La Tarjeta de Acceso Común , también conocida comúnmente como CAC , es la identificación estándar para el personal de Defensa de los Estados Unidos en servicio activo. La tarjeta en sí es una tarjeta inteligente del tamaño de una tarjeta de crédito. [1] El personal de defensa que utiliza el CAC incluye la Reserva Seleccionada y la Guardia Nacional , los empleados civiles del Departamento de Defensa (DoD) de los Estados Unidos , los empleados civiles de la Guardia Costera de los Estados Unidos (USCG) y el personal contratista elegible del DoD y la USCG. [1] También es la tarjeta principal utilizada para permitir el acceso físico a edificios y espacios controlados, y proporciona acceso a redes y sistemas informáticos de defensa. También sirve como tarjeta de identificación según los Convenios de Ginebra (especialmente el Tercer Convenio de Ginebra ). En combinación con un número de identificación personal , un CAC satisface el requisito de autenticación de dos factores : algo que el usuario sabe combinado con algo que tiene. El CAC también satisface los requisitos de las tecnologías de firma digital y cifrado de datos : autenticación, integridad y no repudio .
El CAC es un elemento controlado. En 2008 [ necesita actualización ] , el Departamento de Defensa ha emitido más de 17 millones de tarjetas inteligentes. Este número incluye reemisiones para adaptarse a cambios de nombre, rango o estado y para reemplazar tarjetas perdidas o robadas. A la misma fecha, se encuentran en circulación aproximadamente 3,5 millones de CAC no terminadas o activas. El Departamento de Defensa ha implementado una infraestructura de emisión en más de 1000 sitios en más de 25 países alrededor del mundo y está implementando más de un millón de lectores de tarjetas y middleware asociado. [ ¿ cuando? ]
El CAC se emite a las Fuerzas Armadas Activas de los Estados Unidos (Regulares, Reservas y Guardia Nacional) en el Departamento de Defensa y la Guardia Costera de los Estados Unidos; civiles del Departamento de Defensa; civiles de la USCG; no pertenecientes al Departamento de Defensa/otros empleados gubernamentales y empleados estatales de la Guardia Nacional; y contratistas elegibles del DoD y la USCG que necesitan acceso a las instalaciones del DoD o la USCG y/o a los sistemas de redes informáticas del DoD:
Los planes futuros incluyen la capacidad de almacenar información adicional mediante la incorporación de chips RFID u otra tecnología sin contacto para permitir un acceso perfecto a las instalaciones del Departamento de Defensa.
El programa que se utiliza actualmente para emitir ID de CAC se llama Sistema Automatizado de Identificación de Personal en Tiempo Real (RAPIDS). RAPIDS interactúa con el Sistema Conjunto de Adjudicación de Personal (JPAS) y utiliza este sistema para verificar que el candidato haya pasado una investigación de antecedentes y una verificación de huellas dactilares del FBI. Solicitar un CAC requiere completar el formulario 1172-2 del Departamento de Defensa y luego presentarlo ante RAPIDS.
El sistema es seguro y supervisado por el Departamento de Defensa en todo momento. Se han establecido diferentes sitios RAPIDS en instalaciones militares dentro y fuera del teatro de combate para emitir nuevas tarjetas.
En el frente de la tarjeta, el fondo muestra la frase "DEPARTAMENTO DE DEFENSA DE EE. UU." repetida en toda la tarjeta. En la esquina superior izquierda se coloca una fotografía en color del titular de la tarjeta. Debajo de la foto está el nombre del titular de la tarjeta. La esquina superior derecha muestra la fecha de vencimiento. Otra información en el frente incluye (si corresponde) la del titular: grado salarial , rango e identificador federal. Se muestra un código de barras apilado PDF417 en la esquina inferior izquierda. Se coloca un chip de circuito integrado (ICC) cerca de la parte inferior central del frente de la tarjeta.
Hay tres esquemas de códigos de colores utilizados en el frente del CAC. Una barra azul a lo largo del nombre del titular muestra que el titular de la tarjeta no es ciudadano estadounidense. Una barra verde muestra que el titular de la tarjeta es un contratista. La ausencia de una barra indica a todo el resto del personal, incluido el personal militar y los trabajadores civiles, entre otros.
El reverso de la tarjeta tiene una imagen fantasma del titular de la tarjeta. Si corresponde, la tarjeta también contiene la fecha de nacimiento, el tipo de sangre, el número de beneficios del Departamento de Defensa, la categoría del Convenio de Ginebra y el número de identificación del Departamento de Defensa del titular (también utilizado como número del Convenio de Ginebra, en sustitución del número de seguro social utilizado anteriormente). El número DoD también se conoce como Identificador personal de intercambio electrónico de datos (EDIPI). Un código de barras Código 39 y una banda magnética se encuentran en la parte superior e inferior de la tarjeta, respectivamente. El número de identificación del DoD/EDIPI del titular de la tarjeta es permanente durante toda su carrera en el DoD o la USCG, independientemente del departamento o división. Del mismo modo, el número permanente sigue al personal militar estadounidense retirado que posteriormente se convierte en civiles del Departamento de Defensa o la USCG o en contratistas del Departamento de Defensa o la USCG que necesitan una tarjeta. Además, para los cónyuges no militares, ex cónyuges que no se han vuelto a casar y viudos/viudas de personal militar estadounidense activo, de reserva o retirado que se convierten ellos mismos en civiles del DoD o la USCG o en contratistas del DoD o la USCG, el número de identificación/EDIPI del DoD en su CAC será el igual que en su Tarjeta de identificación y privilegios de servicios uniformados DD 1173 (por ejemplo, tarjeta de identificación de dependiente).
El frente del CAC está completamente laminado, mientras que la parte posterior solo está laminada en la mitad inferior (para evitar interferencias con la banda magnética). [2]
Se dice que la CAC es resistente al fraude de identidad, [3] manipulación, falsificación y explotación y proporciona un medio electrónico de autenticación rápida.
Actualmente existen cuatro variantes diferentes de CAC. [1] La Tarjeta de Identificación de los Convenios de Ginebra es el CAC más común y se otorga a las fuerzas armadas en servicio activo/reserva y a los miembros del servicio uniformado. La Tarjeta de Fuerzas de Acompañamiento de la Convención de Ginebra se emite al personal civil esencial para emergencias. La Tarjeta de Acceso Común ID y Privilegios es para civiles que residen en instalaciones militares. La tarjeta de identificación es para la identificación del Departamento de Defensa/Agencia Gubernamental para empleados civiles.
Hasta 2008, todos los CAC se cifraban mediante cifrado de 1.024 bits. A partir de 2008, el Departamento de Defensa cambió al cifrado de 2048 bits. [4] El personal con los CAC más antiguos tenía que obtener nuevos CAC antes de la fecha límite. [4] El 1 de octubre de 2012, todos los certificados cifrados con menos de 2048 bits se colocaron en estado de revocación, lo que hizo que los CAC heredados fueran inútiles excepto para la identificación visual. [4]
El CAC está diseñado para proporcionar autenticación de dos factores : lo que tienes (la tarjeta física) y lo que sabes (el PIN ). Esta tecnología CAC permite una autenticación rápida y una seguridad física y lógica mejorada. La tarjeta se puede utilizar de diversas formas.
El CAC se puede utilizar para la identificación visual haciendo coincidir la fotografía en color con la del propietario. Esto se utiliza cuando el usuario pasa por una puerta vigilada o compra artículos en una tienda, como un PX/BX, que requieren un nivel de privilegios para usar la instalación. Algunos estados permiten que el CAC se utilice como tarjeta de identificación emitida por el gobierno, como para votar o solicitar una licencia de conducir.
La banda magnética se puede leer pasando la tarjeta por un lector de banda magnética, muy parecido a una tarjeta de crédito. En realidad, la banda magnética está en blanco cuando se emite el CAC. Sin embargo, su uso está reservado para sistemas de seguridad física localizados. [5] La banda magnética fue eliminada en el primer trimestre de 2018. [6]
El chip de circuito integrado (ICC) contiene información sobre el propietario, incluido el PIN y uno o más certificados digitales PKI . El ICC viene en diferentes capacidades, y las versiones más recientes se emiten en 64 y 144 kilobytes (KB). [ cita necesaria ]
El CAC se puede utilizar para acceder a computadoras y redes equipadas con uno o más lectores de tarjetas inteligentes . Una vez insertado en el lector, el dispositivo solicita un PIN al usuario. Una vez que se ingresa el PIN, el PIN coincide con el PIN almacenado en el CAC. Si tiene éxito, el número EDIPI se lee en el certificado de identificación de la tarjeta y luego se envía a un sistema de procesamiento donde el número EDIPI coincide con un sistema de control de acceso, como Active Directory o LDAP . El estándar del Departamento de Defensa es que después de tres intentos de PIN incorrectos, el chip del CAC se bloqueará.
El número EDIPI se almacena en un certificado PKI. Dependiendo del propietario, el CAC contiene uno o tres certificados PKI. Si el CAC se utiliza únicamente con fines de identificación, todo lo que se necesita es un certificado de identificación. Sin embargo, para acceder a una computadora, firmar un documento o cifrar un correo electrónico, también se requieren certificados de firma y cifrado.
Un CAC funciona en prácticamente todos los sistemas operativos informáticos modernos. Además del lector, también se requieren controladores y middleware para leer y procesar un CAC. El único middleware de Microsoft Windows aprobado para CAC es ActivClient, disponible únicamente para el personal autorizado del Departamento de Defensa. Otras alternativas que no son de Windows incluyen LPS-Public, una solución que no está basada en disco duro.
DISA ahora requiere que todos los sitios de intranet basados en el Departamento de Defensa proporcionen autenticación de usuario a través de un CAC para poder acceder al sitio. Los sistemas de autenticación varían según el tipo de sistema, como Active Directory , RADIUS u otra lista de control de acceso .
CAC se basa en certificados X.509 con middleware de software que permite que un sistema operativo interactúe con la tarjeta a través de un lector de tarjetas de hardware. Aunque los fabricantes de tarjetas como Schlumberger proporcionaron un conjunto de tarjetas inteligentes, lectores de tarjetas de hardware y middleware tanto para Linux como para Windows , no todos los demás integradores de sistemas CAC hicieron lo mismo. En un intento por corregir esta situación, Apple Federal Systems ha trabajado para agregar algo de soporte para tarjetas de acceso común a sus actualizaciones posteriores del sistema operativo Snow Leopard listas para usar utilizando el proyecto MUSCLE (Movimiento para el uso de tarjetas inteligentes en un entorno Linux). . El procedimiento para esto fue documentado históricamente por la Escuela de Postgrado Naval en la publicación "CAC on a Mac" [7] aunque hoy la escuela utiliza software comercial. Según los evaluadores militares independientes y los servicios de asistencia técnica, no todas las tarjetas son compatibles con el código fuente abierto asociado con el trabajo de Apple, en particular las recientes tarjetas CACNG o CAC-NG PIV II CAC. [8] El soporte de terceros para tarjetas CAC en Mac está disponible a través de proveedores como Centrify y Thursby Software. [9] La Administración Federal de Ingeniería de Apple sugiere no utilizar el soporte listo para usar en Mac OS X 10.6 Snow Leopard [10] sino que admite soluciones de terceros. Mac OS X 10.7 Lion no tiene soporte nativo para tarjetas inteligentes. El software PKard para iOS de Thursby amplía la compatibilidad con CAC a los iPad y iPhone de Apple. También se han realizado algunos trabajos en el ámbito de Linux. Algunos usuarios están utilizando el proyecto MUSCLE combinado con el software de tarjeta de acceso común con licencia de fuente pública de Apple . Otro enfoque para resolver este problema, que ahora está bien documentado, implica el uso de un nuevo proyecto, CoolKey, [11] para obtener la funcionalidad de Tarjeta de Acceso Común. Este documento está disponible públicamente en la Subdivisión de Predicciones y Dinámica Oceánica del Laboratorio de Investigación Naval . [12]
El CAC tiene dos tipos de códigos de barras: PDF417 en la parte delantera y Código 39 en la parte trasera.
También existen algunos riesgos de seguridad en RFID. Para evitar el robo de información en RFID, en noviembre de 2010, se entregaron al Departamento de Defensa 2,5 millones de fundas protectoras de radiofrecuencia, y en enero de 2011 se entregarían aproximadamente otros 1,7 millones más. [13] Las oficinas de RAPIDS ID en todo el mundo están obligadas a emitir una manga con cada CAC. [13] Cuando un CAC se coloca en un soporte junto con otras tarjetas RFID, también puede causar problemas, como intentar abrir una puerta con una tarjeta de acceso cuando está en el mismo soporte que un CAC. A pesar de estos desafíos, al menos una organización civil, la NOAA, utiliza la tecnología RFID para acceder a instalaciones en todo el país. Por lo general, el acceso se otorga después de retirar primero el CAC del blindaje de RF y luego sostenerlo contra un lector, ya sea montado en una pared o ubicado en un pedestal. Una vez que el CAC se autentica en un servidor de seguridad local, la puerta se abrirá o se mostrará una señal a los guardias de seguridad para otorgar acceso a las instalaciones.
La ICC es frágil y el desgaste regular puede inutilizar la tarjeta. Las tarjetas más antiguas tienden a deslaminarse con la inserción y extracción repetidas de los lectores, pero este problema parece ser menos significativo con las tarjetas más nuevas ( compatibles con PIV ). Además, los contactos dorados del ICC pueden ensuciarse y requerir limpieza con solventes o con un borrador de lápiz.
Reparar o reemplazar un CAC generalmente requiere acceso a una instalación RAPIDS , lo que causa algunos problemas prácticos. En ubicaciones remotas alrededor del mundo sin acceso directo a Internet o acceso físico a una instalación RAPIDS, un CAC queda inútil si la tarjeta caduca o si se alcanza el número máximo de reintentos del PIN. Según las regulaciones para el uso de CAC, un usuario de TAD/TDY debe visitar una instalación de RAPIDS para reemplazar o desbloquear un CAC, lo que generalmente requiere viajar a otra ubicación geográfica o incluso regresar a su lugar de origen. La PMO de CAC [14] también ha creado una estación de trabajo de restablecimiento de PIN de CAC capaz de restablecer un PIN de CAC bloqueado.
Para algunas redes del Departamento de Defensa, se utiliza Active Directory (AD) para autenticar a los usuarios. Se requiere acceso al Active Directory principal de la computadora cuando se intenta autenticarse con un CAC para una computadora determinada, por primera vez. El uso de, por ejemplo, una computadora portátil reemplazada en el campo que no estaba preparada con el CAC del usuario antes del envío sería imposible de usar sin alguna forma de acceso directo a Active Directory de antemano. Otras soluciones incluyen establecer contacto con la intranet mediante el uso de Internet de banda ancha pública y luego VPN a la intranet, o incluso acceso a Internet por satélite a través de un sistema VSAT cuando se encuentre en lugares donde las telecomunicaciones no estén disponibles, como en un lugar de desastre natural.
{{cite web}}: La cita utiliza un título genérico ( ayuda ){{cite web}}: CS1 maint: archived copy as title (link)