Карта общего доступа , также обычно называемая CAC , является стандартным удостоверением личности военнослужащих, находящихся на действительной военной службе США. Сама карта представляет собой смарт-карту размером с кредитную карту. [1] К военнослужащим, использующим CAC, относятся выбранный резерв и Национальная гвардия , гражданские служащие Министерства обороны США (DoD), гражданские служащие береговой охраны США (USCG), а также соответствующий требованиям персонал подрядчиков Министерства обороны и USCG. [1] Это также основная карта, используемая для обеспечения физического доступа к зданиям и контролируемым помещениям, а также обеспечивает доступ к компьютерным сетям и системам обороны. Он также служит удостоверением личности в соответствии с Женевскими конвенциями (особенно Третьей Женевской конвенцией ). В сочетании с личным идентификационным номером CAC удовлетворяет требованию двухфакторной аутентификации : то, что пользователь знает, в сочетании с тем, что он имеет. CAC также удовлетворяет требованиям к технологиям цифровой подписи и шифрования данных : аутентификация, целостность и неотказуемость .
CAC является контролируемым элементом. По состоянию на 2008 год [ нужно обновить ] Министерство обороны выпустило более 17 миллионов смарт-карт. В это число входят перевыпуски для учета изменений имени, ранга или статуса, а также для замены утерянных или украденных карт. По состоянию на ту же дату в обращении находится около 3,5 миллионов незавершенных или активных сертификатов CAC. Министерство обороны развернуло инфраструктуру выпуска на более чем 1000 объектах в более чем 25 странах мира и внедряет более одного миллиона устройств считывания карт и соответствующее промежуточное программное обеспечение. [ когда? ]
CAC выдается действующим вооруженным силам США (регулярным, резервным и национальной гвардии) Министерства обороны и Береговой охраны США; гражданские лица Министерства обороны; гражданские лица USCG; не служащие Министерства обороны/другие государственные служащие и государственные служащие Национальной гвардии; и соответствующие подрядчики Министерства обороны и Береговой охраны США, которым необходим доступ к объектам Министерства обороны или Береговой охраны США и/или компьютерным сетевым системам Министерства обороны:
В планы на будущее входит возможность хранить дополнительную информацию за счет использования чипов RFID или других бесконтактных технологий, чтобы обеспечить беспрепятственный доступ к объектам Министерства обороны.
Программа, которая в настоящее время используется для выдачи идентификаторов CAC, называется Автоматизированной системой идентификации персонала в реальном времени (RAPIDS). RAPIDS взаимодействует с Объединенной системой вынесения решений по кадрам (JPAS) и использует эту систему для проверки того, что кандидат прошел проверку биографических данных и проверку отпечатков пальцев ФБР. Для подачи заявки на CAC необходимо заполнить форму DoD 1172-2, а затем подать ее в RAPIDS.
Система безопасна и постоянно контролируется Министерством обороны. На военных объектах на театре боевых действий и за его пределами были созданы различные пункты RAPIDS для выдачи новых карт.
На лицевой стороне карточки на заднем плане изображена фраза «Министерство обороны США», повторяющаяся поперек карточки. В левом верхнем углу размещается цветная фотография владельца карты. Под фотографией указано имя владельца карты. В правом верхнем углу отображается срок годности. Другая информация на лицевой стороне включает (если применимо) уровень заработной платы , звание и федеральный идентификатор владельца . В левом нижнем углу отображается многослойный штрих-код PDF417 . Интегральная микросхема (ICC) расположена в нижней средней части лицевой стороны карты.
На лицевой стороне CAC используются три схемы цветового кодирования. Синяя полоса напротив имени владельца показывает, что владелец карты не является гражданином США. Зеленая полоса показывает, что владелец карты является подрядчиком. Отсутствие полосы указывает на весь остальной персонал, включая, среди прочего, военнослужащих и гражданских служащих.
На обратной стороне карты имеется призрачное изображение владельца карты. Если применимо, карта также содержит дату рождения, группу крови, номер пособия Министерства обороны, категорию Женевской конвенции и идентификационный номер Министерства обороны владельца (также используется в качестве номера Женевской конвенции, заменяя ранее использовавшийся номер социального страхования). Номер Министерства обороны также известен как личный идентификатор электронного обмена данными (EDIPI). Штрих- код Code 39 и магнитная полоса находятся вверху и внизу карты соответственно. Идентификатор Министерства обороны США/номер EDIPI владельца карты является постоянным на протяжении всей его или ее карьеры в Министерстве обороны США или Береговой охраны США, независимо от отдела или подразделения. Аналогичным образом, постоянный номер следует за отставными военнослужащими США, которые впоследствии становятся гражданскими лицами Министерства обороны или Береговой охраны США или подрядчиками Министерства обороны или Береговой охраны США, нуждающимися в карте. Кроме того, для супругов, не являющихся военными, бывших супругов, не состоящих в браке, а также вдов/вдовцов действующих, резервных или вышедших в отставку военнослужащих США, которые сами становятся гражданскими лицами Министерства обороны или USCG или подрядчиками Министерства обороны или USCG, идентификатор DoD/номер EDIPI в их CAC будет то же, что и в их карточке привилегий и удостоверении личности DD 1173 (например, удостоверение личности иждивенца).
Передняя часть CAC полностью ламинирована, а задняя ламинирована только в нижней половине (во избежание помех магнитной полосе). [2]
Сообщается, что CAC устойчив к мошенничеству с личными данными, [3] фальсификации, подделке и эксплуатации и обеспечивает электронные средства быстрой аутентификации.
В настоящее время существует четыре различных варианта CAC. [1] Удостоверение личности Женевских конвенций является наиболее распространенным CAC и выдается действующим/резервным вооруженным силам и военнослужащим. Карта сопровождающих сил Женевской конвенции выдается гражданскому персоналу, работающему в чрезвычайных ситуациях. Карта общего доступа с удостоверением личности и привилегиями предназначена для гражданских лиц, проживающих на военных объектах. Удостоверение личности предназначено для идентификации гражданских служащих в Министерстве обороны/правительственном агентстве.
До 2008 года все CAC шифровались с использованием 1024-битного шифрования. Начиная с 2008 года Министерство обороны перешло на 2048-битное шифрование. [4] Персонал со старыми сертификатами CAC должен был получить новые сертификаты CAC к установленному сроку. [4] 1 октября 2012 г. все сертификаты, зашифрованные длиной менее 2048 бит, были переведены в статус отзыва, что сделало устаревшие сертификаты CAC бесполезными, за исключением визуальной идентификации. [4]
CAC предназначен для обеспечения двухфакторной аутентификации : того, что у вас есть (физическая карта) и того, что вы знаете ( ПИН-код ). Эта технология CAC обеспечивает быструю аутентификацию и повышенную физическую и логическую безопасность. Карту можно использовать разными способами.
CAC можно использовать для визуальной идентификации путем сопоставления цветной фотографии с владельцем. Это используется, когда пользователь проходит через охраняемые ворота или покупает предметы в магазине, такие как PX/BX, для использования которых требуется определенный уровень привилегий. В некоторых штатах разрешено использовать CAC в качестве удостоверения личности государственного образца, например, для голосования или подачи заявления на получение водительских прав.
Магнитную полосу можно прочитать, проведя карту через устройство считывания магнитной полосы, как и кредитную карту. На момент выдачи CAC магнитная полоса фактически пуста. Однако его использование предназначено для локализованных систем физической безопасности. [5] Магнитная полоса была удалена в первом квартале 2018 года. [6]
Интегральная микросхема (ICC) содержит информацию о владельце, включая PIN-код и один или несколько цифровых сертификатов PKI . ICC бывает разной емкости: более поздние версии выпускаются размером 64 и 144 килобайта (КБ). [ нужна цитата ]
CAC можно использовать для доступа к компьютерам и сетям, оснащенным одним или несколькими устройствами чтения смарт-карт . После вставки в считывающее устройство устройство запрашивает у пользователя PIN-код. После ввода ПИН-кода он сопоставляется с ПИН-кодом, сохраненным в CAC. В случае успеха номер EDIPI считывается из идентификационного сертификата на карте, а затем отправляется в систему обработки, где номер EDIPI сопоставляется с системой контроля доступа, такой как Active Directory или LDAP . Стандарт Министерства обороны заключается в том, что после трех попыток неправильного ввода PIN-кода чип CAC блокируется.
Номер EDIPI хранится в сертификате PKI. В зависимости от владельца CAC содержит один или три сертификата PKI. Если CAC используется только в целях идентификации, все, что необходимо, — это удостоверение личности. Однако для доступа к компьютеру, подписания документа или шифрования электронной почты также необходимы сертификаты подписи и шифрования.
CAC работает практически во всех современных компьютерных операционных системах. Помимо устройства чтения, для чтения и обработки CAC также требуются драйверы и промежуточное программное обеспечение. Единственным утвержденным промежуточным программным обеспечением Microsoft Windows для CAC является ActivClient, доступное только авторизованному персоналу Министерства обороны. Другие альтернативы, отличные от Windows, включают LPS-Public — решение без жесткого диска.
DISA теперь требует, чтобы все сайты интрасети на базе Министерства обороны обеспечивали аутентификацию пользователей посредством CAC для доступа к сайту. Системы аутентификации различаются в зависимости от типа системы, например Active Directory , RADIUS или другого списка управления доступом .
CAC основан на сертификатах X.509 с программным промежуточным программным обеспечением, позволяющим операционной системе взаимодействовать с картой через аппаратное устройство считывания карт. Хотя производители карт, такие как Schlumberger, предоставили набор смарт-карт, аппаратных устройств чтения карт и промежуточного программного обеспечения как для Linux , так и для Windows , не все другие системные интеграторы CAC сделали то же самое. Пытаясь исправить эту ситуацию, компания Apple Federal Systems проделала работу по добавлению некоторой поддержки карт общего доступа в свои более поздние обновления операционной системы Snow Leopard «из коробки», используя проект MUSCLE (Движение за использование смарт-карт в среде Linux). . Процедура этого была исторически задокументирована Военно-морской аспирантурой в публикации «CAC на Mac» [7], хотя сегодня школа использует коммерческое программное обеспечение. По данным независимых военных тестеров и справочных служб, не все карты поддерживаются открытым исходным кодом, связанным с работой Apple, особенно недавние карты CACNG или CAC-NG PIV II CAC. [8] Стороннюю поддержку карт CAC на Mac можно получить от таких поставщиков, как Centrify и Thursby Software. [9] Федеральное инженерное управление Apple предлагает не использовать готовую поддержку в Mac OS X 10.6 Snow Leopard [10] , а вместо этого поддерживать решения сторонних производителей. Mac OS X 10.7 Lion не имеет встроенной поддержки смарт-карт. Программное обеспечение PKard для iOS от Thursby расширяет поддержку CAC на Apple iPad и iPhone. Некоторая работа также была проделана в области Linux. Некоторые пользователи используют проект MUSCLE в сочетании с программным обеспечением Apple Public Source Licensed Common Access Card. Другой подход к решению этой проблемы, который сейчас хорошо документирован, предполагает использование нового проекта CoolKey [11] для получения функциональности карты общего доступа. Этот документ находится в открытом доступе в Отделе динамики и прогнозов океана Военно-морской исследовательской лаборатории . [12]
CAC имеет два типа штрих-кодов: PDF417 спереди и Code 39 сзади.
RFID также сопряжен с некоторыми рисками безопасности. Чтобы предотвратить кражу информации с помощью RFID, в ноябре 2010 года Министерству обороны было доставлено 2,5 миллиона чехлов для радиочастотной защиты, а еще примерно 1,7 миллиона должны были быть доставлены в январе 2011 года. [13] Офисы RAPIDS ID по всему миру обязаны выдавать рукав с каждым CAC. [13] Когда CAC помещается в держатель вместе с другими RFID-картами, это также может вызвать проблемы, например, попытку открыть дверь с помощью карты доступа, когда она находится в том же держателе, что и CAC. Несмотря на эти проблемы, по крайней мере одна гражданская организация, NOAA, использует технологию RFID для доступа к объектам по всей стране. Доступ обычно предоставляется после снятия CAC с радиочастотного экрана, а затем поднесения его к считывателю, установленному на стене или на пьедестале. Как только CAC будет аутентифицирован на локальном сервере безопасности, либо дверь откроется, либо охранникам будет показан сигнал о предоставлении доступа на объект.
ICC хрупкий, и регулярный износ может сделать карту непригодной для использования. Старые карты имеют тенденцию расслаиваться при неоднократной вставке/извлечении из считывателя, но эта проблема, по-видимому, менее значительна для новых ( PIV -совместимых) карт. Кроме того, позолоченные контакты ICC могут загрязниться и потребовать очистки растворителями или резиновым ластиком для карандашей.
Для исправления или замены CAC обычно требуется доступ к средству RAPIDS , что вызывает некоторые практические проблемы. В удаленных точках по всему миру, где нет прямого доступа в Интернет или физического доступа к объекту RAPIDS, CAC становится бесполезным, если истекает срок действия карты или достигается максимальное количество повторных попыток ввода PIN-кода. В соответствии с правилами использования CAC пользователь TAD / TDY должен посетить центр RAPIDS, чтобы заменить или разблокировать CAC, что обычно требует поездки в другое географическое место или даже возвращения в свое домашнее местоположение. CAC PMO [14] также создал рабочую станцию сброса PIN-кода CAC, способную сбрасывать заблокированный PIN-код CAC.
В некоторых сетях Министерства обороны для аутентификации пользователей используется Active Directory (AD). Доступ к родительской Active Directory компьютера необходим при первой попытке аутентификации с помощью CAC для данного компьютера. Использование, например, замененного на месте портативного компьютера, на котором перед отправкой не был установлен CAC пользователя, будет невозможно использовать без предварительного прямого доступа к Active Directory в той или иной форме. Другие средства правовой защиты включают установление контакта с интранетом с помощью общедоступного широкополосного Интернета, а затем VPN для доступа к интранету или даже спутниковый доступ в Интернет через систему VSAT в местах, где телекоммуникации недоступны, например, в месте стихийного бедствия.
{{cite web}}: Cite использует общий заголовок ( справка ){{cite web}}: CS1 maint: archived copy as title (link)