Карта общего доступа - Common Access Card

Эта статья нужны дополнительные цитаты для проверка. Пожалуйста помоги улучшить эту статью к добавление цитат в надежные источники. Материал, не полученный от источника, может быть оспорен и удален. Найдите источники: «Карта общего доступа»  – Новости  · газеты  · книги  · ученый  · JSTOR (Декабрь 2009 г.) (Узнайте, как и когда удалить этот шаблон сообщения)

Карта общего доступа (CAC).

В Карта общего доступа, также обычно называемый САС это интеллектуальная карточка размером с кредитную карту.^[1] Это стандартная идентификация для военнослужащих военной службы США, включающая Выбранный резерв и Национальная гвардия, Министерство обороны США (DoD) гражданские служащие, Береговая охрана США (USCG) гражданские служащие и соответствующие сотрудники Министерства обороны и подрядчиков USCG.^[1] Это также основная карта, используемая для обеспечения физического доступа к зданиям и контролируемым пространствам, и она обеспечивает доступ к компьютерным сетям и системам защиты. Он также служит удостоверением личности под Женевские конвенции (особенно Третья Женевская конвенция ). В сочетании с персональный идентификационный номер, CAC удовлетворяет требованию для двухфакторная аутентификация: что-то, что знает пользователь, в сочетании с тем, что есть у пользователя. CAC также удовлетворяет требованиям для цифровой подписи и шифрование данных технологии: аутентификация, целостность и неотречение.

CAC - это контролируемый элемент. По состоянию на 2008 год Министерство обороны выпустило более 17 миллионов смарт-карт. Это количество включает переиздания для учета изменений имени, звания или статуса, а также для замены утерянных или украденных карт. По состоянию на ту же дату в обращении находится около 3,5 миллионов незавершенных или активных CAC. DoD развернуло инфраструктуру выдачи карт на более чем 1000 площадках в более чем 25 странах по всему миру и развертывает более миллиона устройств чтения карт и связанное с ними промежуточное программное обеспечение.

Выдача

CAC выдается действующим вооруженным силам США (регулярным, резервным и национальной гвардии) в Министерстве обороны и береговой охране США; Гражданские лица МО; Гражданские лица USCG; служащие, не относящиеся к Министерству обороны / другие государственные служащие и государственные служащие Национальной гвардии; и подходящие подрядчики DoD и USCG, которым необходим доступ к объектам DoD или USCG и / или компьютерным сетевым системам DoD:

• Действующая служба Вооруженных сил США (включая кадетов и гардемаринов Академий службы США)
• Резервные члены вооруженных сил США
• Национальная гвардия (армия, национальная гвардия и воздушная национальная гвардия) военнослужащие вооруженных сил США
• Национальное управление океанических и атмосферных исследований
• Служба общественного здравоохранения США
• Сотрудники службы экстренной помощи
• Сотрудники подрядчика на случай непредвиденных обстоятельств
• Контрактные кадеты и гардемарины ROTC колледжей и университетов
• Развернутые гражданские лица за рубежом
• Небоевой персонал
• Гражданские лица Министерства обороны / военной службы, проживающие на военных объектах в КОНУС, Гавайи, Аляска, Пуэрто-Рико, или же Гуам
• Министерство обороны / гражданские лица военной службы или гражданские лица по контракту, проживающие в иностранном государстве не менее 365 дней
• Назначения президента утверждены Сенат США
• Гражданские сотрудники Министерства обороны и ветераны вооруженных сил США с рейтингом инвалидности по делам ветеранов 100% P&T
• Соответствующие требованиям сотрудники подрядчиков Министерства обороны США и USCG
• Государственные служащие Национальной гвардии, не относящиеся к Министерству обороны / другие государственные служащие

Планы на будущее включают возможность хранения дополнительной информации за счет включения RFID чипы или другая бесконтактная технология, обеспечивающая беспрепятственный доступ к объектам Министерства обороны.

Программа, которая в настоящее время используется для выдачи CAC ID, называется Автоматизированная система идентификации персонала в реальном времени (БЫСТРЫЕ). RAPIDS взаимодействует с Объединенной системой рассмотрения споров по персоналу (JPAS) и использует эту систему для проверки того, что кандидат прошел проверку биографических данных и проверку отпечатков пальцев ФБР. Для подачи заявки на CAC необходимо заполнить форму DoD 1172-2, а затем подать ее в RAPIDS.

Система защищена и постоянно контролируется Министерством обороны. На военных объектах на театре боевых действий и за его пределами были созданы различные сайты RAPIDS для выпуска новых карт.

Дизайн

На лицевой стороне карточки на заднем плане изображена фраза «ДЕПАРТАМЕНТ ОБОРОНЫ США», повторяющаяся на карточке. В верхнем левом углу размещается цветное фото владельца. Под фото - имя владельца. В правом верхнем углу отображается срок годности. Другая информация на лицевой стороне включает (если применимо) информацию о владельце уровень оплаты, звание и федеральный идентификатор. А PDF417 сложенный двухмерный штрих-код отображается в нижнем левом углу. И микросхема интегральной схемы (ICC) размещается ближе к середине нижней части карты.

На передней панели CAC используются три схемы цветового кода. Синяя полоса напротив имени владельца показывает, что владелец не является гражданином США. Зеленая полоса показывает, что владелец - подрядчик. Для всего остального персонала, включая военнослужащих и гражданских служащих, среди прочего, запреты запрещены.

На оборотной стороне карты есть призрачное изображение владельца. И, если применимо, карта также содержит дату рождения, группу крови, номер пособия Министерства обороны, категорию Женевской конвенции и идентификационный номер Министерства обороны (также используется в качестве номера Женевской конвенции, заменяя ранее использованный номер социального страхования). Номер DoD также известен как персональный идентификатор электронного обмена данными (EDIPI). А Код 39 линейный штрих-код, а также магнитная полоса размещается сверху и снизу карты. Номер DoD ID / EDIPI остается у владельца на протяжении всей его карьеры в DoD или USCG, даже когда он или она меняет вооруженные силы или другие ведомства в DoD или USCG. Для вышедших на пенсию военнослужащих США, которые впоследствии становятся гражданскими лицами DoD или USCG, или подрядчиками DoD или USCG, ID DoD / EDIPI номер в их CAC будет таким же, как и в их пенсионной карте DD Form 2. Для невоенных супругов, не состоящих в повторном браке бывших супругов и вдов / вдовцов действующих, резервных или вышедших на пенсию военнослужащих США, которые сами становятся гражданскими лицами DoD или USCG или подрядчиками DoD или USCG, ID / EDIPI-номер DoD в их CAC будет таким же, как на их удостоверении личности и привилегиях службы униформы DD 1173 (например, удостоверении личности иждивенца).

Передняя часть CAC полностью ламинирована, в то время как задняя часть ламинирована только в нижней половине (чтобы не мешать магнитной полосе).^[2]

Считается, что CAC устойчив к подделке личных данных,^[3] фальсификация, подделка и эксплуатация и предоставляет электронные средства быстрой аутентификации.

В настоящее время существует четыре различных варианта CAC.^[1] Удостоверение личности Женевской конвенции является наиболее распространенным CAC и выдается военнослужащим действующей службы / резервных вооруженных сил и военнослужащим в форме. Карточка сопровождающих сил Женевской конвенции выдается гражданскому персоналу, необходимому в чрезвычайных ситуациях. ID и карта привилегированного доступа предназначены для гражданских лиц, проживающих на военных объектах. Удостоверение личности предназначено для идентификации Министерства обороны США / Государственного агентства для гражданских служащих.

Шифрование

До 2008 года все CAC были зашифрованы с использованием 1024-битного шифрования. С 2008 года Министерство обороны перешло на 2048-битное шифрование.^[4] Персонал со старыми CAC должен был получить новые CAC к установленному сроку.^[4] 1 октября 2012 года все сертификаты, зашифрованные менее чем с 2048 битами, были переведены в статус отзыва, что сделало устаревшие CAC бесполезными, за исключением визуальной идентификации.^[4]

использование

CAC предназначен для обеспечения двухфакторная аутентификация: что у вас есть (физическая карта) и что вы знаете ( ШТЫРЬ ). Эта технология CAC обеспечивает быструю аутентификацию и улучшенную физическую и логическую безопасность. Карту можно использовать по-разному.

Визуальная идентификация

CAC можно использовать для визуальной идентификации путем сопоставления цветной фотографии с владельцем. Это используется, когда пользователь проходит через охраняемые ворота или покупает предметы в магазине, например PX / BX, для которых требуется определенный уровень привилегий для использования объекта. В некоторых штатах разрешено использование CAC в качестве удостоверения личности государственного образца, например, для голосования или подачи заявления на получение водительских прав.

Магнитная полоса

В магнитная полоса можно прочитать, проведя карту через считыватель магнитных полос, как кредитную карту. Магнитная полоса фактически пуста при выдаче CAC. Однако его использование зарезервировано для локализованных систем физической безопасности.^[5]

Интегральная микросхема (ICC)

Микросхема интегральной схемы (ICC) содержит информацию о владельце, включая PIN-код и один или несколько PKI цифровые сертификаты. ICC имеет разную емкость, более поздние версии имеют 64 и 144 килобайта (КБ).^{[нужна цитата ]}

CAC может использоваться для доступа к компьютерам и сетям, оборудованным одним или несколькими из множества интеллектуальная карточка читатели. После вставки в считыватель устройство запрашивает у пользователя PIN-код. После ввода PIN-кода он совпадает с PIN-кодом, сохраненным в CAC. В случае успеха номер EDIPI считывается с сертификата идентификатора на карте, а затем отправляется в систему обработки, где номер EDIPI сопоставляется с системой контроля доступа, такой как Active Directory или же LDAP. Стандарт Министерства обороны США заключается в том, что после трех неправильных попыток ввода PIN-кода чип на CAC блокируется.

Номер EDIPI хранится в сертификате PKI. В зависимости от владельца CAC содержит один или три сертификата PKI. Если CAC используется только для целей идентификации, сертификат ID - это все, что требуется. Однако для доступа к компьютеру, подписи документа или шифрования электронной почты также требуются сертификаты подписи и шифрования.

CAC работает практически во всех современных компьютерных операционных системах. Помимо считывателя, для чтения и обработки CAC также требуются драйверы и промежуточное программное обеспечение. Единственным одобренным промежуточным программным обеспечением Microsoft Windows для CAC является ActivClient, доступный только уполномоченному персоналу Министерства обороны США. Другие альтернативы, отличные от Windows, включают LPS-Public - решение без жесткого диска.

DISA теперь требует, чтобы все сайты интрасети на базе DoD обеспечивали аутентификацию пользователей посредством CAC для доступа к сайту. Системы аутентификации различаются в зависимости от типа системы, например Active Directory, РАДИУС, или другой список контроля доступа.

CAC основан на X.509 сертификаты с ПО промежуточного слоя, позволяющие операционной системе взаимодействовать с картой через аппаратное устройство чтения карт. Хотя производители карт, такие как Schlumberger предоставил набор смарт-карт, аппаратного устройства чтения карт и промежуточного программного обеспечения для обоих Linux и Windows, не все другие системные интеграторы CAC сделали то же самое. В попытке исправить эту ситуацию, яблоко Компания Federal Systems проделала работу по добавлению поддержки карт общего доступа в свои более поздние обновления операционной системы Snow Leopard из коробки с помощью проекта MUSCLE (Движение за использование смарт-карт в среде Linux). Процедура этого была задокументирована исторически Военно-морская аспирантура в издании «САС на Mac»^[6] хотя сегодня школа использует коммерческое ПО. По словам независимых военных испытателей и справочных служб, не все карты поддерживаются открытым исходным кодом, связанным с работой Apple, особенно недавние карты CACNG или CAC-NG PIV II CAC.^[7] Стороннюю поддержку для карт CAC на Mac можно получить от таких поставщиков, как Centrify и THSby Software.^[8] Федеральное инженерное управление Apple предлагает не использовать встроенную поддержку в Mac OS X 10.6 Snow Leopard.^[9] но вместо этого поддерживал сторонние решения. В Mac OS X 10.7 Lion нет встроенной поддержки смарт-карт. Программное обеспечение PKard для iOS от Терсби расширяет поддержку CAC на Apple iPad и iPhone. Некоторая работа также была проделана в области Linux. Некоторые пользователи используют проект MUSCLE в сочетании с проектом Apple Лицензия общедоступного исходного кода Apple Программное обеспечение Common Access Card. Другой подход к решению этой проблемы, который сейчас хорошо документирован, включает использование нового проекта CoolKey,^[10] чтобы получить функциональность карты общего доступа. Этот документ доступен в открытом доступе на Лаборатория военно-морских исследований Отделение динамики и прогнозов океана.^[11] Инициатива по защите программного обеспечения предлагает LiveCD с промежуточным ПО CAC и DoD сертификат в ориентированной на браузер минимизированной ОС Linux, называемой LPS-Public^[12] который работает на компьютерах x86 Windows, Mac и Linux.

Штрих-коды

CAC имеет два типа штрих-кодов: PDF417 спереди и Код 39 в тылу.

PDF417 Штрих-код спонсора

PDF417 зависимый штрих-код

RFID технология

В RFID также есть некоторые риски для безопасности. Чтобы предотвратить кражу информации в RFID, в ноябре 2010 года Министерству обороны было доставлено 2,5 миллиона радиочастотных экранирующих гильз, а еще примерно 1,7 миллиона должны были быть доставлены в январе 2011 года.^[13] Офисы RAPIDS ID по всему миру обязаны выдавать конверт с каждым CAC.^[13] Когда CAC помещается в держатель вместе с другими RFID-картами, это также может вызвать проблемы, такие как попытка открыть дверь с помощью карты доступа, когда она находится в том же держателе, что и CAC. Несмотря на эти проблемы, по крайней мере одна гражданская организация, NOAA, использует технологию RFID для доступа к объектам по всей стране. Доступ обычно предоставляется после того, как сначала удалите CAC из радиозащитного экрана, а затем поднесите его к считывателю, установленному на стене или расположенному на подставке.^[14] Как только CAC аутентифицируется на локальном сервере безопасности, либо дверь откроется, либо охранникам будет показан сигнал о предоставлении доступа к объекту.

Общие проблемы

ICC хрупкая, и регулярный износ может сделать ее непригодной для использования. Старые карты, как правило, расслаиваются при повторной вставке / извлечении из считывающих устройств, но эта проблема, по-видимому, менее значительна с более новыми (PIV -соответствующие) карты. Кроме того, золотые контакты на ICC могут загрязниться и потребовать очистки растворители или резиновый ластик для карандашей.

Для исправления или замены CAC обычно требуется доступ к БЫСТРЫЕ объект, вызывающий некоторые практические проблемы. В удаленных местах по всему миру без прямого доступа в Интернет или физического доступа к объекту RAPIDS, CAC становится бесполезным, если срок действия карты истекает или достигается максимальное количество повторных попыток ввода PIN-кода. Исходя из правил использования CAC, пользователь на TAD / TDY должен посетить учреждение RAPIDS, чтобы заменить или разблокировать CAC, обычно требуя поездки в другое географическое место или даже возвращения домой. ЦУП САС^[15] также создала рабочую станцию ​​сброса CAC PIN, способную сбрасывать заблокированный PIN CAC.

Для некоторых сетей DoD Active Directory (AD) используется для аутентификации пользователей. Доступ к родительскому Active Directory компьютера требуется при первой попытке аутентификации с помощью CAC для данного компьютера. Использование, например, портативного компьютера, замененного в полевых условиях, который не был подготовлен с помощью CAC пользователя перед отправкой, было бы невозможно использовать без предварительного прямого доступа к Active Directory в какой-либо форме. Другие средства защиты включают установление контакта с интрасетью с использованием общедоступного широкополосного Интернета, а затем VPN в интранет или даже спутниковый доступ в Интернет через VSAT в местах, где нет связи, например, в месте стихийного бедствия.

Смотрите также

Рекомендации

внешняя ссылка

• «Справочный центр АКО ЦАС». us.army.mil.
• «CAC: карта общего доступа». cac.mil.
• «Помощь в установке CAC и устранение неисправностей для домашнего компьютера или персонального ноутбука». Militarycac.com.
• «Центр обработки данных о кадрах обороны». dmdc.osd.mil.
• «Локатор сайтов RAPIDS». dmdc.osd.mil.