 | Эта статья требует дополнительных ссылок для проверки . ( декабрь 2009 г. ) ( Узнайте, как и когда удалить этот шаблон сообщения ) |
Карта общего доступа , также обычно называемая CAC, представляет собой смарт-карту размером с кредитную карту. [1] Это стандартное удостоверение личности действующего военного персонала США, включая избранных резервов и национальной гвардии , гражданских служащих Министерства обороны США (DoD), гражданских служащих береговой охраны США (USCG), а также соответствующих требованиям DoD и USCG. персонал подрядчика. [1]Это также основная карта, используемая для обеспечения физического доступа к зданиям и контролируемым пространствам, и она обеспечивает доступ к компьютерным сетям и системам защиты. Он также служит удостоверением личности в соответствии с Женевскими конвенциями (особенно Третьей Женевской конвенцией ). В сочетании с персональным идентификационным номером CAC удовлетворяет требованию двухфакторной аутентификации : то, что пользователь знает, в сочетании с тем, что есть у пользователя. CAC также удовлетворяет требованиям к технологиям цифровой подписи и шифрования данных: аутентификации, целостности и неотказуемости .
CAC - это контролируемый элемент. По состоянию на 2008 год Министерство обороны выпустило более 17 миллионов смарт-карт. Это количество включает переиздания для учета изменений имени, звания или статуса, а также для замены утерянных или украденных карт. По состоянию на ту же дату в обращении находится примерно 3,5 миллиона незавершенных или активных CAC. Министерство обороны развернуло инфраструктуру выдачи на более чем 1000 площадок в более чем 25 странах по всему миру и развернуло более миллиона устройств чтения карт и связанное с ними промежуточное ПО.
Выпуск [ править ]
CAC выдается действующим вооруженным силам США (регулярным, резервным и национальной гвардии) в Министерстве обороны и береговой охране США; Гражданские лица МО; Гражданские лица USCG; служащие, не относящиеся к Министерству обороны / другие государственные служащие и государственные служащие Национальной гвардии; и подходящие подрядчики DoD и USCG, которым необходим доступ к объектам DoD или USCG и / или компьютерным сетевым системам DoD:
- Вооруженные силы США на действительной службе (включая кадетов и гардемаринов академий службы США)
- Резервные члены вооруженных сил США
- Национальная гвардия (армия, национальная гвардия и воздушная национальная гвардия) военнослужащие вооруженных сил США
- Национальное управление океанических и атмосферных исследований
- Служба общественного здравоохранения США
- Сотрудники службы экстренной помощи
- Сотрудники подрядчика на случай непредвиденных обстоятельств
- Контрактные кадеты и гардемарины ROTC колледжей и университетов
- Развернутые гражданские лица за рубежом
- Небоевой персонал
- МО / гражданские лица военной службы, проживающие на военных объектах в Конусе , Гавайях , Аляске , Пуэрто-Рико или Гуаме
- Министерство обороны / гражданские лица военной службы или гражданские лица по контракту, проживающие в другой стране не менее 365 дней
- Назначения президента утверждены Сенатом США
- Гражданские служащие Министерства обороны США и ветераны вооруженных сил США с рейтингом инвалидности по делам ветеранов 100% P&T
- Соответствующие требованиям сотрудники подрядчиков Министерства обороны США и USCG
- Государственные и государственные служащие Национальной гвардии, не относящиеся к Министерству обороны США
В планы на будущее входит возможность хранить дополнительную информацию с помощью чипов RFID или другой бесконтактной технологии, чтобы обеспечить беспрепятственный доступ к объектам DoD.
Программа, которая в настоящее время используется для выдачи идентификаторов CAC, называется Автоматизированной системой идентификации персонала в реальном времени (RAPIDS). RAPIDS взаимодействует с Объединенной системой рассмотрения споров по персоналу (JPAS) и использует эту систему для проверки того, что кандидат прошел предварительное расследование и проверку отпечатков пальцев ФБР. Для подачи заявки на CAC необходимо заполнить форму DoD 1172-2, а затем подать ее в RAPIDS.
Система защищена и постоянно контролируется Министерством обороны. На военных объектах на театре боевых действий и за его пределами были созданы различные сайты RAPIDS для выпуска новых карт.
Дизайн [ править ]
На лицевой стороне карточки на заднем плане изображена фраза «ДЕПАРТАМЕНТ ОБОРОНЫ США», повторяющаяся на карточке. В левом верхнем углу размещается цветное фото владельца. Под фото - имя владельца. В правом верхнем углу отображается срок годности. Другая информация на лицевой стороне включает (если применимо) уровень заработной платы владельца , звание и федеральный идентификатор. PDF417 сложены двумерный штрихкод отображается в левом нижнем углу. И микросхема интегральной схемы (ICC) размещается ближе к центру снизу карты.
На передней панели CAC используются три схемы цветового кода. Синяя полоса напротив имени владельца показывает, что владелец не является гражданином США. Зеленая полоса показывает, что владелец - подрядчик. Для всего остального персонала, включая военнослужащих и гражданских служащих, среди прочего, запреты запрещены.
На оборотной стороне карты есть призрачное изображение владельца. И, если применимо, карта также содержит дату рождения, группу крови, номер пособия Министерства обороны, категорию Женевской конвенции и идентификационный номер Министерства обороны (также используется в качестве номера Женевской конвенции, заменяя ранее использованный номер социального страхования). Номер DoD также известен как персональный идентификатор электронного обмена данными (EDIPI). Code 39линейный штрих-код, а также магнитная полоса размещается сверху и снизу карты. Номер DoD ID / EDIPI остается у владельца на протяжении всей его карьеры в DoD или USCG, даже когда он или она меняет вооруженные силы или другие подразделения в DoD или USCG. Для вышедших на пенсию военнослужащих США, которые впоследствии становятся гражданскими лицами DoD или USCG, или подрядчиками DoD или USCG, ID DoD / номер EDIPI в их CAC будет таким же, как в их ID-карте DD Form 2. Для невоенных супругов, не состоящих в повторном браке бывших супругов и вдов / вдовцов действующих, резервных или вышедших на пенсию военнослужащих США, которые сами становятся гражданскими лицами DoD или USCG или подрядчиками DoD или USCG, ID / EDIPI-номер DoD в их CAC будет таким же, как на их удостоверении личности и привилегиях службы униформы DD 1173 (например, удостоверении личности иждивенца).
Передняя часть CAC полностью ламинирована, в то время как задняя часть ламинирована только в нижней половине (во избежание столкновения с магнитной полосой). [2]
Считается, что CAC устойчив к подделке личных данных, [3] подделке, подделке и эксплуатации и предоставляет электронные средства быстрой аутентификации.
В настоящее время существует четыре различных варианта CAC. [1] Удостоверение личности по Женевской конвенции является наиболее распространенным CAC и выдается военнослужащим действующей службы / резервных вооруженных сил и военнослужащим в форме. Карточка сопровождающих сил Женевской конвенции выдается гражданскому персоналу, необходимому в чрезвычайных ситуациях. ID и карта привилегированного доступа предназначены для гражданских лиц, проживающих на военных объектах. Удостоверение личности предназначено для идентификации Министерства обороны США / Государственного агентства для гражданских служащих.
Шифрование [ править ]
До 2008 года все CAC были зашифрованы с использованием 1024-битного шифрования. С 2008 года Министерство обороны перешло на 2048-битное шифрование. [4] Персонал со старыми CAC должен был получить новые CAC к установленному сроку. [4] 1 октября 2012 г. все сертификаты, зашифрованные с использованием менее 2048 битов, были переведены в статус отзыва, что сделало устаревшие CAC бесполезными, за исключением визуальной идентификации. [4]
Использование [ править ]
CAC предназначен для обеспечения двухфакторной аутентификации : то, что у вас есть (физическая карта), и то, что вы знаете ( PIN-код ). Эта технология CAC обеспечивает быструю аутентификацию и улучшенную физическую и логическую безопасность. Карту можно использовать по-разному.
Визуальная идентификация [ править ]
CAC можно использовать для визуальной идентификации путем сопоставления цветной фотографии с владельцем. Это используется, когда пользователь проходит через охраняемые ворота или покупает предметы в магазине, например PX / BX, для которых требуется определенный уровень привилегий для использования объекта. В некоторых штатах разрешено использование CAC в качестве удостоверения личности государственного образца, например, для голосования или подачи заявления на получение водительских прав.
Магнитная полоса [ править ]
Магнитная полоса может быть считана путем считывания карты через считыватель магнитных полосок, так же, как кредитная карта. Магнитная полоса фактически пуста, когда выдается CAC. Однако его использование зарезервировано для локализованных систем физической безопасности. [5]
Микросхема интегральной схемы (ICC) [ править ]
Микросхема интегральной схемы (ICC) содержит информацию о владельце, включая PIN-код и один или несколько цифровых сертификатов PKI . ICC имеет разную емкость, более поздние версии имеют размер 64 и 144 килобайта (КБ). [ необходима цитата ]
CAC можно использовать для доступа к компьютерам и сетям, оборудованным одним или несколькими из множества считывателей смарт-карт . После вставки в считыватель устройство запрашивает у пользователя PIN-код. После ввода PIN-кода он совпадает с PIN-кодом, сохраненным в CAC. В случае успеха номер EDIPI считывается с сертификата идентификатора на карте, а затем отправляется в систему обработки, где номер EDIPI сопоставляется с системой контроля доступа, такой как Active Directory или LDAP . Стандарт Министерства обороны США заключается в том, что после трех неправильных попыток ввода PIN-кода чип на CAC блокируется.
Номер EDIPI хранится в сертификате PKI. В зависимости от владельца CAC содержит один или три сертификата PKI. Если CAC используется только для целей идентификации, сертификат ID - это все, что требуется. Однако для доступа к компьютеру, подписи документа или шифрования электронной почты также требуются сертификаты подписи и шифрования.
CAC работает практически во всех современных компьютерных операционных системах. Помимо считывателя, для чтения и обработки CAC также требуются драйверы и промежуточное программное обеспечение. Единственным утвержденным промежуточным программным обеспечением Microsoft Windows для CAC является ActivClient, доступный только авторизованному персоналу Министерства обороны США. Другие альтернативы, отличные от Windows, включают LPS-Public - решение без жесткого диска.
DISA теперь требует, чтобы все сайты интрасети на основе DoD обеспечивали аутентификацию пользователей посредством CAC для доступа к сайту. Системы аутентификации различаются в зависимости от типа системы, например Active Directory , RADIUS или другого списка управления доступом .
CAC основан на сертификатах X.509 с промежуточным программным обеспечением, позволяющим операционной системе взаимодействовать с картой через аппаратное устройство чтения карт. Хотя производители карт, такие как Schlumberger, предоставили набор смарт-карт, аппаратных устройств чтения карт и промежуточного программного обеспечения как для Linux, так и для Windows , не все другие системные интеграторы CAC сделали то же самое. Пытаясь исправить эту ситуацию, Apple Federal Systems проделала работу по добавлению поддержки карт общего доступа в свои более поздние обновления операционной системы Snow Leopard из коробки, используя проект MUSCLE (Движение за использование смарт-карт в среде Linux). . Процедура для этого была исторически задокументирована Военно-морской аспирантурой.в публикации «CAC на Mac» [6], хотя сегодня школа использует коммерческое программное обеспечение. По словам независимых военных испытателей и справочных служб, не все карты поддерживаются открытым исходным кодом, связанным с работой Apple, особенно недавние карты CACNG или CAC-NG PIV II CAC. [7] Сторонняя поддержка карт CAC на Mac предоставляется такими поставщиками, как Centrify и THSBY Software. [8] Федеральное инженерное управление Apple предлагает не использовать встроенную поддержку в Mac OS X 10.6 Snow Leopard [9]но вместо этого поддерживал сторонние решения. В Mac OS X 10.7 Lion нет встроенной поддержки смарт-карт. Программное обеспечение PKard для iOS от Терсби расширяет поддержку CAC на Apple iPad и iPhone. Некоторая работа также была проделана в области Linux. Некоторые пользователи используют проект MUSCLE в сочетании с программным обеспечением Apple Apple Public Source Licensed Common Access Card. Другой подход к решению этой проблемы, который сейчас хорошо задокументирован, включает использование нового проекта CoolKey [10] для обеспечения функциональности карты общего доступа. Этот документ находится в открытом доступе в Отделении динамики и прогнозов океана Лаборатории военно-морских исследований . [11] Инициатива защиты программного обеспечения предлагает LiveCD с промежуточным ПО CAC и DoD.сертификат в ориентированной на браузер минимизированной ОС Linux, называемой LPS-Public [12], которая работает на компьютерах x86 Windows, Mac и Linux.
Штрих-коды [ править ]
CAC имеет два типа штрих-кодов: PDF417 спереди и Code 39 сзади.
Штрих-код спонсора PDF417 [ править ]
| Пример значения | Имя поля | Размер | Описание |
|---|---|---|---|
"IDUS" | Идентификационный код | 4 | Спонсорская / зависимая карта |
"3" | Версия штрих-кода | 1 | |
| XX | PDF417 Размер | 2 | |
| Икс | PDF417 Контрольная сумма | 1 | |
| Икс | PDF417 RSразмер | 1 | |
"1" | Флаг спонсора | 1 | 1 = спонсор 0 = зависимый |
"GREATHOUSE, TUYET" | Имя | 27 | В прошлом первый |
"999100096" | Идентификатор лица | 9 | 999-10-0096 |
"1" | Порядковый номер семьи | 1 | |
" " | Зарезервировано для использования в будущем | 9 | |
"00" | ОЛЕНЬ зависимый суффикс | Спонсор v3 | |
"60" | Высота (дюймы) | 2 | 5 '0 " |
"150" | Вес (фунты) | 3 | 150 фунтов |
"RD" | Цвет волос | 2 | BK = черный BR = коричневый BD = блондин RD = красный GY = серый WH = белый BA = лысый OT = другой |
"BR" | Цвет глаз | 2 | BK = черный BR = коричневый HZ = ореховый BL = синий GY = серый GR = зеленый OT = Другое |
"1992OCT31" | Дата рождения | 9 | 19921031 |
"S" | Флаг прямого ухода | 1 | S = Без ограничений |
"M" | Флаг ЧАМПУСА | 1 | M = Гражданское здравоохранение ЧАМПУС |
"Y" | Комиссар флаг | 1 | Y = Допущен и активен |
"Y" | Флаг MWR | 1 | Y = Допущен и активен |
"U" | Обменный флаг | 1 | U = Без ограничений |
"2011OCT31" | Дата вступления в силу CHAMPUS | 9 | 20111031 |
"2057SEP30" | Срок годности CHAMPUS | 9 | 20570930 |
"2RET " | Номер формы | 6 | Форма DD 2 - Пенсионер |
"2011NOV04" | Дата выдачи карты | 9 | 20111104 |
"INDEF " | Дата истечения срока действия карты | 9 | Неопределенный |
"8 " | Защитный код карты | 4 | |
"H" | Код услуги / компонента | 1 | |
"RET " | Статус | 6 | RET = Пенсионер, имеющий право на пенсионное вознаграждение |
"USA " | Отделение предоставления услуг | 5 | США = армия США |
"PVT " | Классифицировать | 6 | PVT = частный |
"E2 " | Уровень оплаты | 4 | |
"I " | Кодекс Женевской конвенции | 3 | |
"UNK" | Группа крови | 3 |
PDF417 зависимый штрих-код [ править ]
| Пример значения | Имя поля | Размер | Описание |
|---|---|---|---|
"IDUS" | Идентификационный код | 4 | Спонсорская / зависимая карта |
| ... | ... | ... | ... |
"0" | Флаг спонсора | 1 | 1 = Спонсор 0 = зависимый |
| ... | ... | ... | ... |
"RET " | Статус спонсора | 6 | RET = Пенсионер, имеющий право на пенсионное вознаграждение |
"USA " | Спонсорское отделение службы | 5 | США = армия США |
"PVT " | Рейтинг спонсора | 6 | PVT = частный |
"E2 " | Спонсорский рейтинг | 4 | |
" TRUMBOLD, ERIC " | Имя спонсора | 27 | |
"999100096" | Идентификатор лица спонсора | 27 | |
"CH" | Отношение | 2 | SP = Супруг CH = Ребенок |
Технология RFID [ править ]
В RFID также есть некоторые риски безопасности. Чтобы предотвратить кражу информации в RFID, в ноябре 2010 года 2,5 миллиона радиочастотных экранирующих гильз были доставлены Министерству обороны, а еще примерно 1,7 миллиона должны были быть доставлены в следующем январе 2011 года. [13] Офисы RAPIDS ID по всему миру должны выдавать рукав с каждым САС. [13]Когда CAC помещается в держатель вместе с другими RFID-картами, это также может вызвать проблемы, такие как попытка открыть дверь с помощью карты доступа, когда она находится в том же держателе, что и CAC. Несмотря на эти проблемы, по крайней мере одна гражданская организация, NOAA, использует технологию RFID для доступа к объектам по всей стране. Доступ обычно предоставляется после того, как сначала удалите CAC из радиозащитного экрана, а затем поднесите его к считывателю, установленному на стене или расположенному на подставке. [14] Как только CAC аутентифицируется на локальном сервере безопасности, либо дверь откроется, либо охранникам будет показан сигнал о предоставлении доступа к объекту.
Общие проблемы [ править ]
ICC хрупкая, и регулярный износ может сделать ее непригодной для использования. Старые карты, как правило, расслаиваются при повторной вставке / извлечении из считывающих устройств, но эта проблема, по-видимому, менее значительна с новыми ( совместимыми с PIV ) картами. Кроме того, золотые контакты на ICC могут загрязняться, и их необходимо очистить растворителями или ластиком для резиновых карандашей.
Для ремонта или замены CAC обычно требуется доступ к объекту RAPIDS , что вызывает некоторые практические проблемы. В удаленных местах по всему миру без прямого доступа в Интернет или физического доступа к объекту RAPIDS, CAC становится бесполезным, если срок действия карты истекает или если достигается максимальное количество повторных попыток ввода PIN-кода. В соответствии с правилами использования CAC, пользователь TAD / TDY должен посетить объект RAPIDS, чтобы заменить или разблокировать CAC, что обычно требует поездки в другое географическое место или даже возвращения в свое домашнее местоположение. CAC PMO [15] также создал рабочую станцию сброса PIN-кода CAC, способную сбрасывать заблокированный PIN-код CAC.
В некоторых сетях DoD для аутентификации пользователей используется Active Directory (AD). Доступ к родительскому Active Directory компьютера требуется при первой попытке аутентификации с помощью CAC для данного компьютера. Использование, например, портативного компьютера, замененного в полевых условиях, который не был подготовлен с помощью CAC пользователя перед отправкой, было бы невозможно использовать без предварительного прямого доступа к Active Directory в какой-либо форме. Другие средства защиты включают установление контакта с интрасетью с использованием общедоступного широкополосного Интернета, а затем VPN с интранетом, или даже спутниковый доступ в Интернет через систему VSAT в местах, где связь недоступна, например, в месте стихийного бедствия.
См. Также [ править ]
- Значок доступа
- Учетные данные
- Персональный идентификатор электронного обмена данными
- FIPS 201 (PIV)
- Удостоверение личности
- Ключ-карта
- Карта с магнитной полосой
- Физическая охрана
- Карта близости
- Проведите карту
- Удостоверение личности транспортного работника
- Привилегия и удостоверение личности военнослужащих силовых структур США
Ссылки [ править ]
- ^ a b c "ОБЩАЯ КАРТА ДОСТУПА (CAC)" . Министерство обороны США . Проверено 18 января 2017 года .
- ^ «Производство карты общего доступа (CAC) Центрального средства выдачи - Возможности для бизнеса на федеральном уровне: возможности» .
- ^ Министерство обороны, чтобы удалить номера социального страхования с удостоверений личности
- ^ а б в AirForceTimes. «404 - AirForceTimes» .
- ^ «Статьи CHIPS: Доступ разрешен: биометрия и смарт-карты открывают двери для повышения эффективности» . Архивировано из оригинала на 2014-07-14.
- ^ циср. «ЦНСИ - Публикации - Технические отчеты» . Архивировано из оригинала на 2006-09-04 . Проверено 17 сентября 2006 .
- ^ "Целевая страница поддержки Mac OS X MilitaryCAC" .
- ^ «Программное обеспечение Терзби - Обеспечение корпоративной и личной мобильности» . Турсби Софтвер Системс, Инк .
- ^ "Re: [Fed-Talk] Pkinit работает над Snow Leopard, но нуждается в пересылаемом TGT" .
- ^ "Архивная копия" . Архивировано из оригинала на 2012-11-26 . Проверено 12 февраля 2013 .CS1 maint: заархивированная копия как заголовок ( ссылка )
- ^ «Архивная копия» (PDF) . Архивировано из оригинального (PDF) 15 июля 2015 года . Проверено 9 сентября 2009 . CS1 maint: заархивированная копия как заголовок ( ссылка )
- ^ "Архивная копия" . Архивировано из оригинала на 2009-11-08 . Проверено 23 ноября 2009 .CS1 maint: заархивированная копия как заголовок ( ссылка )
- ^ a b «Министерство обороны заказывает радиочастотные щиты у компании National Laminating - SecureIDNews» . SecureIDNews .
- ^ https://pedestalpro.com/ . Отсутствует или пусто
|title=( справка ) - ^ ВМС CAC PMO
Внешние ссылки [ править ]
- «Справочный центр АКО ЦАС» . us.army.mil .
- «CAC: Common Access Card» . cac.mil .
- «Помощь в установке CAC и устранение неисправностей для вашего домашнего компьютера или персонального ноутбука» . Militarycac.com .
- «Центр обработки данных о кадрах обороны» . dmdc.osd.mil .
- «Локатор сайтов RAPIDS» . dmdc.osd.mil .
