Карта общего доступа

Эта статья нуждается в дополнительных цитатах для проверки . Пожалуйста, помогите улучшить эту статью , добавив цитаты на надежные источники . Неиспользованный материал может быть оспорен и удален. Найдите источники:   «Карта общего доступа» — новости   · газеты   · книги   · ученый   · JSTOR ( декабрь 2009 г. ) ( Узнайте, как и когда удалить это сообщение )

Карта общего доступа , также часто называемая CAC , является стандартным удостоверением личности для действующих военнослужащих США. Сама карта представляет собой смарт-карту размером с кредитную карту. ^[1] К военнослужащим, использующим CAC, относятся Отборный резерв и Национальная гвардия , гражданские служащие Министерства обороны США (DoD), гражданские служащие береговой охраны США (USCG), а также соответствующий требованиям персонал подрядчиков Министерства обороны и USCG. ^[1] Это также основная карта, используемая для обеспечения физического доступа к зданиям и контролируемым помещениям, а также доступ к компьютерным сетям и системам обороны. Он также служит удостоверением личности в соответствии с Женевскими конвенциями (особенно Третьей Женевской конвенцией ). В сочетании с личным идентификационным номером CAC удовлетворяет требованию двухфакторной аутентификации : то, что пользователь знает, в сочетании с тем, что он имеет. CAC также удовлетворяет требованиям к технологиям цифровой подписи и шифрования данных : аутентификация, целостность и неотказуемость .

CAC является контролируемым элементом. По состоянию на 2008 год ^{[ нужно обновить ]} Министерство обороны выпустило более 17 миллионов смарт-карт. В это число входят перевыпуски для учета изменений имени, звания или статуса, а также для замены утерянных или украденных карт. По состоянию на ту же дату в обращении находится около 3,5 миллионов незавершенных или активных сертификатов CAC. Министерство обороны развернуло инфраструктуру выпуска на более чем 1000 объектах в более чем 25 странах мира и внедряет более миллиона устройств считывания карт и связанного с ними промежуточного программного обеспечения. ^{[ когда? ]}

CAC выдается действующим вооруженным силам США (регулярным, резервным и национальной гвардии) Министерства обороны и Береговой охраны США; гражданские лица Министерства обороны; гражданские лица USCG; не служащие Министерства обороны/другие государственные служащие и государственные служащие Национальной гвардии; и соответствующие требованиям подрядчики Министерства обороны США и Береговой охраны США, которым необходим доступ к объектам Министерства обороны или Береговой охраны США и/или компьютерным сетевым системам Министерства обороны:

• Действующая служба Вооруженных сил США (включая кадетов и мичманов Военных академий США)
• Члены резерва Вооружённых Сил США
• Члены Национальной гвардии (Армия Национальной гвардии и Воздушная национальная гвардия) Вооруженных сил США.
• Национальное управление океанических и атмосферных исследований
• Национальное управление по аэронавтике и исследованию космического пространства
• Служба общественного здравоохранения США
• Сотрудники экстренной помощи
• Сотрудники подрядчика на случай непредвиденных обстоятельств
• Курсанты и гардемарины ROTC колледжей и университетов по контракту
• Развернутые за рубежом гражданские лица
• Нестроевой персонал
• Гражданские лица Министерства обороны/военнослужащие, проживающие на военных объектах в CONUS , Гавайях , Аляске , Пуэрто-Рико или Гуаме.
• Гражданские лица Министерства обороны/военнослужащие или гражданские лица по контракту, проживающие в зарубежной стране не менее 365 дней.
• Кандидаты президента одобрены Сенатом США
• Гражданские сотрудники Министерства обороны и ветераны вооруженных сил США с рейтингом инвалидности по делам ветеранов 100% P&T.
• Соответствующие требованиям сотрудники подрядчиков Министерства обороны США и Береговой охраны США
• Не служащие Министерства обороны / другие государственные и государственные служащие Национальной гвардии

В планы на будущее входит возможность хранить дополнительную информацию за счет использования чипов RFID или других бесконтактных технологий, чтобы обеспечить беспрепятственный доступ к объектам Министерства обороны.

Программа, которая в настоящее время используется для выдачи идентификаторов CAC, называется Автоматизированной системой идентификации персонала в реальном времени (RAPIDS). RAPIDS взаимодействует с Объединенной системой вынесения решений по кадрам (JPAS) и использует эту систему для проверки того, что кандидат прошел проверку биографических данных и проверку отпечатков пальцев ФБР. Для подачи заявки на CAC необходимо заполнить форму DoD 1172-2, а затем подать ее в RAPIDS.

Система безопасна и постоянно контролируется Министерством обороны. На военных объектах на театре боевых действий и за их пределами были созданы различные пункты RAPIDS для выдачи новых карт.

На лицевой стороне карточки на заднем плане изображена фраза «Министерство обороны США», повторяющаяся поперек карточки. В левом верхнем углу размещается цветная фотография владельца карты. Под фотографией указано имя владельца карты. В правом верхнем углу отображается срок годности. владельца Другая информация на лицевой стороне включает (если применимо) уровень заработной платы , звание и федеральный идентификатор PDF417 . . В левом нижнем углу отображается многослойный штрих-код Интегральная микросхема (ICC) расположена в нижней средней части лицевой стороны карты.

На лицевой стороне CAC используются три схемы цветового кодирования. Синяя полоса напротив имени владельца показывает, что владелец карты не является гражданином США. Зеленая полоса показывает, что владелец карты является подрядчиком. Отсутствие полосы указывает на весь остальной персонал, включая, среди прочего, военнослужащих и гражданских служащих.

На обратной стороне карты имеется призрачное изображение владельца карты. Если применимо, карта также содержит дату рождения, группу крови, номер пособия Министерства обороны, категорию Женевской конвенции и идентификационный номер Министерства обороны владельца (также используется в качестве номера Женевской конвенции, заменяя ранее использовавшийся номер социального страхования). Номер Министерства обороны также известен как личный идентификатор электронного обмена данными (EDIPI). Штрих-код Code 39 и магнитная полоса находятся вверху и внизу карты соответственно. Идентификатор Министерства обороны США/номер EDIPI владельца карты является постоянным на протяжении всей его или ее карьеры в Министерстве обороны США или Береговой охраны США, независимо от отдела или подразделения. Аналогичным образом, постоянный номер следует за отставными военнослужащими США, которые впоследствии становятся гражданскими лицами Министерства обороны или Береговой охраны США или подрядчиками Министерства обороны или Береговой охраны США, нуждающимися в карте. Кроме того, для супругов, не являющихся военными, бывших супругов, не состоящих в браке, а также вдов/вдовцов действующих, резервных или вышедших в отставку военнослужащих США, которые сами становятся гражданскими лицами Министерства обороны или USCG или подрядчиками Министерства обороны или USCG, идентификатор DoD/номер EDIPI в их CAC будет то же, что и в их карточке привилегий и удостоверении личности DD 1173 (например, удостоверение личности иждивенца).

Передняя часть CAC полностью ламинирована, а задняя ламинирована только в нижней половине (во избежание помех магнитной полосе). ^[2]

Говорят, что CAC устойчив к мошенничеству с личными данными. ^[3] фальсификации, подделки и эксплуатации и обеспечивает электронные средства быстрой аутентификации.

В настоящее время существует четыре различных варианта CAC. ^[1] Удостоверение личности Женевских конвенций является наиболее распространенным CAC и выдается действующим/резервным вооруженным силам и военнослужащим. Карта сопровождающих сил Женевской конвенции выдается гражданскому персоналу, работающему в чрезвычайных ситуациях. Карта общего доступа с удостоверением личности и привилегиями предназначена для гражданских лиц, проживающих на военных объектах. Удостоверение личности предназначено для идентификации гражданских служащих в Министерстве обороны/правительственном агентстве.

До 2008 года все CAC шифровались с использованием 1024-битного шифрования. Начиная с 2008 года Министерство обороны перешло на 2048-битное шифрование. ^[4] Персонал со старыми сертификатами CAC должен был получить новые сертификаты CAC к установленному сроку. ^[4] 1 октября 2012 г. все сертификаты, зашифрованные длиной менее 2048 бит, были переведены в статус отзыва, что сделало устаревшие CAC бесполезными, за исключением визуальной идентификации. ^[4]

CAC предназначен для обеспечения двухфакторной аутентификации : того, что у вас есть (физическая карта) и того, что вы знаете ( ПИН-код ). Эта технология CAC обеспечивает быструю аутентификацию и повышенную физическую и логическую безопасность. Карту можно использовать разными способами.

CAC можно использовать для визуальной идентификации путем сопоставления цветной фотографии с владельцем. Это используется, когда пользователь проходит через охраняемые ворота или покупает предметы в магазине, такие как PX/BX, для использования которых требуется определенный уровень привилегий. В некоторых штатах разрешено использовать CAC в качестве удостоверения личности государственного образца, например, для голосования или подачи заявления на получение водительских прав.

Магнитную полосу можно прочитать, проведя карту через устройство считывания магнитной полосы, как и кредитную карту. На момент выдачи CAC магнитная полоса фактически пуста. Однако его использование предназначено для локализованных систем физической безопасности. ^[5] Магнитная полоса была удалена в первом квартале 2018 года. ^[6]

Интегральная микросхема (ICC) содержит информацию о владельце, включая PIN-код и один или несколько PKI цифровых сертификатов . ICC бывает разной емкости: более поздние версии выпускаются размером 64 и 144 килобайта (КБ). ^{[ нужна ссылка ]}

CAC можно использовать для доступа к компьютерам и сетям, оснащенным одним или несколькими устройствами чтения смарт-карт . После вставки в считывающее устройство устройство запрашивает у пользователя PIN-код. После ввода ПИН-кода он сопоставляется с ПИН-кодом, сохраненным в CAC. В случае успеха номер EDIPI считывается из идентификационного сертификата на карте, а затем отправляется в систему обработки, где номер EDIPI сопоставляется с системой контроля доступа, такой как Active Directory или LDAP . Стандарт Министерства обороны заключается в том, что после трех попыток неправильного ввода PIN-кода чип CAC блокируется.

Номер EDIPI хранится в сертификате PKI. В зависимости от владельца CAC содержит один или три сертификата PKI. Если CAC используется только в целях идентификации, все, что необходимо, — это удостоверение личности. Однако для доступа к компьютеру, подписания документа или шифрования электронной почты также необходимы сертификаты подписи и шифрования.

CAC работает практически во всех современных компьютерных операционных системах. Помимо устройства чтения, для чтения и обработки CAC также требуются драйверы и промежуточное программное обеспечение. Единственным утвержденным промежуточным программным обеспечением Microsoft Windows для CAC является ActivClient, доступное только авторизованному персоналу Министерства обороны. Другие альтернативы, отличные от Windows, включают LPS-Public — решение без жесткого диска.

DISA теперь требует, чтобы все сайты интрасети на базе Министерства обороны обеспечивали аутентификацию пользователей посредством CAC для доступа к сайту. Системы аутентификации различаются в зависимости от типа системы, например Active Directory , RADIUS или другого списка управления доступом .

CAC основан на сертификатах X.509 с программным промежуточным программным обеспечением, позволяющим операционной системе взаимодействовать с картой через аппаратное устройство считывания карт. Хотя производители карт, такие как Schlumberger, предоставили набор смарт-карт, аппаратных устройств для чтения карт и промежуточного программного обеспечения как для Linux , так и для Windows , не все другие системные интеграторы CAC сделали то же самое. Пытаясь исправить эту ситуацию, компания Apple Federal Systems проделала работу по добавлению некоторой поддержки карт общего доступа в свои более поздние обновления операционной системы Snow Leopard «из коробки», используя проект MUSCLE (Движение за использование смарт-карт в среде Linux). . Процедура этого была исторически задокументирована Военно-морской аспирантурой в публикации «CAC на Mac». ^[7] хотя сегодня в школе используется коммерческое программное обеспечение. По данным независимых военных тестеров и справочных служб, не все карты поддерживаются открытым исходным кодом, связанным с работой Apple, особенно недавние карты CACNG или CAC-NG PIV II CAC. ^[8] Стороннюю поддержку карт CAC на Mac можно получить от таких поставщиков, как Centrify и Thursby Software. ^[9] Федеральное инженерное управление Apple предлагает не использовать встроенную поддержку в Mac OS X 10.6 Snow Leopard. ^[10] но вместо этого поддерживаются сторонние решения. Mac OS X 10.7 Lion не имеет встроенной поддержки смарт-карт. Программное обеспечение PKard для iOS от Thursby расширяет поддержку CAC на Apple iPad и iPhone. Некоторая работа также была проделана в области Linux. Некоторые пользователи используют проект MUSCLE в сочетании с программным обеспечением Apple Public Source Licensed Common Access Card. Другой подход к решению этой проблемы, который сейчас хорошо документирован, предполагает использование нового проекта CoolKey. ^[11] чтобы получить функциональность карты общего доступа. Этот документ находится в открытом доступе в Отделе динамики и прогнозов океана Военно-морской исследовательской лаборатории . ^[12]

CAC имеет два типа штрих-кодов: PDF417 спереди и Code 39 сзади.

RFID также сопряжен с некоторыми рисками безопасности. Чтобы предотвратить кражу информации с помощью RFID, в ноябре 2010 года Министерству обороны было доставлено 2,5 миллиона рукавов для радиочастотной защиты, а еще примерно 1,7 миллиона должны были быть доставлены в январе 2011 года. ^[13] Офисы RAPIDS ID по всему миру обязаны выдавать конверт с каждым сертификатом CAC. ^[13] Когда CAC помещается в держатель вместе с другими картами RFID, это также может вызвать проблемы, например, попытку открыть дверь с помощью карты доступа, когда она находится в том же держателе, что и CAC. Несмотря на эти проблемы, по крайней мере одна гражданская организация, NOAA, использует технологию RFID для доступа к объектам по всей стране. Доступ обычно предоставляется после снятия CAC с радиочастотного экрана, а затем поднесения его к считывателю, установленному на стене или расположенному на пьедестале. Как только CAC будет аутентифицирован на локальном сервере безопасности, либо дверь откроется, либо охранникам будет отображен сигнал о предоставлении доступа на объект.

ICC хрупкий, и регулярный износ может сделать карту непригодной для использования. Старые карты имеют тенденцию расслаиваться при многократной вставке/извлечении из считывателя, но эта проблема, по-видимому, менее значительна для новых ( PIV -совместимых) карт. Кроме того, позолоченные контакты ICC могут загрязниться и потребовать очистки растворителями или резиновым ластиком для карандашей.

Для исправления или замены CAC обычно требуется доступ к средству RAPIDS , что вызывает некоторые практические проблемы. В удаленных точках по всему миру, где нет прямого доступа в Интернет или физического доступа к объекту RAPIDS, CAC становится бесполезным, если истекает срок действия карты или достигается максимальное количество повторных попыток ввода PIN-кода. В соответствии с правилами использования CAC пользователь TAD / TDY должен посетить центр RAPIDS, чтобы заменить или разблокировать CAC, что обычно требует поездки в другое географическое место или даже возвращения в свое домашнее местоположение. ОУП ЦАС ^[14] также создала рабочую станцию ​​для сброса PIN-кода CAC, способную сбрасывать заблокированный PIN-код CAC.

В некоторых сетях Министерства обороны Active Directory для аутентификации пользователей используется (AD). Доступ к родительской Active Directory компьютера необходим при первой попытке аутентификации с помощью CAC для данного компьютера. Использование, например, замененного на месте портативного компьютера, на котором перед отправкой не был установлен CAC пользователя, будет невозможно использовать без предварительного прямого доступа к Active Directory в той или иной форме. Другие средства правовой защиты включают установление контакта с интранетом с помощью общедоступного широкополосного Интернета, а затем VPN для доступа к интранету или даже спутниковый доступ в Интернет через систему VSAT в местах, где телекоммуникации недоступны, например, в месте стихийного бедствия.

• «Справочный центр I AM CAC» . us.army.mil . ^{[ постоянная мертвая ссылка ]}
• «CAC: Карта общего доступа» . как.мил .
• «Помощь в установке CAC и устранение неполадок на вашем домашнем компьютере или персональном ноутбуке» . www.militarycac.com .
• «Центр данных о кадрах обороны» . dmdc.osd.mil .
• «Поиск объектов RAPIDS» . dmdc.osd.mil . Архивировано из оригинала 28 мая 2007 г. Проверено 30 мая 2007 г.