Карта общего доступа

Стандартная идентификация для действующих военнослужащих Вооруженных сил США

Карта общего доступа (CAC).

Карта общего доступа , также обычно называемая CAC , является стандартной идентификацией для действующего военного персонала США. Сама карта представляет собой смарт-карту размером с кредитную карту. ^[1] К военнослужащим, использующим CAC, относятся Отборный резерв и Национальная гвардия , гражданские служащие Министерства обороны США (DoD), гражданские служащие Береговой охраны США (USCG) и имеющий на это право персонал подрядчиков DoD и USCG. ^[1] Это также основная карта, используемая для обеспечения физического доступа в здания и контролируемые помещения, а также она обеспечивает доступ к оборонным компьютерным сетям и системам. Она также служит идентификационной картой в соответствии с Женевскими конвенциями (особенно Третьей Женевской конвенцией ). В сочетании с персональным идентификационным номером CAC удовлетворяет требованиям двухфакторной аутентификации : то, что пользователь знает, в сочетании с тем, что у пользователя есть. CAC также удовлетворяет требованиям к технологиям цифровой подписи и шифрования данных : аутентификация, целостность и неотказуемость .

CAC является контролируемым товаром. По состоянию на 2008 год ^{[ требуется обновление ]} Министерство обороны выпустило более 17 миллионов смарт-карт. Это число включает повторные выпуски для учета изменений имени, ранга или статуса, а также для замены утерянных или украденных карт. По состоянию на ту же дату в обращении находится около 3,5 миллионов нерасторгнутых или активных CAC. Министерство обороны развернуло инфраструктуру выпуска на более чем 1000 площадках в более чем 25 странах по всему миру и развертывает более миллиона считывателей карт и связанного с ними промежуточного программного обеспечения. ^{[ когда? ]}

Выдача

CAC выдается действующим военнослужащим Вооруженных сил США (регулярным, резервным и Национальной гвардии) в Министерстве обороны и Береговой охране США; гражданским лицам Министерства обороны; гражданским лицам Береговой охраны США; не являющимся сотрудниками Министерства обороны/другими государственными служащими и государственными служащими Национальной гвардии; а также соответствующим подрядчикам Министерства обороны и Береговой охраны США, которым необходим доступ к объектам Министерства обороны или Береговой охраны США и/или к компьютерным сетевым системам Министерства обороны:

• Действующие военнослужащие Вооружённых сил США (включая курсантов и гардемаринов Военных академий США)
• Резервисты Вооружённых сил США
• Национальная гвардия (армейская Национальная гвардия и воздушная Национальная гвардия) — военнослужащие Вооружённых сил США.
• Национальное управление океанических и атмосферных исследований
• Национальное управление по аэронавтике и исследованию космического пространства
• Служба общественного здравоохранения США
• Сотрудники, работающие в чрезвычайных ситуациях
• Сотрудники подрядчика на случай непредвиденных обстоятельств
• Курсанты и гардемарины колледжей и университетов, работающие по контракту
• Гражданские лица, дислоцированные за рубежом
• Нестроевой персонал
• Гражданские лица Министерства обороны/военнослужащие, проживающие на военных объектах в Континенте США , на Гавайях , Аляске , Пуэрто-Рико или Гуаме
• Гражданские лица Министерства обороны/силовых структур или гражданские лица, работающие по контракту, проживающие в иностранном государстве не менее 365 дней
• Кандидатуры президентских назначенцев одобрены Сенатом США
• Гражданские служащие Министерства обороны США и ветераны вооруженных сил США, имеющие рейтинг инвалидности по классификации Министерства по делам ветеранов 100% P&T
• Сотрудники подрядчиков DoD и USCG, имеющие право на участие
• Не являющиеся сотрудниками Министерства обороны/другого правительства и государственных служащих Национальной гвардии

В планах на будущее — возможность хранения дополнительной информации посредством внедрения RFID- чипов или других бесконтактных технологий, которые обеспечат беспрепятственный доступ к объектам Министерства обороны.

Программа, которая в настоящее время используется для выдачи идентификаторов CAC, называется Real-Time Automated Personnel Identification System (RAPIDS). RAPIDS взаимодействует с Joint Personnel Adjudication System (JPAS) и использует эту систему для проверки того, что кандидат прошел проверку биографических данных и проверку отпечатков пальцев ФБР. Для подачи заявления на получение CAC необходимо заполнить форму DoD 1172-2 и затем подать ее в RAPIDS.

Система защищена и постоянно контролируется Министерством обороны. Различные сайты RAPIDS были созданы на военных объектах в зоне боевых действий и за ее пределами для выпуска новых карт.

Дизайн

На лицевой стороне карты на заднем плане изображена фраза «МИНИСТЕРСТВО ОБОРОНЫ США», повторяющаяся по всей карте. Цветная фотография держателя карты расположена в верхнем левом углу. Под фотографией указано имя держателя карты. В правом верхнем углу указана дата истечения срока действия. Другая информация на лицевой стороне включает (если применимо) данные держателя: уровень заработной платы , звание и федеральный идентификатор. Сложенный штрихкод PDF417 расположен в нижнем левом углу. Интегральная микросхема (ICC) расположена в нижней средней части лицевой стороны карты.

На лицевой стороне CAC используются три цветовые схемы кодирования. Синяя полоса поперек имени держателя показывает, что держатель карты не является гражданином США. Зеленая полоса показывает, что держатель карты является подрядчиком. Отсутствие полосы указывает на весь остальной персонал, включая военнослужащих и гражданских служащих, среди прочих.

На обратной стороне карты есть фантомное изображение владельца карты. Если применимо, карта также содержит дату рождения, группу крови, номер пособий DoD, категорию Женевской конвенции и идентификационный номер DoD владельца (также используемый как номер Женевской конвенции, заменяющий ранее используемый номер социального страхования). Номер DoD также известен как идентификатор личности электронного обмена данными (EDIPI). Штрих- код Code 39 и магнитная полоса находятся вверху и внизу карты соответственно. Номер DoD ID/EDIPI владельца карты является постоянным на протяжении всей его или ее карьеры в DoD или USCG, независимо от департамента или подразделения. Аналогичным образом, постоянный номер следует за отставными военнослужащими США, которые впоследствии становятся гражданскими лицами DoD или USCG или подрядчиками DoD или USCG, которым нужна карта. Кроме того, для супругов, не являющихся военнослужащими, бывших супругов, не состоявших в браке, а также вдов/вдовцов действующих, резервных или отставных военнослужащих США, которые сами стали гражданскими лицами Министерства обороны или Береговой охраны США или подрядчиками Министерства обороны или Береговой охраны США, номер удостоверения личности/EDIPI Министерства обороны в их CAC будет таким же, как в их карте привилегий и удостоверения личности военнослужащего DD 1173 (например, удостоверении личности иждивенца).

Лицевая сторона CAC полностью ламинирована, а задняя часть ламинирована только в нижней половине (чтобы избежать помех для магнитной полосы). ^[2]

Считается, что CAC устойчив к мошенничеству с идентификационными данными, ^[3] подделке, подделке и эксплуатации и предоставляет электронные средства быстрой аутентификации.

В настоящее время существует четыре различных варианта CAC. ^[1] Удостоверение личности Женевской конвенции является наиболее распространенным CAC и выдается действующим военнослужащим/резервистам вооруженных сил и военнослужащим в форме. Карточка сопровождения сил Женевской конвенции выдается гражданскому персоналу, необходимому для чрезвычайных ситуаций. Карта удостоверения личности и общего доступа привилегий предназначена для гражданских лиц, проживающих на военных объектах. Удостоверение личности предназначено для идентификации гражданских служащих Министерством обороны/правительственным агентством.

Шифрование

До 2008 года все сертификаты CAC были зашифрованы с использованием 1024-битного шифрования. Начиная с 2008 года Министерство обороны перешло на 2048-битное шифрование. ^[4] Персонал со старыми сертификатами CAC должен был получить новые сертификаты CAC к установленному сроку. ^[4] 1 октября 2012 года все сертификаты, зашифрованные с использованием менее 2048 бит, были переведены в статус отозванных, что сделало устаревшие сертификаты CAC бесполезными, за исключением визуальной идентификации. ^[4]

Использование

CAC разработан для обеспечения двухфакторной аутентификации : то, что у вас есть (физическая карта) и то, что вы знаете ( PIN-код ). Эта технология CAC обеспечивает быструю аутентификацию и повышенную физическую и логическую безопасность. Карту можно использовать различными способами.

Визуальная идентификация

CAC может использоваться для визуальной идентификации путем сопоставления цветной фотографии с владельцем. Это используется, когда пользователь проходит через охраняемые ворота или покупает товары в магазине, такие как PX/BX, которые требуют уровня привилегий для использования объекта. Некоторые штаты разрешают использовать CAC в качестве выданного правительством удостоверения личности, например, для голосования или подачи заявления на получение водительских прав.

Магнитная полоса

Магнитную полосу можно считать, проведя картой через считыватель магнитных полос, как кредитную карту. Магнитная полоса на самом деле пуста, когда выдается CAC. Однако ее использование зарезервировано для локализованных систем физической безопасности. ^[5] Магнитная полоса была удалена в первом квартале 2018 года. ^[6]

Интегральная микросхема (ИСМ)

Интегральная микросхема (ICC) содержит информацию о владельце, включая PIN-код и один или несколько цифровых сертификатов PKI . ICC поставляется в разных объемах, более поздние версии выпускаются на 64 и 144 килобайта (КБ). ^{[ необходима цитата ]}

CAC можно использовать для доступа к компьютерам и сетям, оборудованным одним или несколькими из множества считывателей смарт-карт . После того, как устройство вставлено в считыватель, оно запрашивает у пользователя PIN-код. После ввода PIN-кода он сопоставляется с сохраненным PIN-кодом на CAC. В случае успеха номер EDIPI считывается с сертификата ID на карте, а затем отправляется в систему обработки, где номер EDIPI сопоставляется с системой контроля доступа, такой как Active Directory или LDAP . Стандарт DoD заключается в том, что после трех неправильных попыток ввода PIN-кода чип на CAC блокируется.

Номер EDIPI хранится в сертификате PKI. В зависимости от владельца CAC содержит один или три сертификата PKI. Если CAC используется только для целей идентификации, достаточно сертификата ID. Однако для доступа к компьютеру, подписания документа или шифрования электронной почты также требуются сертификаты подписи и шифрования.

CAC работает практически во всех современных операционных системах. Помимо считывателя, для чтения и обработки CAC также требуются драйверы и промежуточное ПО. Единственным одобренным промежуточным ПО Microsoft Windows для CAC является ActivClient, доступный только уполномоченному персоналу DoD. Другие альтернативы, отличные от Windows, включают LPS-Public — решение, не основанное на жестком диске.

DISA теперь требует, чтобы все сайты интрасети DoD обеспечивали аутентификацию пользователя с помощью CAC для доступа к сайту. Системы аутентификации различаются в зависимости от типа системы, например Active Directory , RADIUS или другой список контроля доступа .

CAC основан на сертификатах X.509 с программным промежуточным программным обеспечением, позволяющим операционной системе взаимодействовать с картой через аппаратный считыватель карт. Хотя производители карт, такие как Schlumberger, предоставили набор смарт-карт, аппаратный считыватель карт и промежуточное программное обеспечение как для Linux , так и для Windows , не все другие системные интеграторы CAC сделали то же самое. В попытке исправить эту ситуацию Apple Federal Systems проделала работу по добавлению некоторой поддержки карт общего доступа в свои более поздние обновления операционной системы Snow Leopard из коробки с помощью проекта MUSCLE (Движение за использование смарт-карт в среде Linux). Процедура для этого была исторически задокументирована Военно -морской аспирантурой в публикации «CAC на Mac» ^[7], хотя сегодня школа использует коммерческое программное обеспечение. По данным независимых военных тестировщиков и справочных служб, не все карты поддерживаются открытым исходным кодом, связанным с работой Apple, в частности недавние карты CACNG или CAC-NG PIV II CAC. ^[8] Сторонняя поддержка карт CAC на Mac доступна от таких поставщиков, как Centrify и Thursby Software. ^[9] Федеральное инженерное управление Apple предлагает не использовать встроенную поддержку в Mac OS X 10.6 Snow Leopard ^[10], а вместо этого поддерживать сторонние решения. Mac OS X 10.7 Lion не имеет собственной поддержки смарт-карт. Программное обеспечение Thursby PKard для iOS расширяет поддержку CAC на Apple iPad и iPhone. Некоторая работа также была проделана в области Linux. Некоторые пользователи используют проект MUSCLE в сочетании с программным обеспечением Apple Public Source Licensed Common Access Card от Apple. Другой подход к решению этой проблемы, который теперь хорошо документирован, включает использование нового проекта CoolKey ^[11] для получения функциональности Common Access Card. Этот документ доступен для общественности в Отделении динамики океана и прогнозов Военно-морской исследовательской лаборатории . ^[12]

Штрих-коды

CAC имеет два типа штрих-кодов: PDF417 на передней стороне и Code 39 на задней стороне.

Штрих-код спонсора PDF417

Зависимый штрих-код PDF417

RFID-технология

Также существуют некоторые риски безопасности в RFID. Чтобы предотвратить кражу информации в RFID, в ноябре 2010 года в Министерство обороны было поставлено 2,5 миллиона защитных рукавов для радиочастот, а еще около 1,7 миллиона должны были быть поставлены в январе 2011 года. ^[13] Офисы RAPIDS ID по всему миру обязаны выдавать рукав с каждой картой CAC. ^[13] Когда CAC помещается в держатель вместе с другими картами RFID, это также может вызвать проблемы, такие как попытка открыть дверь с помощью карты доступа, когда она находится в том же держателе, что и CAC. Несмотря на эти проблемы, по крайней мере одна гражданская организация, NOAA, использует технологию RFID для доступа к объектам по всей стране. Доступ обычно предоставляется после того, как сначала извлекается CAC из экрана RF, а затем подносится к считывателю, установленному на стене или расположенному на пьедестале. После аутентификации CAC на локальном сервере безопасности либо дверь открывается, либо охранникам отображается сигнал для предоставления доступа на объект.

Распространенные проблемы

ICC хрупкая, и регулярный износ может сделать карту непригодной для использования. Старые карты имеют тенденцию к расслаиванию при многократной вставке/вытаскивании из считывателей, но эта проблема, по-видимому, менее существенна для новых карт ( совместимых с PIV ). Кроме того, золотые контакты на ICC могут загрязняться и требуют очистки либо растворителями , либо резиновым ластиком.

Для исправления или замены CAC обычно требуется доступ к инфраструктуре RAPIDS , что вызывает некоторые практические проблемы. В отдаленных местах по всему миру без прямого доступа к Интернету или физического доступа к инфраструктуре RAPIDS CAC становится бесполезным, если истекает срок действия карты или достигается максимальное количество повторных попыток ввода PIN-кода. Согласно правилам использования CAC, пользователь TAD / TDY должен посетить инфраструктуру RAPIDS, чтобы заменить или разблокировать CAC, что обычно требует поездки в другое географическое местоположение или даже возвращения домой. CAC PMO ^[14] также создал рабочую станцию ​​CAC PIN Reset, способную сбрасывать заблокированный CAC PIN-код.

Для некоторых сетей DoD Active Directory (AD) используется для аутентификации пользователей. Доступ к родительскому Active Directory компьютера требуется при попытке аутентификации с помощью CAC для данного компьютера в первый раз. Использование, например, замененного в полевых условиях ноутбука, который не был подготовлен с CAC пользователя перед отправкой, было бы невозможно без какой-либо формы прямого доступа к Active Directory заранее. Другие средства включают установление контакта с интрасетью с помощью общедоступного широкополосного Интернета и затем VPN к интрасети или даже спутниковый доступ к Интернету через систему VSAT в местах, где телекоммуникации недоступны, например, в местах стихийных бедствий.

Смотрите также

• Значок доступа
• Учетные данные
• Персональный идентификатор электронного обмена данными
• ФИПС 201 (ПИВ)
• Документ, удостоверяющий личность
• Ключ-карта
• Карта с магнитной полосой
• Физическая безопасность
• Бесконтактная карта
• Проведите картой
• Удостоверение личности работника транспорта
• Удостоверение личности и привилегии военнослужащего вооруженных сил США

Ссылки

1. "COMMON ACCESS CARD (CAC)". Министерство обороны США . Получено 18 января 2017 г.
2. «Производство карт общего доступа (CAC) в центральном пункте выдачи — Возможности федерального бизнеса: Возможности».
3. Министерство обороны США исключит номера социального страхования из удостоверений личности
4. AirForceTimes. "404 - AirForceTimes". {{cite web}}: Цитата использует общее название ( помощь )
5. "Статьи CHIPS: Доступ одобрен: Биометрия и смарт-карты открывают двери к повышению эффективности". Архивировано из оригинала 2014-07-14.
6. "УДАЛЕНИЕ МАГНИТНОЙ ПОЛОСЫ ИЗ КАРТ ОБЩЕГО ДОСТУПА DOD" (PDF) . Архивировано из оригинала (PDF) 2022-03-19 . Получено 2021-11-11 .
7. cisr. "CISR - Publications - Technical Reports". Архивировано из оригинала 2006-09-04 . Получено 2006-09-17 .
8. "Целевая страница поддержки Mac OS X от MilitaryCAC".
9. "Thursby Software - Обеспечение безопасности корпоративной и личной мобильности". Thursby Software Systems, Inc.
10. "Re: [Fed-Talk] Pkinit работает на Snow Leopard, но нужен пересылаемый TGT". Архивировано из оригинала 2014-02-22 . Получено 2011-05-09 .
11. "389 Directory Server (Open Source LDAP)". Архивировано из оригинала 2012-11-26 . Получено 2013-02-12 .
12. "Архивная копия" (PDF) . Архивировано из оригинала (PDF) 2015-07-15 . Получено 2009-09-09 .{{cite web}}: CS1 maint: archived copy as title (link)
13. "Министерство обороны заказало у National Laminating щиты от радиочастот - SecureIDNews". SecureIDNews .
14. Военно-морской CAC PMO

Внешние ссылки

• «Справочный центр АКО ЦАС». us.army.mil .^{[ постоянная мертвая ссылка ]}
• "CAC: Карта общего доступа". cac.mil .
• «Помощь в установке и устранении неисправностей CAC для вашего домашнего компьютера или персонального ноутбука». militarycac.com .
• «Центр данных по личному составу вооруженных сил». dmdc.osd.mil .
• "RAPIDS Site Locator". dmdc.osd.mil . Архивировано из оригинала 2007-05-28 . Получено 2007-05-30 .