Gemeinsame Zugangskarte - Common Access Card
Die Common Access Card , auch CAC genannt, ist eine Chipkarte von der Größe einer Kreditkarte. Es ist die Standardkennzeichnung für das Personal der US-Verteidigung im aktiven Dienst, einschließlich der ausgewählten Reserve und der Nationalgarde , der zivilen Mitarbeiter des US-Verteidigungsministeriums (DoD), der zivilen Mitarbeiter der US-Küstenwache (USCG) und des berechtigten Personals des DoD und der USCG. Sie ist auch die Hauptkarte, die verwendet wird, um den physischen Zugang zu Gebäuden und kontrollierten Räumen zu ermöglichen, und sie bietet Zugang zu Computernetzwerken und -systemen der Verteidigung. Er dient auch als Ausweis im Sinne der Genfer Konventionen (insb. der Dritten Genfer Konvention ). In Kombination mit einer persönlichen Identifikationsnummer erfüllt ein CAC die Anforderung der Zwei-Faktor-Authentifizierung : etwas, das der Benutzer kennt, kombiniert mit etwas, das der Benutzer hat. Das CAC erfüllt auch die Anforderungen an digitale Signatur- und Datenverschlüsselungstechnologien : Authentifizierung, Integrität und Nichtabstreitbarkeit .
Das CAC ist ein kontrolliertes Element. Bis 2008 hat das DoD über 17 Millionen Smartcards ausgegeben. Diese Nummer umfasst Neuausgaben, um Änderungen des Namens, des Rangs oder des Status zu berücksichtigen und verlorene oder gestohlene Karten zu ersetzen. Zum gleichen Zeitpunkt sind etwa 3,5 Millionen nicht abgeschlossene oder aktive CACs im Umlauf. Das DoD hat an über 1.000 Standorten in mehr als 25 Ländern auf der ganzen Welt eine Ausstellungsinfrastruktur bereitgestellt und führt mehr als eine Million Kartenleser und zugehörige Middleware ein.
Ausgabe
Das CAC wird den aktiven Streitkräften der Vereinigten Staaten (regulär, Reserve und Nationalgarde) im Verteidigungsministerium und der US-Küstenwache ausgestellt; Zivilisten des DoD; Zivilisten der USCG; Nicht-DoD/andere Regierungsangestellte und Staatsangestellte der Nationalgarde; und berechtigte DoD- und USCG-Vertragspartner, die Zugang zu DoD- oder USCG-Einrichtungen und/oder DoD-Computernetzwerksystemen benötigen:
- Aktive US-Streitkräfte (einschließlich Kadetten und Midshipmen der US Service Academies)
- Reserveangehörige der US-Streitkräfte
- Nationalgarde (Army National Guard und Air National Guard) Mitglieder der US-Streitkräfte
- National Oceanic and Atmospheric Administration
- Öffentlicher Gesundheitsdienst der Vereinigten Staaten
- Notfall-Notwendige Mitarbeiter
- Mitarbeiter von Contingent Contractors
- Vertragshochschule und Universität ROTC Kadetten und Midshipmen
- Entsandte Zivilisten aus Übersee
- Nicht kämpfendes Personal
- Zivilisten des DoD/Uniformed Service, die in militärischen Einrichtungen in CONUS , Hawaii , Alaska , Puerto Rico oder Guam . leben
- DoD/Uniformed Service Civilians oder Contracted Civilian mit Wohnsitz im Ausland für mindestens 365 Tage
- Präsidentschaftskandidaten vom US-Senat genehmigt
- Zivile Mitarbeiter des DoD und Veteranen des US-Militärs mit einem Veterans Affairs Disability Rating von 100 % P&T
- Berechtigte DoD- und USCG-Mitarbeiter von Auftragnehmern
- Nicht-DoD/andere Regierungs- und Staatsangestellte der Nationalgarde
Zukünftige Pläne beinhalten die Möglichkeit, zusätzliche Informationen durch den Einbau von RFID- Chips oder anderen kontaktlosen Technologien zu speichern , um einen nahtlosen Zugang zu DoD-Einrichtungen zu ermöglichen.
Das Programm, das derzeit zur Ausstellung von CAC-IDs verwendet wird, heißt Real-Time Automated Personnel Identification System (RAPIDS). RAPIDS ist mit dem Joint Personnel Adjudication System (JPAS) verbunden und verwendet dieses System, um zu überprüfen, ob der Kandidat eine Hintergrunduntersuchung und eine FBI-Fingerabdruckprüfung bestanden hat. Die Beantragung eines CAC erfordert das Ausfüllen des DoD-Formulars 1172-2 und das anschließende Einreichen bei RAPIDS.
Das System ist jederzeit sicher und wird vom DoD überwacht. Verschiedene RAPIDS-Sites wurden in militärischen Einrichtungen innerhalb und außerhalb von Kampfgebieten eingerichtet, um neue Karten auszugeben.
Entwurf
Auf der Vorderseite der Karte zeigt der Hintergrund den Ausdruck "US DEPARTMENT OF DEFENCE", der über die Karte hinweg wiederholt wird. In der oberen linken Ecke befindet sich ein Farbfoto des Besitzers. Unter dem Foto steht der Name des Besitzers. In der oberen rechten Ecke wird das Ablaufdatum angezeigt. Andere Informationen auf der Vorderseite umfassen (falls zutreffend) die Gehaltsstufe , den Rang und die Bundeskennung des Eigentümers . Ein gestapelter zweidimensionaler PDF417 -Barcode wird in der unteren linken Ecke angezeigt. Und ein integrierter Schaltungschip (ICC) wird nahe der unteren Mitte der Karte platziert.
Auf der Vorderseite des CAC werden drei Farbcodeschemata verwendet. Ein blauer Balken über dem Namen des Eigentümers zeigt an, dass der Eigentümer kein US-Bürger ist. Ein grüner Balken zeigt an, dass der Eigentümer ein Auftragnehmer ist. Keine Sperre gilt für alle anderen Mitarbeiter – einschließlich Militärpersonal und Zivilarbeiter, unter anderem.
Die Rückseite der Karte hat ein Geisterbild des Inhabers. Und falls zutreffend, enthält die Karte auch das Geburtsdatum, die Blutgruppe, die DoD-Leistungsnummer, die Kategorie der Genfer Konvention und die DoD-Identifikationsnummer (auch als Genfer Konventionsnummer verwendet und ersetzt die zuvor verwendete Sozialversicherungsnummer). Die DoD-Nummer wird auch als Electronic Data Interchange Personal Identifier (EDIPI) bezeichnet. Ein Code 39 linearer Strichcode sowie ein Magnetstreifen an der Ober- und Unterseite der Karte platziert. Die DoD-ID/EDIPI-Nummer verbleibt beim Besitzer während seiner gesamten Karriere beim DoD oder der USCG, auch wenn er oder sie die Streitkräfte oder andere Abteilungen innerhalb des DoD oder der USCG wechselt. Für pensionierte US-Militärangehörige, die später DoD- oder USCG-Zivilisten oder DoD- oder USCG-Auftragnehmer werden, ist die DoD-ID/EDIPI-Nummer auf ihrem CAC dieselbe wie auf ihrer DD Form 2 Retired ID Card. Für nicht-militärische Ehepartner, unverheiratete ehemalige Ehegatten und Witwen/Witwer von aktiven, Reserve- oder pensionierten US-Militärangehörigen, die selbst Zivilisten des DoD oder USCG oder DoD- oder USCG-Auftragnehmer werden, ist die DoD-ID/EDIPI-Nummer auf ihrem CAC dieselbe wie auf ihrer DD 1173 Uniformed Services Privilege and Identification Card (zB Dependent ID Card).
Die Vorderseite des CAC ist vollständig laminiert, während die Rückseite nur in der unteren Hälfte laminiert ist (um Interferenzen mit dem Magnetstreifen zu vermeiden).
Das CAC gilt als resistent gegen Identitätsbetrug, Manipulation, Fälschung und Ausbeutung und bietet ein elektronisches Mittel zur schnellen Authentifizierung.
Derzeit gibt es vier verschiedene Varianten von CACs. Der Ausweis der Genfer Konventionen ist der gebräuchlichste CAC und wird aktiven Dienst-/Reservestreitkräften und uniformierten Soldaten ausgehändigt. Die Begleittruppenkarte der Genfer Konvention wird für dringend benötigtes Zivilpersonal ausgestellt. Die ID and Privilege Common Access Card ist für Zivilisten mit Wohnsitz in militärischen Einrichtungen. Der Personalausweis dient der Identifizierung von Zivilangestellten durch das DOD/Government Agency.
Verschlüsselung
Bis 2008 wurden alle CACs mit einer 1.024-Bit-Verschlüsselung verschlüsselt. Ab 2008 stellte das DoD auf eine 2.048-Bit-Verschlüsselung um. Personal mit den älteren CACs musste fristgerecht neue CACs erhalten. Am 1. Oktober 2012 wurden alle mit weniger als 2.048 Bit verschlüsselten Zertifikate in den Sperrstatus versetzt, wodurch Legacy-CACs außer für die visuelle Identifizierung unbrauchbar wurden.
Verwendungszweck
Das CAC wurde entwickelt, um eine Zwei-Faktor-Authentifizierung bereitzustellen : was Sie haben (die physische Karte) und was Sie wissen (die PIN ). Diese CAC-Technologie ermöglicht eine schnelle Authentifizierung und eine verbesserte physische und logische Sicherheit. Die Karte kann auf verschiedene Weise verwendet werden.
Visuelle Identifizierung
Das CAC kann zur visuellen Identifizierung durch Abgleich des Farbfotos mit dem Besitzer verwendet werden. Dies wird verwendet, wenn der Benutzer ein bewachtes Tor passiert oder Artikel in einem Geschäft kauft, z. Einige Staaten erlauben die Verwendung des CAC als von der Regierung ausgestellter Personalausweis, z. B. zum Wählen oder Beantragen eines Führerscheins.
Magnetstreifen
Der Magnetstreifen kann gelesen werden, indem die Karte durch einen Magnetstreifenleser gezogen wird, ähnlich wie bei einer Kreditkarte. Der Magnetstreifen ist tatsächlich leer, wenn das CAC ausgestellt wird. Seine Verwendung ist jedoch lokalisierten physischen Sicherheitssystemen vorbehalten.
Integrierter Schaltungschip (ICC)
Der integrierte Schaltkreischip (ICC) enthält Informationen über den Besitzer, einschließlich der PIN und eines oder mehrerer digitaler PKI- Zertifikate. Der ICC ist in verschiedenen Kapazitäten erhältlich, wobei die neueren Versionen mit 64 und 144 Kilobyte (KB) ausgegeben werden.
Das CAC kann für den Zugriff auf Computer und Netzwerke verwendet werden, die mit einem oder mehreren einer Vielzahl von Smartcard- Lesegeräten ausgestattet sind. Nach dem Einsetzen in das Lesegerät fragt das Gerät den Benutzer nach einer PIN. Nach Eingabe der PIN wird die PIN mit der gespeicherten PIN auf dem CAC abgeglichen. Im Erfolgsfall wird die EDIPI-Nummer aus dem ID-Zertifikat auf der Karte gelesen und dann an ein Verarbeitungssystem gesendet, wo die EDIPI-Nummer mit einem Zugangskontrollsystem wie Active Directory oder LDAP abgeglichen wird . Der DoD-Standard besagt, dass nach drei falschen PIN-Versuchen der Chip auf dem CAC gesperrt wird.
Die EDIPI-Nummer wird in einem PKI-Zertifikat gespeichert. Je nach Besitzer enthält das CAC ein oder drei PKI-Zertifikate. Wird das CAC nur zu Identifikationszwecken verwendet, genügt ein ID-Zertifikat. Um jedoch auf einen Computer zuzugreifen, ein Dokument zu signieren oder E-Mails zu verschlüsseln, werden auch Signatur- und Verschlüsselungszertifikate benötigt.
Ein CAC funktioniert in praktisch allen modernen Computerbetriebssystemen. Um ein CAC zu lesen und zu verarbeiten, werden neben dem Reader auch Treiber und Middleware benötigt. Die einzige zugelassene Microsoft Windows-Middleware für CAC ist ActivClient – nur für autorisiertes DoD-Personal verfügbar. Andere Nicht-Windows-Alternativen umfassen LPS-Public – eine nicht-festplattenbasierte Lösung.
DISA erfordert nun, dass alle DoD-basierten Intranetsites eine Benutzerauthentifizierung über ein CAC bereitstellen, um auf die Site zuzugreifen. Authentifizierungssysteme variieren je nach Systemtyp, z. B. Active Directory , RADIUS oder andere Zugriffskontrolllisten .
CAC basiert auf X.509- Zertifikaten mit Software-Middleware, die es einem Betriebssystem ermöglicht, über einen Hardware-Kartenleser mit der Karte zu kommunizieren. Obwohl Kartenhersteller wie Schlumberger eine Reihe von Smartcards, Hardware-Kartenlesern und Middleware für Linux und Windows zur Verfügung stellten , taten dies nicht alle anderen CAC-Systemintegratoren. Um diese Situation zu korrigieren, hat Apple Federal Systems mit dem Projekt MUSCLE (Movement for the Use of Smartcards in a Linux Environment) daran gearbeitet, ihre späteren Snow Leopard-Betriebssystem-Updates out of the box um Unterstützung für Common Access Cards zu erweitern . Die Vorgehensweise dazu wurde von der Naval Postgraduate School in der Publikation "CAC on a Mac" historisch dokumentiert, obwohl die Schule heute kommerzielle Software verwendet. Laut den unabhängigen Militärtestern und Helpdesks werden nicht alle Karten von dem Open-Source-Code unterstützt, der mit Apples Arbeit verbunden ist, insbesondere die neueren CACNG- oder CAC-NG PIV II CAC-Karten. Drittanbieter-Support für CAC-Karten auf dem Mac ist von Anbietern wie Centrify und Thursby Software erhältlich. Das Federal Engineering Management von Apple schlägt vor, nicht die standardmäßige Unterstützung von Mac OS X 10.6 Snow Leopard zu verwenden, sondern stattdessen Lösungen von Drittanbietern zu unterstützen. Mac OS X 10.7 Lion bietet keine native Smartcard-Unterstützung. Die PKard für iOS-Software von Thursby erweitert die CAC-Unterstützung auf Apple iPads und iPhones. Einige Arbeiten wurden auch im Linux-Bereich durchgeführt. Einige Benutzer verwenden das MUSCLE-Projekt in Kombination mit der Apple Public Source Licensed Common Access Card-Software von Apple . Ein weiterer Ansatz zur Lösung dieses Problems, der inzwischen gut dokumentiert ist, beinhaltet die Verwendung eines neuen Projekts, CoolKey, um die Funktionalität der Common Access Card zu erhalten. Dieses Dokument ist öffentlich von der Ocean Dynamics and Predictions Branch des Naval Research Laboratory erhältlich . Die Software Protection Initiative bietet eine LiveCD mit CAC-Middleware und DoD- Zertifikat in einem browserorientierten, minimierten Linux-Betriebssystem namens LPS-Public an, das auf x86-Windows-, Mac- und Linux-Computern funktioniert.
Strichcodes
Der CAC verfügt über zwei Arten von Barcodes: PDF417 vorne und Code 39 hinten.
PDF417 Sponsor-Barcode
| Beispielwert | Feldname | Größe | Beschreibung |
|---|---|---|---|
"IDUS"
|
Identifikationsnummer | 4 | Sponsor-/Anhängerkarte |
"3"
|
Strichcode-Version | 1 | |
| XX | PDF417 Größe | 2 | |
| x | PDF417 Prüfsumme | 1 | |
| x | PDF417 RSGröße | 1 | |
"1"
|
Sponsorenflagge | 1 | 1=Sponsor 0=Unterhaltsberechtigt |
"GREATHOUSE, TUYET"
|
Name | 27 | Letzte zuerst |
"999100096"
|
Personenbezeichner-ID | 9 | 999-10-0096 |
"1"
|
Familiensequenznummer | 1 | |
" "
|
Reserviert für zukünftige Verwendung | 9 | |
"00"
|
DEERS abhängiges Suffix | Sponsor v3 | |
"60"
|
Größe in Zoll) | 2 | 5' 0" |
"150"
|
Gewicht Pfund) | 3 | 150 Pfund |
"RD"
|
Haarfarbe | 2 | BK=Schwarz BR=Braun BD=Blond RD=Rot GY=Grau WH=Weiß BA=Kahl OT=Andere |
"BR"
|
Augenfarbe | 2 | BK=Schwarz BR=Braun HZ=Hazel BL=Blau GY=Grau GR=Grün OT=Andere |
"1992OCT31"
|
Geburtsdatum | 9 | 19921031 |
"S"
|
Direkte Pflegeflagge | 1 | S=Unbegrenzt |
"M"
|
CHAMPUS- Flagge | 1 | M=Ziviler Gesundheitsdienst CHAMPUS |
"Y"
|
Kommissarische Flagge | 1 | Y=berechtigt und aktiv |
"Y"
|
MWR- Flagge | 1 | Y=berechtigt und aktiv |
"U"
|
Tauschflagge | 1 | U=Unbegrenzt |
"2011OCT31"
|
Datum des Inkrafttretens von CHAMPUS | 9 | 20111031 |
"2057SEP30"
|
CHAMPUS-Ablaufdatum | 9 | 20570930 |
"2RET "
|
Formularnummer | 6 | DD-Formular 2 - im Ruhestand |
"2011NOV04"
|
Ausstellungsdatum der Karte | 9 | 20111104 |
"INDEF "
|
Kartenablaufdatum | 9 | Unbefristet |
"8 "
|
Karten-Sicherheitscode | 4 | |
"H"
|
Service-/Komponentencode | 1 | |
"RET "
|
Status | 6 | RET=Rentner mit Anspruch auf Ruhegehalt |
"USA "
|
Dienstleistungszweig | 5 | USA=US-Armee |
"PVT "
|
Rang | 6 | PVT=Privat |
"E2 "
|
Gehaltsgruppe | 4 | |
"I "
|
Code der Genfer Konvention | 3 | |
"UNK"
|
Blutgruppe | 3 |
PDF417 Abhängiger Barcode
| Beispielwert | Feldname | Größe | Beschreibung |
|---|---|---|---|
"IDUS"
|
Identifikationsnummer | 4 | Sponsor-/Anhängerkarte |
| ... | ... | ... | ... |
"0"
|
Sponsorenflagge | 1 | 1=Sponsor
0=Abhängig |
| ... | ... | ... | ... |
"RET "
|
Sponsorstatus | 6 | RET=Rentner mit Anspruch auf Ruhegehalt |
"USA "
|
Sponsor Zweig des Dienstes | 5 | USA=US-Armee |
"PVT "
|
Sponsorenrang | 6 | PVT=Privat |
"E2 "
|
Gehaltsklasse des Sponsors | 4 | |
" TRUMBOLD, ERIC "
|
Sponsorname | 27 | |
"999100096"
|
Bezeichner der Sponsor-Personen-Bezeichnung | 27 | |
"CH"
|
Beziehung | 2 | SP=Ehepartner
CH=Kind |
RFID-Technologie
Auch bei RFID gibt es einige Sicherheitsrisiken. Um den Diebstahl von Informationen in RFID zu verhindern, wurden im November 2010 2,5 Millionen Hochfrequenz-Abschirmhüllen an das DoD geliefert, weitere rund 1,7 Millionen sollten im darauffolgenden Januar 2011 geliefert werden jedes CAC. Wenn ein CAC zusammen mit anderen RFID-Karten in einem Halter platziert wird, kann dies auch zu Problemen führen, z. Trotz dieser Herausforderungen nutzt mindestens eine zivile Organisation, die NOAA, die RFID-Technologie, um landesweit auf Einrichtungen zuzugreifen. Der Zugang wird normalerweise gewährt, nachdem das CAC zuerst von der HF-Abschirmung entfernt und dann gegen ein entweder an einer Wand montiertes oder auf einem Sockel befindliches Lesegerät gehalten wird. Sobald das CAC bei einem lokalen Sicherheitsserver authentifiziert ist, wird entweder die Tür geöffnet oder den Sicherheitskräften wird ein Signal angezeigt, um den Zugang zur Einrichtung zu gewähren.
Allgemeine Probleme
Der ICC ist zerbrechlich und regelmäßiger Verschleiß kann die Karte unbrauchbar machen. Ältere Karten neigen dazu, sich beim wiederholten Einsetzen/Entnehmen aus den Lesegeräten abzulösen, aber dieses Problem scheint bei den neueren ( PIV- konformen) Karten weniger bedeutsam zu sein . Außerdem können die Goldkontakte des ICC verschmutzen und müssen entweder mit Lösungsmitteln oder einem Radiergummi gereinigt werden .
Das Reparieren oder Ersetzen eines CAC erfordert normalerweise den Zugang zu einer RAPIDS- Einrichtung, was einige praktische Probleme verursacht. An abgelegenen Orten auf der ganzen Welt ohne direkten Internetzugang oder physischen Zugang zu einer RAPIDS-Einrichtung wird ein CAC nutzlos, wenn die Karte abläuft oder wenn die maximale Anzahl von Wiederholungen der PIN erreicht wird. Aufgrund der Vorschriften für die CAC-Nutzung muss ein Benutzer von TAD / TDY eine RAPIDS-Einrichtung aufsuchen, um ein CAC zu ersetzen oder freizuschalten, was normalerweise eine Reise zu einem anderen geografischen Ort oder sogar eine Rückkehr an seinen Heimatort erfordert. Das CAC-PMO hat auch eine CAC-PIN-Reset-Workstation erstellt, die eine gesperrte CAC-PIN zurücksetzen kann.
Für einige DoD-Netzwerke wird Active Directory (AD) verwendet, um Benutzer zu authentifizieren. Der Zugriff auf das übergeordnete Active Directory des Computers ist erforderlich, wenn Sie zum ersten Mal versuchen, sich bei einem CAC für einen bestimmten Computer zu authentifizieren. Die Verwendung beispielsweise eines vor Ort ausgetauschten Laptop-Computers, der vor dem Versand nicht mit dem CAC des Benutzers vorbereitet wurde, wäre ohne einen direkten Zugriff auf Active Directory im Voraus unmöglich. Andere Abhilfemaßnahmen sind die Kontaktaufnahme mit dem Intranet über das öffentliche Breitband-Internet und dann VPN zum Intranet oder sogar der Satelliten-Internetzugang über ein VSAT- System an Orten, an denen keine Telekommunikation verfügbar ist, beispielsweise an einem Naturkatastrophenort.
Siehe auch
- Zugangsausweis
- Berechtigungsnachweis
- Persönlicher Identifikator für den elektronischen Datenaustausch
- FIPS 201 (PIV)
- Ausweisdokument
- Schlüsselkarte
- Magnetstreifenkarte
- Physische Sicherheit
- Annäherungskarte
- Magnetstreifenkarte
- Identifikationsnachweis für Transportarbeiter
- United States Uniformed Services Privilege and Identification Card
Verweise
Externe Links
- "AKO CAC-Referenzzentrum" . us.armee.mil .
- "CAC: Common Access Card" . cac.mil .
- "CAC-Installationshilfe und Fehlerbehebung für Ihren Heimcomputer oder Ihren persönlichen Laptop" . militärcac.com .
- "Rechenzentrum für Verteidigungskräfte" . dmdc.osd.mil .
- "RAPIDS-Site-Locator" . dmdc.osd.mil .