Tarjeta de acceso común - Common Access Card
La tarjeta de acceso común , también conocida como CAC, es una tarjeta inteligente del tamaño de una tarjeta de crédito. Es la identificación estándar para el personal de Defensa de los Estados Unidos en servicio activo, que incluye la Reserva Seleccionada y la Guardia Nacional , los empleados civiles del Departamento de Defensa de los Estados Unidos (DoD), los empleados civiles de la Guardia Costera de los Estados Unidos (USCG) y el personal elegible de los contratistas del DoD y de la USCG. También es la tarjeta principal que se utiliza para permitir el acceso físico a edificios y espacios controlados, y proporciona acceso a redes y sistemas informáticos de defensa. También sirve como tarjeta de identificación en virtud de los Convenios de Ginebra (especialmente el Tercer Convenio de Ginebra ). En combinación con un número de identificación personal , un CAC satisface el requisito de autenticación de dos factores : algo que el usuario sabe combinado con algo que el usuario tiene. El CAC también satisface los requisitos de las tecnologías de firma digital y cifrado de datos : autenticación, integridad y no repudio .
El CAC es un artículo controlado. A partir de 2008, DoD ha emitido más de 17 millones de tarjetas inteligentes. Este número incluye reemisiones para adaptarse a cambios de nombre, rango o estado y para reemplazar tarjetas perdidas o robadas. A la misma fecha, aproximadamente 3,5 millones de CAC activos o no terminados están en circulación. El Departamento de Defensa ha implementado una infraestructura de emisión en más de 1,000 sitios en más de 25 países de todo el mundo y está implementando más de un millón de lectores de tarjetas y middleware asociado.
Emisión
El CAC se emite para las Fuerzas Armadas Activas de los Estados Unidos (Regular, Reservas y Guardia Nacional) en el Departamento de Defensa y la Guardia Costera de los Estados Unidos; Civiles del Departamento de Defensa; Civiles de la USCG; empleados que no sean del Departamento de Defensa / otros empleados gubernamentales y empleados estatales de la Guardia Nacional; y contratistas elegibles del Departamento de Defensa y de la USCG que necesiten acceso a las instalaciones del Departamento de Defensa o de la USCG y / o los sistemas de redes informáticas del Departamento de Defensa:
- Fuerzas Armadas de EE. UU. En servicio activo (para incluir cadetes y guardiamarinas de las academias de servicio de EE. UU.)
- Miembros de reserva de las Fuerzas Armadas de EE. UU.
- Miembros de la Guardia Nacional (Guardia Nacional del Ejército y Guardia Nacional Aérea) de las Fuerzas Armadas de EE. UU.
- Administración Nacional Oceánica y Atmosférica
- Servicio de Salud Pública de los Estados Unidos
- Empleados esenciales para emergencias
- Empleados de contratistas de contingencia
- Colegio y universidad contratados Cadetes y guardiamarinas de ROTC
- Civiles desplegados en el extranjero
- Personal no combatiente
- DoD / civiles del servicio uniformado que residen en instalaciones militares en CONUS , Hawái , Alaska , Puerto Rico o Guam
- DoD / civiles del servicio uniformado o civiles contratados que residen en un país extranjero durante al menos 365 días
- Designados presidenciales aprobados por el Senado de los Estados Unidos
- Empleados civiles del Departamento de Defensa y veteranos militares de los Estados Unidos con una calificación de Discapacidad de Asuntos de Veteranos del 100% P&T
- Empleados de contratistas elegibles del Departamento de Defensa y de la USCG
- Empleados no pertenecientes al Departamento de Defensa / otros empleados gubernamentales y estatales de la Guardia Nacional
Los planes futuros incluyen la capacidad de almacenar información adicional mediante la incorporación de chips RFID u otra tecnología sin contacto para permitir un acceso sin problemas a las instalaciones del Departamento de Defensa.
El programa que se utiliza actualmente para emitir CAC ID se denomina Sistema de identificación de personal automatizado en tiempo real (RAPIDS). RAPIDS interactúa con el Sistema Conjunto de Adjudicación de Personal (JPAS) y utiliza este sistema para verificar que el candidato haya pasado una investigación de antecedentes y una verificación de huellas dactilares del FBI. Solicitar un CAC requiere que se complete el formulario 1172-2 del Departamento de Defensa y luego se presente a RAPIDS.
El sistema es seguro y supervisado por el Departamento de Defensa en todo momento. Se han establecido diferentes sitios de RAPIDS en todas las instalaciones militares dentro y fuera del teatro de combate para emitir nuevas tarjetas.
Diseño
En el anverso de la tarjeta, el fondo muestra la frase "DEPARTAMENTO DE DEFENSA DE EE. UU." Repetida en toda la tarjeta. Se coloca una foto en color del propietario en la esquina superior izquierda. Debajo de la foto está el nombre del propietario. La esquina superior derecha muestra la fecha de vencimiento. Otra información en el frente incluye (si corresponde) el grado de pago , el rango y el identificador federal del propietario . Se muestra un código de barras bidimensional apilado PDF417 en la esquina inferior izquierda. Y, un chip de circuito integrado (ICC) se coloca cerca de la parte inferior central de la tarjeta.
Hay tres esquemas de códigos de colores que se utilizan en la parte frontal del CAC. Una barra azul a lo largo del nombre del propietario indica que el propietario no es ciudadano estadounidense. Una barra verde muestra que el propietario es un contratista. Ningún bar es para todo el resto del personal, incluido el personal militar y los trabajadores civiles, entre otros.
El reverso de la tarjeta tiene una imagen fantasma del propietario. Y si corresponde, la tarjeta también contiene la fecha de nacimiento, el tipo de sangre, el número de beneficios del Departamento de Defensa, la categoría de la Convención de Ginebra y el Número de identificación del Departamento de Defensa (también se usa como el número de la Convención de Ginebra, que reemplaza el Número de Seguro Social utilizado anteriormente). El número DoD también se conoce como Identificador personal de intercambio electrónico de datos (EDIPI). Un código de barras lineal Code 39 , así como una banda magnética, se colocan en la parte superior e inferior de la tarjeta. El número de ID / EDIPI del DoD permanece con el propietario a lo largo de su carrera en el DoD o la USCG, incluso cuando cambia de servicio armado u otros departamentos dentro del DoD o la USCG. Para el personal militar estadounidense retirado que posteriormente se convierta en civiles del Departamento de Defensa o de la USCG o en contratistas del Departamento de Defensa o de la USCG, el número de ID / EDIPI del DoD en su CAC será el mismo que en su tarjeta de identificación de jubilado DD Form 2. Para cónyuges no militares, ex cónyuges solteros y viudas / viudos de personal militar estadounidense activo, de reserva o retirado que se conviertan en civiles del DoD o USCG o contratistas del DoD o USCG, el número de ID / EDIPI del DoD en su CAC será el mismo que en su tarjeta de identificación y privilegio de servicios uniformados DD 1173 (por ejemplo, tarjeta de identificación de dependiente).
La parte frontal del CAC está completamente laminada, mientras que la parte trasera solo está laminada en la mitad inferior (para evitar interferencias con la banda magnética).
Se dice que el CAC es resistente al fraude de identidad, la manipulación, la falsificación y la explotación y proporciona un medio electrónico de autenticación rápida.
Actualmente existen cuatro variantes diferentes de CAC. La tarjeta de identificación de los Convenios de Ginebra es el CAC más común y se otorga a las fuerzas armadas en servicio activo / de reserva y a los miembros del servicio uniformado. La tarjeta de las fuerzas de acompañamiento de la Convención de Ginebra se expide al personal civil esencial para casos de emergencia. La tarjeta de identificación y privilegio de acceso común es para civiles que residen en instalaciones militares. La tarjeta de identificación es para la identificación de DOD / Agencia Gubernamental para empleados civiles.
Cifrado
Hasta 2008, todos los CAC se cifraron con un cifrado de 1.024 bits. A partir de 2008, el Departamento de Defensa cambió al cifrado de 2.048 bits. El personal con los CAC más antiguos tuvo que obtener nuevos CAC antes de la fecha límite. El 1 de octubre de 2012, todos los certificados cifrados con menos de 2048 bits se colocaron en estado de revocación, lo que inutilizó los CAC heredados, excepto para la identificación visual.
Uso
El CAC está diseñado para proporcionar autenticación de dos factores : lo que tiene (la tarjeta física) y lo que sabe (el PIN ). Esta tecnología CAC permite una autenticación rápida y una seguridad física y lógica mejorada. La tarjeta se puede utilizar de diversas formas.
Identificación visual
El CAC se puede utilizar para la identificación visual al hacer coincidir la foto en color con el propietario. Esto se utiliza cuando el usuario pasa por una puerta vigilada o compra artículos en una tienda, como un PX / BX, que requieren un nivel de privilegios para usar la instalación. Algunos estados permiten que el CAC se utilice como una tarjeta de identificación emitida por el gobierno, como para votar o solicitar una licencia de conducir.
Banda magnética
La banda magnética se puede leer deslizando la tarjeta a través de un lector de banda magnética, como una tarjeta de crédito. La banda magnética está realmente en blanco cuando se emite el CAC. Sin embargo, su uso está reservado para sistemas de seguridad físicos localizados.
Chip de circuito integrado (ICC)
El chip de circuito integrado (ICC) contiene información sobre el propietario, incluido el PIN y uno o más certificados digitales PKI . El ICC viene en diferentes capacidades, con las versiones más recientes emitidas en 64 y 144 kilobytes (KB).
El CAC se puede utilizar para acceder a computadoras y redes equipadas con uno o más de una variedad de lectores de tarjetas inteligentes . Una vez insertado en el lector, el dispositivo solicita al usuario un PIN. Una vez que se ingresa el PIN, el PIN coincide con el PIN almacenado en el CAC. Si tiene éxito, el número EDIPI se lee en el certificado de identificación de la tarjeta y luego se envía a un sistema de procesamiento donde el número EDIPI se compara con un sistema de control de acceso, como Active Directory o LDAP . El estándar del Departamento de Defensa es que después de tres intentos de PIN incorrectos, el chip del CAC se bloqueará.
El número EDIPI se almacena en un certificado PKI. Según el propietario, el CAC contiene uno o tres certificados PKI. Si el CAC se usa solo con fines de identificación, un certificado de identificación es todo lo que se necesita. Sin embargo, para acceder a una computadora, firmar un documento o cifrar el correo electrónico, también se requieren certificados de firma y cifrado.
Un CAC funciona en prácticamente todos los sistemas operativos de computadoras modernos. Además del lector, también se requieren controladores y middleware para leer y procesar un CAC. El único middleware de Microsoft Windows aprobado para CAC es ActivClient, disponible solo para el personal autorizado del Departamento de Defensa. Otras alternativas que no son de Windows incluyen LPS-Public, una solución no basada en disco duro.
DISA ahora requiere que todos los sitios de intranet basados en DoD proporcionen autenticación de usuario a través de un CAC para poder acceder al sitio. Los sistemas de autenticación varían según el tipo de sistema, como Active Directory , RADIUS u otra lista de control de acceso .
CAC se basa en certificados X.509 con software intermedio que permite a un sistema operativo interactuar con la tarjeta a través de un lector de tarjetas de hardware. Aunque los fabricantes de tarjetas como Schlumberger proporcionaron un conjunto de tarjetas inteligentes, lectores de tarjetas de hardware y middleware para Linux y Windows , no todos los demás integradores de sistemas CAC hicieron lo mismo. En un intento por corregir esta situación, Apple Federal Systems ha trabajado para agregar algo de soporte para tarjetas de acceso común a sus actualizaciones posteriores del sistema operativo Snow Leopard listas para usar utilizando el proyecto MUSCLE (Movimiento para el uso de tarjetas inteligentes en un entorno Linux). . El procedimiento para ello fue documentado históricamente por la Escuela de Postgrado Naval en la publicación "CAC en una Mac" aunque hoy la escuela utiliza software comercial. Según los evaluadores militares independientes y las mesas de ayuda, no todas las tarjetas son compatibles con el código fuente abierto asociado con el trabajo de Apple, en particular las tarjetas CAC CAC CACNG o CAC-NG PIV II recientes. El soporte de terceros para las tarjetas CAC en Mac está disponible a través de proveedores como Centrify y Thursday, Software. La Administración Federal de Ingeniería de Apple sugiere no usar el soporte listo para usar en Mac OS X 10.6 Snow Leopard, sino que admite soluciones de terceros. Mac OS X 10.7 Lion no tiene soporte nativo para tarjetas inteligentes. El software PKard de Thursday, para iOS, extiende el soporte de CAC a los iPads y iPhones de Apple. También se han realizado algunos trabajos en el ámbito de Linux. Algunos usuarios están utilizando el proyecto MUSCLE combinado con el software Apple Public Source Licensed Common Access Card de Apple. Otro enfoque para resolver este problema, que ahora está bien documentado, implica el uso de un nuevo proyecto, CoolKey, para obtener la funcionalidad de Common Access Card. Este documento está disponible públicamente en la Subdivisión de Predicciones y Dinámicas Oceánicas del Laboratorio de Investigación Naval . La Iniciativa de protección de software ofrece un LiveCD con middleware CAC y certificado DoD dentro de un sistema operativo Linux minimizado y centrado en el navegador, llamado LPS-Public que funciona en computadoras x86 Windows, Mac y Linux.
Códigos de barras
El CAC tiene dos tipos de códigos de barras: PDF417 en la parte delantera y Code 39 en la parte trasera.
PDF417 Código de barras del patrocinador
| Valor de ejemplo | Nombre del campo | Tamaño | Descripción |
|---|---|---|---|
"IDUS"
|
Código de identificación | 4 | Tarjeta de patrocinador / dependiente |
"3"
|
Versión de código de barras | 1 | |
| XX | PDF417 Tamaño | 2 | |
| X | Suma de comprobación PDF417 | 1 | |
| X | PDF417 RSize | 1 | |
"1"
|
Bandera del patrocinador | 1 | 1 = Patrocinador 0 = Dependiente |
"GREATHOUSE, TUYET"
|
Nombre | 27 | Último primero |
"999100096"
|
Identificador de designación de persona | 9 | 999-10-0096 |
"1"
|
Número de secuencia familiar | 1 | |
" "
|
reservado para uso futuro | 9 | |
"00"
|
Sufijo dependiente de DEERS | Patrocinador v3 | |
"60"
|
Altura (pulgadas) | 2 | 5 '0 " |
"150"
|
Libras de peso) | 3 | 150 libras |
"RD"
|
Color de pelo | 2 | BK = Negro BR = Marrón BD = Rubio RD = Rojo GY = Gris WH = Blanco BA = Calvo OT = Otro |
"BR"
|
Color de los ojos | 2 | BK = Negro BR = Marrón HZ = Avellana BL = Azul GY = Gris GR = Verde OT = Otro |
"1992OCT31"
|
Fecha de cumpleaños | 9 | 19921031 |
"S"
|
Bandera de atención directa | 1 | S = ilimitado |
"M"
|
Bandera CHAMPUS | 1 | M = CHAMPUS de atención médica civil |
"Y"
|
Bandera de comisario | 1 | Y = Elegible y activo |
"Y"
|
Bandera MWR | 1 | Y = Elegible y activo |
"U"
|
Bandera de cambio | 1 | U = ilimitado |
"2011OCT31"
|
Fecha de vigencia de CHAMPUS | 9 | 20111031 |
"2057SEP30"
|
Fecha de caducidad de CHAMPUS | 9 | 20570930 |
"2RET "
|
Número de formulario | 6 | DD Form 2 - Retirado |
"2011NOV04"
|
Fecha de emisión de la tarjeta | 9 | 20111104 |
"INDEF "
|
fecha de vencimiento de la tarjeta | 9 | Indefinido |
"8 "
|
Código de Seguridad de la Tarjeta | 4 | |
"H"
|
Código de servicio / componente | 1 | |
"RET "
|
Estado | 6 | RET = Miembro jubilado con derecho a salario jubilado |
"USA "
|
Rama de servicio | 5 | EE. UU. = Ejército de EE. UU. |
"PVT "
|
Rango | 6 | PVT = Privado |
"E2 "
|
Grado de pago | 4 | |
"I "
|
Código de la Convención de Ginebra | 3 | |
"UNK"
|
Tipo de sangre | 3 |
Código de barras dependiente de PDF417
| Valor de ejemplo | Nombre del campo | Tamaño | Descripción |
|---|---|---|---|
"IDUS"
|
Código de identificación | 4 | Tarjeta de patrocinador / dependiente |
| ... | ... | ... | ... |
"0"
|
Bandera del patrocinador | 1 | 1 = Patrocinador
0 = dependiente |
| ... | ... | ... | ... |
"RET "
|
Estado del patrocinador | 6 | RET = Miembro jubilado con derecho a salario jubilado |
"USA "
|
Patrocinador Rama de servicio | 5 | EE. UU. = Ejército de EE. UU. |
"PVT "
|
Rango de patrocinador | 6 | PVT = Privado |
"E2 "
|
Grado de pago del patrocinador | 4 | |
" TRUMBOLD, ERIC "
|
nombre del patrocinador | 27 | |
"999100096"
|
Identificador de designación de la persona patrocinadora | 27 | |
"CH"
|
Relación | 2 | SP = cónyuge
CH = Niño |
Tecnología RFID
También existen algunos riesgos de seguridad en RFID. Para evitar el robo de información en RFID, en noviembre de 2010, se entregaron al Departamento de Defensa 2,5 millones de fundas protectoras de radiofrecuencia, y otros aproximadamente 1,7 millones más se entregarían en enero de 2011. Las oficinas de identificación de RAPIDS en todo el mundo deben emitir una funda con cada CAC. Cuando un CAC se coloca en un soporte junto con otras tarjetas RFID, también puede causar problemas, como intentar abrir una puerta con una tarjeta de acceso cuando está en el mismo soporte que un CAC. A pesar de estos desafíos, al menos una organización civil, NOAA, utiliza la tecnología RFID para acceder a las instalaciones en todo el país. El acceso generalmente se otorga después de quitar primero el CAC del protector de RF y luego sostenerlo contra un lector montado en una pared o ubicado en un pedestal. Una vez que el CAC esté autenticado en un servidor de seguridad local, la puerta se abrirá o se mostrará una señal a los guardias de seguridad para que otorguen acceso a la instalación.
Problemas comunes
El ICC es frágil y el uso regular puede inutilizar la tarjeta. Las tarjetas más antiguas tienden a deslaminarse con la inserción / extracción repetida de los lectores, pero este problema parece ser menos significativo con las tarjetas más nuevas ( compatibles con PIV ). Además, los contactos dorados del ICC pueden ensuciarse y requerir limpieza con solventes o con un borrador de lápiz de goma.
Reparar o reemplazar un CAC generalmente requiere acceso a una instalación de RAPIDS , lo que causa algunos problemas prácticos. En ubicaciones remotas de todo el mundo sin acceso directo a Internet o acceso físico a una instalación de RAPIDS, un CAC se vuelve inútil si la tarjeta expira o si se alcanza el número máximo de reintentos del PIN. Según las regulaciones para el uso de CAC, un usuario de TAD / TDY debe visitar una instalación de RAPIDS para reemplazar o desbloquear un CAC, lo que generalmente requiere viajar a otra ubicación geográfica o incluso regresar a la ubicación de su hogar. La PMO de CAC también ha creado una estación de trabajo de reinicio de PIN de CAC capaz de restablecer un PIN de CAC bloqueado.
Para algunas redes DoD, Active Directory (AD) se utiliza para autenticar a los usuarios. Se requiere acceso al directorio activo principal de la computadora cuando se intenta autenticarse con un CAC para una computadora determinada, por primera vez. El uso de, por ejemplo, una computadora portátil reemplazada en el campo que no se preparó con el CAC del usuario antes del envío sería imposible de usar sin alguna forma de acceso directo a Active Directory de antemano. Otros remedios incluyen establecer contacto con la intranet mediante el uso de Internet de banda ancha pública y luego VPN a la intranet, o incluso el acceso a Internet por satélite a través de un sistema VSAT cuando en lugares donde las telecomunicaciones no están disponibles, como en un lugar de desastre natural.
Ver también
- Insignia de acceso
- Credencial
- Identificador personal de intercambio electrónico de datos
- FIPS 201 (PIV)
- Documento de identidad
- Tarjeta de acceso
- Tarjeta de banda magnética
- Seguridad física
- Tarjeta de proximidad
- Tarjeta electrónica
- Credencial de identificación de trabajador de transporte
- Privilegio e identificación de los servicios uniformados de los Estados Unidos
Referencias
enlaces externos
- "Centro de referencia AKO CAC" . us.army.mil .
- "CAC: Tarjeta de acceso común" . cac.mil .
- "Asistencia para la instalación de CAC y solución de problemas para su computadora personal o computadora personal" . militarycac.com .
- "Centro de datos de mano de obra de defensa" . dmdc.osd.mil .
- "Localizador de sitios de RAPIDS" . dmdc.osd.mil .