Cartão de acesso comum - Common Access Card
O cartão de acesso comum , também conhecido como CAC, é um cartão inteligente do tamanho de um cartão de crédito. É a identificação padrão para pessoal de Defesa Ativa dos Estados Unidos, incluindo a Reserva Selecionada e a Guarda Nacional , funcionários civis do Departamento de Defesa dos Estados Unidos (DoD), funcionários civis da Guarda Costeira dos Estados Unidos (USCG) e pessoal qualificado do DoD e contratado do USCG. É também o principal cartão usado para permitir o acesso físico a edifícios e espaços controlados, e fornece acesso a redes e sistemas de computadores de defesa. Também serve como um cartão de identificação segundo as Convenções de Genebra (especialmente a Terceira Convenção de Genebra ). Em combinação com um número de identificação pessoal , um CAC atende ao requisito de autenticação de dois fatores : algo que o usuário sabe combinado com algo que o usuário possui. O CAC também atende aos requisitos para assinaturas digitais e tecnologias de criptografia de dados : autenticação, integridade e não repúdio .
O CAC é um item controlado. Em 2008, o DoD emitiu mais de 17 milhões de cartões inteligentes. Este número inclui reemissões para acomodar mudanças no nome, classificação ou status e para substituir cartas perdidas ou roubadas. Na mesma data, aproximadamente 3,5 milhões de CACs ativos ou não terminados estão em circulação. O DoD implantou uma infraestrutura de emissão em mais de 1.000 sites em mais de 25 países ao redor do mundo e está lançando mais de um milhão de leitores de cartão e middleware associado.
Emissão
O CAC é emitido para as Forças Armadas Ativas dos Estados Unidos (Regular, Reservas e Guarda Nacional) no Departamento de Defesa e na Guarda Costeira dos EUA; Civis do DoD; Civis USCG; não-DoD / outros funcionários do governo e funcionários públicos da Guarda Nacional; e contratados elegíveis do DoD e USCG que precisam de acesso às instalações do DoD ou USCG e / ou sistemas de rede de computadores do DoD:
- Serviço ativo das Forças Armadas dos EUA (incluindo cadetes e aspirantes das Academias de Serviço dos EUA)
- Membros da reserva das Forças Armadas dos EUA
- Membros da Guarda Nacional (Guarda Nacional do Exército e Guarda Aérea Nacional) das Forças Armadas dos EUA
- Administração Oceânica e Atmosférica Nacional
- Serviço de Saúde Pública dos Estados Unidos
- Funcionários essenciais para emergências
- Funcionários de contratados de contingência
- Cadetes e aspirantes ROTC de faculdade e universidade contratados
- Civis Estrangeiros Destacados
- Pessoal Não Combatente
- Civis do DoD / Uniformed Service que residem em instalações militares no CONUS , Havaí , Alasca , Porto Rico ou Guam
- DoD / Civis Uniformed Service ou Civil contratado que residam em um país estrangeiro por pelo menos 365 dias
- Nomeados presidenciais aprovados pelo Senado dos Estados Unidos
- Funcionários civis do DoD e veteranos militares dos Estados Unidos com uma classificação de deficiência em assuntos de veteranos de 100% P&T
- Funcionários elegíveis do DoD e do contratado USCG
- Não pertencentes ao DoD / outros funcionários do governo e estaduais da Guarda Nacional
Os planos futuros incluem a capacidade de armazenar informações adicionais por meio da incorporação de chips RFID ou outra tecnologia sem contato para permitir o acesso contínuo às instalações do DoD.
O programa que é usado atualmente para emitir CAC IDs é chamado de Sistema Automatizado de Identificação de Pessoal em Tempo Real (RAPIDS). O RAPIDS faz interface com o Joint Personnel Adjudication System (JPAS) e usa esse sistema para verificar se o candidato foi aprovado em uma investigação de antecedentes e na verificação de impressão digital do FBI. A inscrição para um CAC exige que o formulário DoD 1172-2 seja preenchido e, em seguida, apresentado à RAPIDS.
O sistema é seguro e monitorado pelo DoD em todos os momentos. Diferentes locais RAPIDS foram criados em instalações militares dentro e fora do teatro de combate para emitir novos cartões.
Projeto
Na frente do cartão, o fundo mostra a frase "DEPARTAMENTO DE DEFESA DOS EUA" repetida em todo o cartão. Uma foto colorida do proprietário é colocada no canto superior esquerdo. Abaixo da foto está o nome do proprietário. O canto superior direito exibe a data de expiração. Outras informações na frente incluem (se aplicável) o nível de pagamento do proprietário , categoria e identificador federal. Um código de barras bidimensional empilhado PDF417 é exibido no canto inferior esquerdo. E, um chip de circuito integrado (ICC) é colocado próximo à parte central inferior da placa.
Existem três esquemas de código de cores usados na parte frontal do CAC. Uma barra azul ao longo do nome do proprietário mostra que ele não é cidadão americano. Uma barra verde mostra que o proprietário é um empreiteiro. Nenhum bar é para todos os outros funcionários - incluindo militares e trabalhadores civis, entre outros.
O verso do cartão tem uma imagem fantasma do proprietário. E, se aplicável, o cartão também contém a data de nascimento, tipo de sangue, número de benefícios do DoD, categoria da Convenção de Genebra e Número de Identificação do DoD (também usado como o número da Convenção de Genebra, substituindo o número da Previdência Social usado anteriormente). O número DoD também é conhecido como Electronic Data Interchange Personal Identifier (EDIPI). Um código de barras linear Code 39 , bem como uma fita magnética, é colocado na parte superior e inferior do cartão. O número DoD ID / EDIPI permanece com o proprietário ao longo de sua carreira no DoD ou USCG, mesmo quando ele ou ela muda de serviço armado ou outros departamentos dentro do DoD ou USCG. Para militares dos EUA aposentados que posteriormente se tornarem civis do DoD ou USCG ou contratados do DoD ou USCG, o número de ID / EDIPI do DoD em seu CAC será o mesmo que em seu cartão de identificação de aposentado DD Form 2. Para cônjuges não militares, ex-cônjuges solteiros e viúvos / viúvos de militares dos EUA ativos, da reserva ou aposentados que se tornaram civis do DoD ou USCG ou contratados do DoD ou USCG, o número do DoD ID / EDIPI em seu CAC será o mesmo que em seu DD 1173 Uniformed Services Privilege and Identification Card (por exemplo, cartão de ID de dependente).
A frente do CAC é totalmente laminada, enquanto a parte traseira é laminada apenas na metade inferior (para evitar interferência com a tarja magnética).
O CAC é considerado resistente à fraude, adulteração, falsificação e exploração de identidade e fornece um meio eletrônico de autenticação rápida.
Atualmente, existem quatro variantes diferentes de CACs. O Cartão de Identificação das Convenções de Genebra é o CAC mais comum e é fornecido às forças armadas da ativa / reserva e militares uniformizados. O Cartão das Forças de Acompanhamento da Convenção de Genebra é emitido para o pessoal civil essencial para emergências. O ID e Cartão de Acesso Comum Privilege é para civis que residem em instalações militares. O cartão de identificação é para identificação do DOD / agência governamental para funcionários civis.
Encriptação
Até 2008, todos os CACs eram criptografados usando criptografia de 1.024 bits. A partir de 2008, o DoD mudou para a criptografia de 2.048 bits. O pessoal com os CACs mais antigos precisava obter novos CACs dentro do prazo. Em 1º de outubro de 2012, todos os certificados criptografados com menos de 2.048 bits foram colocados no status de revogação, tornando os CACs legados inúteis, exceto para identificação visual.
Uso
O CAC é projetado para fornecer autenticação de dois fatores : o que você tem (o cartão físico) e o que você sabe (o PIN ). Essa tecnologia CAC permite autenticação rápida e segurança física e lógica aprimorada. O cartão pode ser usado de várias maneiras.
Identificação visual
O CAC pode ser usado para identificação visual por meio de correspondência da foto colorida com o proprietário. Isso é usado para quando o usuário passa por um portão protegido ou compra itens de uma loja, como um PX / BX que requer um nível de privilégios para usar a instalação. Alguns estados permitem que o CAC seja usado como uma carteira de identidade emitida pelo governo, como para votar ou solicitar carteira de motorista.
Tarja magnética
A tarja magnética pode ser lida passando o cartão por um leitor de tarja magnética, semelhante a um cartão de crédito. A tarja magnética está realmente em branco quando o CAC é emitido. No entanto, seu uso é reservado para sistemas de segurança física localizados.
Chip de circuito integrado (ICC)
O chip de circuito integrado (ICC) contém informações sobre o proprietário, incluindo o PIN e um ou mais certificados digitais PKI . O ICC vem em capacidades diferentes, com as versões mais recentes emitidas em 64 e 144 kilobytes (KB).
O CAC pode ser usado para acesso a computadores e redes equipados com um ou mais leitores de smartcard . Depois de inserido no leitor, o dispositivo pede ao usuário um PIN. Uma vez que o PIN é inserido, o PIN é combinado com o PIN armazenado no CAC. Se for bem-sucedido, o número EDIPI é lido do certificado de ID no cartão e, em seguida, enviado a um sistema de processamento onde o número EDIPI corresponde a um sistema de controle de acesso, como Active Directory ou LDAP . O padrão DoD é que, após três tentativas incorretas de PIN, o chip no CAC será bloqueado.
O número EDIPI é armazenado em um certificado PKI. Dependendo do proprietário, o CAC contém um ou três certificados PKI. Se o CAC for usado apenas para fins de identificação, um certificado de ID é tudo o que é necessário. No entanto, para acessar um computador, assinar um documento ou criptografar e-mail, certificados de assinatura e criptografia também são necessários.
Um CAC funciona em praticamente todos os sistemas operacionais de computador modernos. Além do leitor, drivers e middleware também são necessários para ler e processar um CAC. O único middleware Microsoft Windows aprovado para CAC é o ActivClient - disponível apenas para pessoal autorizado do DoD. Outras alternativas não Windows incluem LPS-Public - uma solução não baseada em disco rígido.
DISA agora exige que todos os sites de intranet baseados em DoD forneçam autenticação de usuário por meio de um CAC para acessar o site. Os sistemas de autenticação variam dependendo do tipo de sistema, como Active Directory , RADIUS ou outra lista de controle de acesso .
O CAC é baseado em certificados X.509 com middleware de software, permitindo que um sistema operacional faça interface com o cartão por meio de um leitor de cartão de hardware. Embora fabricantes de cartões como a Schlumberger forneçam um conjunto de smartcard, leitor de cartão de hardware e middleware para Linux e Windows , nem todos os outros integradores de sistemas CAC fizeram o mesmo. Em uma tentativa de corrigir esta situação, a Apple Federal Systems fez um trabalho para adicionar algum suporte para cartões de acesso comuns às atualizações posteriores do sistema operacional Snow Leopard usando o projeto MUSCLE (Movimento para o uso de cartões inteligentes em um ambiente Linux) . O procedimento para isso foi documentado historicamente pela Naval Postgraduate School na publicação "CAC on a Mac", embora hoje a escola use software comercial. De acordo com testadores militares independentes e help desks, nem todos os cartões são suportados pelo código-fonte aberto associado ao trabalho da Apple, particularmente os cartões CACNG ou CAC-NG PIV II CAC recentes. O suporte de terceiros para cartões CAC no Mac está disponível em fornecedores como Centrify e Thursby Software. O Federal Engineering Management da Apple sugere não usar o suporte out-of-the-box no Mac OS X 10.6 Snow Leopard, mas em vez disso, oferece suporte a soluções de terceiros. O Mac OS X 10.7 Lion não tem suporte nativo para smart card. O software PKard para iOS da Thursby estende o suporte CAC para iPads e iPhones da Apple. Algum trabalho também foi feito no domínio do Linux. Alguns usuários estão usando o projeto MUSCLE combinado com o software Apple Public Source Licensed Common Access Card. Outra abordagem para resolver este problema, que agora está bem documentado, envolve o uso de um novo projeto, CoolKey, para obter a funcionalidade do Cartão de Acesso Comum. Este documento está disponível publicamente no Departamento de Dinâmicas e Previsões do Oceano do Laboratório de Pesquisa Naval . A Software Protection Initiative oferece um LiveCD com middleware CAC e certificado DoD em um sistema operacional Linux minimizado e focado em navegador, chamado LPS-Public, que funciona em computadores x86 Windows, Mac e Linux.
Códigos de barra
O CAC tem dois tipos de códigos de barras: PDF417 na frente e Código 39 na parte traseira.
Código de barras do patrocinador PDF417
| Valor de exemplo | Nome do campo | Tamanho | Descrição |
|---|---|---|---|
"IDUS"
|
Código de identificação | 4 | Cartão de patrocinador / dependente |
"3"
|
Versão do código de barras | 1 | |
| XX | Tamanho PDF417 | 2 | |
| X | PDF417 Checksum | 1 | |
| X | PDF417 RSize | 1 | |
"1"
|
Bandeira do patrocinador | 1 | 1 = Patrocinador 0 = Dependente |
"GREATHOUSE, TUYET"
|
Nome | 27 | Os últimos, Primeiro |
"999100096"
|
Identificador de designador de pessoa | 9 | 999-10-0096 |
"1"
|
Número de sequência da família | 1 | |
" "
|
Reservado para uso futuro | 9 | |
"00"
|
Sufixo dependente de DEERS | Patrocinador v3 | |
"60"
|
Polegadas de altura) | 2 | 5 '0 " |
"150"
|
Peso (libras) | 3 | 150 libras |
"RD"
|
Cor de cabelo | 2 | BK = Preto BR = Marrom BD = Loiro RD = Vermelho GY = Cinza WH = Branco BA = Careca OT = Outro |
"BR"
|
Cor dos olhos | 2 | BK = Preto BR = Marrom HZ = Avelã BL = Azul GY = Cinza GR = Verde OT = Outro |
"1992OCT31"
|
Data de nascimento | 9 | 19921031 |
"S"
|
Sinalizador de cuidado direto | 1 | S = ilimitado |
"M"
|
Bandeira CHAMPUS | 1 | M = Saúde Civil CHAMPUS |
"Y"
|
Bandeira Comissária | 1 | Y = elegível e ativo |
"Y"
|
Bandeira MWR | 1 | Y = elegível e ativo |
"U"
|
Trocar bandeira | 1 | U = ilimitado |
"2011OCT31"
|
Data Efetiva CHAMPUS | 9 | 20111031 |
"2057SEP30"
|
Data de Vencimento do CHAMPUS | 9 | 20570930 |
"2RET "
|
Número do formulário | 6 | DD Form 2 - Aposentado |
"2011NOV04"
|
Data de Emissão do Cartão | 9 | 20111104 |
"INDEF "
|
Data de Expiração do Cartão | 9 | Indeterminado |
"8 "
|
Código de segurança do cartão | 4 | |
"H"
|
Código de serviço / componente | 1 | |
"RET "
|
Status | 6 | RET = Membro aposentado com direito a pagamento de aposentadoria |
"USA "
|
Ramo de serviço | 5 | EUA = Exército dos EUA |
"PVT "
|
Classificação | 6 | PVT = Privado |
"E2 "
|
Nível salarial | 4 | |
"I "
|
Código da Convenção de Genebra | 3 | |
"UNK"
|
Tipo sanguíneo | 3 |
Código de Barras Dependente de PDF417
| Valor de exemplo | Nome do campo | Tamanho | Descrição |
|---|---|---|---|
"IDUS"
|
Código de identificação | 4 | Cartão de patrocinador / dependente |
| ... | ... | ... | ... |
"0"
|
Bandeira do patrocinador | 1 | 1 = patrocinador
0 = dependente |
| ... | ... | ... | ... |
"RET "
|
Status do patrocinador | 6 | RET = Membro aposentado com direito a pagamento de aposentadoria |
"USA "
|
Ramo de serviço do patrocinador | 5 | EUA = Exército dos EUA |
"PVT "
|
Classificação do patrocinador | 6 | PVT = Privado |
"E2 "
|
Classificação de pagamento do patrocinador | 4 | |
" TRUMBOLD, ERIC "
|
Nome do Patrocinador | 27 | |
"999100096"
|
Identificador do Designador da Pessoa do Patrocinador | 27 | |
"CH"
|
Relação | 2 | SP = Cônjuge
CH = criança |
Tecnologia RFID
Existem também alguns riscos de segurança em RFID. Para evitar o roubo de informações em RFID, em novembro de 2010, 2,5 milhões de luvas de proteção de radiofrequência foram entregues ao DoD, e outros cerca de 1,7 milhão a mais deveriam ser entregues em janeiro de 2011. Os escritórios de ID da RAPIDS em todo o mundo são obrigados a emitir uma capa com cada CAC. Quando um CAC é colocado em um suporte junto com outros cartões RFID, ele também pode causar problemas, como tentar abrir uma porta com um cartão de acesso quando ele está no mesmo suporte que um CAC. Apesar desses desafios, pelo menos uma organização civil, a NOAA, usa a tecnologia RFID para acessar as instalações em todo o país. O acesso geralmente é concedido após primeiro remover o CAC da blindagem de RF e, em seguida, segurá-lo contra um leitor montado em uma parede ou localizado em um pedestal. Assim que o CAC for autenticado em um servidor de segurança local, a porta será liberada ou um sinal será exibido para os guardas de segurança para conceder acesso à instalação.
Problemas comuns
O ICC é frágil e o desgaste normal pode inutilizar o cartão. Os cartões mais antigos tendem a laminar com a inserção / remoção repetida dos leitores, mas esse problema parece ser menos significativo com os cartões mais novos ( compatíveis com PIV ). Além disso, os contatos de ouro do ICC podem ficar sujos e exigir limpeza com solventes ou borracha de borracha.
Reparar ou substituir um CAC geralmente requer acesso a um recurso RAPIDS , causando alguns problemas práticos. Em locais remotos ao redor do mundo sem acesso direto à Internet ou acesso físico a uma instalação RAPIDS, um CAC se torna inútil se o cartão expirar ou se o número máximo de novas tentativas do PIN for atingido. Com base nos regulamentos para uso do CAC, um usuário no TAD / TDY deve visitar uma instalação RAPIDS para substituir ou desbloquear um CAC, geralmente exigindo viajar para outra localização geográfica ou mesmo retornar ao local de residência. O CAC PMO também criou uma estação de trabalho de redefinição de PIN CAC capaz de redefinir um PIN CAC bloqueado.
Para algumas redes DoD, o Active Directory (AD) é usado para autenticar usuários. O acesso ao Active Directory pai do computador é necessário ao tentar autenticar com um CAC para um determinado computador, pela primeira vez. O uso de, por exemplo, um computador laptop substituído em campo que não foi preparado com o CAC do usuário antes da remessa, seria impossível de usar sem alguma forma de acesso direto ao Active Directory de antemão. Outras soluções incluem o estabelecimento de contato com a intranet usando Internet de banda larga pública e VPN para a intranet, ou mesmo acesso à Internet via satélite por meio de um sistema VSAT quando em locais onde as telecomunicações não estão disponíveis, como em um local de desastre natural.
Veja também
- Crachá de acesso
- Credencial
- Identificador pessoal de intercâmbio eletrônico de dados
- FIPS 201 (PIV)
- Documento de identidade
- Cartão de acesso
- Cartão de tarja magnética
- Segurança física
- Cartão de proximidade
- Cartão magnético
- Credencial de identificação do trabalhador de transporte
- Cartão de Privilégio e Identificação de Serviços Uniformizados dos Estados Unidos
Referências
links externos
- "Centro de Referência AKO CAC" . us.army.mil .
- “CAC: Cartão de Acesso Comum” . cac.mil .
- "Assistência de instalação CAC e solução de problemas para seu computador doméstico ou laptop pessoal" . militarycac.com .
- "Centro de dados de recursos humanos de defesa" . dmdc.osd.mil .
- "Localizador de sites RAPIDS" . dmdc.osd.mil .