendo obligados a realizar una operativa de autenticación por PIN.

En el momento en el que la operatoria requiere la anotación de un PIN, el FW considera que debe esperar la anotación de cuatro caracteres (uno por cada dígito del PIN) más uno extra. Al llegar a la quinta pulsación, si la situación es de anotación normal, el usuario puede pulsar la tecla < ¿ > o repetir el último dígito del PIN para completar la anotación, pero si la situación es de anotación bajo coacción debe pulsar la tecla de cualquier dígito (excepto el último que haya anotado del PIN) para indicar al FW la situación de anotación forzada.

 

 

webmaster@qontinuum-plus.com
       T/. +34 932451628    M/. +34 610119235
c/. Ausiàs Marc, 71, entresol 2ª   08013 Barcelona
Página actualizada: 21-01-2018 Copyright © 1999-2018, Qontinuum Plus, S.L.
Todos los derechos reservados