La tarjeta de acceso común , también conocida comúnmente como CAC , es la identificación estándar para el personal de defensa en servicio activo de los Estados Unidos. La tarjeta en sí es una tarjeta inteligente del tamaño de una tarjeta de crédito. [1] El personal de defensa que utiliza la CAC incluye la Reserva Seleccionada y la Guardia Nacional , los empleados civiles del Departamento de Defensa de los Estados Unidos (DoD), los empleados civiles de la Guardia Costera de los Estados Unidos (USCG) y el personal contratista elegible del DoD y la USCG. [1] También es la tarjeta principal que se utiliza para permitir el acceso físico a edificios y espacios controlados, y proporciona acceso a redes y sistemas informáticos de defensa. También sirve como tarjeta de identificación según las Convenciones de Ginebra (especialmente la Tercera Convención de Ginebra ). En combinación con un número de identificación personal , una CAC satisface el requisito de autenticación de dos factores : algo que el usuario sabe combinado con algo que el usuario tiene. La CAC también satisface los requisitos de las tecnologías de firma digital y cifrado de datos : autenticación, integridad y no repudio .
La tarjeta CAC es un artículo controlado. En 2008 [ se necesita actualizar ] , el Departamento de Defensa ha emitido más de 17 millones de tarjetas inteligentes. Esta cifra incluye las reemisiones para dar cabida a cambios de nombre, rango o estatus y para sustituir tarjetas perdidas o robadas. En la misma fecha, se encuentran en circulación aproximadamente 3,5 millones de tarjetas CAC activas o no terminadas. El Departamento de Defensa ha desplegado una infraestructura de emisión en más de 1.000 sitios en más de 25 países de todo el mundo y está desplegando más de un millón de lectores de tarjetas y middleware asociado. [ ¿cuándo? ]
El CAC se emite a las Fuerzas Armadas de los Estados Unidos activas (Regular, Reservas y Guardia Nacional) en el Departamento de Defensa y la Guardia Costera de los EE. UU.; civiles del Departamento de Defensa; civiles de la Guardia Costera de los EE. UU.; empleados gubernamentales no pertenecientes al Departamento de Defensa u otros empleados estatales de la Guardia Nacional; y contratistas elegibles del Departamento de Defensa y la Guardia Costera de los EE. UU. que necesitan acceso a las instalaciones del Departamento de Defensa o la Guardia Costera de los EE. UU. y/o a los sistemas de redes informáticas del Departamento de Defensa:
Los planes futuros incluyen la capacidad de almacenar información adicional mediante la incorporación de chips RFID u otra tecnología sin contacto para permitir un acceso sin problemas a las instalaciones del Departamento de Defensa.
El programa que se utiliza actualmente para emitir identificaciones CAC se denomina Sistema automatizado de identificación de personal en tiempo real (RAPIDS). RAPIDS interactúa con el Sistema conjunto de adjudicación de personal (JPAS) y utiliza este sistema para verificar que el candidato haya pasado una investigación de antecedentes y una verificación de huellas dactilares del FBI. Para solicitar una CAC es necesario completar el formulario 1172-2 del Departamento de Defensa y luego presentarlo en RAPIDS.
El sistema es seguro y está supervisado por el Departamento de Defensa en todo momento. Se han establecido diferentes sitios RAPIDS en instalaciones militares dentro y fuera del teatro de operaciones para emitir nuevas tarjetas.
En el frente de la tarjeta, el fondo muestra la frase "US DEPARTMENT OF DEFENSE" repetida en toda la tarjeta. Una foto en color del titular de la tarjeta se coloca en la esquina superior izquierda. Debajo de la foto se encuentra el nombre del titular de la tarjeta. La esquina superior derecha muestra la fecha de vencimiento. Otra información en el frente incluye (si corresponde) el grado de pago , el rango y el identificador federal del titular. Un código de barras apilado PDF417 se muestra en la esquina inferior izquierda. Un chip de circuito integrado (ICC) se coloca cerca de la parte inferior central del frente de la tarjeta.
En el frente de la tarjeta CAC se utilizan tres esquemas de códigos de colores. Una barra azul sobre el nombre del titular indica que el titular de la tarjeta no es ciudadano estadounidense. Una barra verde indica que el titular de la tarjeta es un contratista. La ausencia de una barra indica que el titular de la tarjeta es el resto del personal, incluidos el personal militar y los trabajadores civiles, entre otros.
El reverso de la tarjeta tiene una imagen fantasma del titular de la misma. Si corresponde, la tarjeta también contiene la fecha de nacimiento, el tipo de sangre, el número de beneficios del Departamento de Defensa, la categoría de la Convención de Ginebra y el número de identificación del Departamento de Defensa del titular (también se utiliza como el número de la Convención de Ginebra, en sustitución del número de la Seguridad Social utilizado anteriormente). El número del Departamento de Defensa también se conoce como Identificador Personal de Intercambio Electrónico de Datos (EDIPI). Un código de barras Código 39 y una banda magnética se encuentran en la parte superior e inferior de la tarjeta, respectivamente. El número de identificación del Departamento de Defensa/EDIPI del titular de la tarjeta es permanente durante toda su carrera en el Departamento de Defensa o la Guardia Costera de los Estados Unidos, independientemente del departamento o la división. Asimismo, el número permanente acompaña al personal militar retirado de los Estados Unidos que posteriormente se convierte en civiles del Departamento de Defensa o la Guardia Costera de los Estados Unidos o en contratistas del Departamento de Defensa o la Guardia Costera de los Estados Unidos que necesitan una tarjeta. Además, para los cónyuges no militares, ex cónyuges solteros nuevamente y viudas/viudos de personal militar estadounidense activo, de reserva o retirado que se conviertan en civiles del Departamento de Defensa o la Guardia Costera de los EE. UU. o en contratistas del Departamento de Defensa o la Guardia Costera de los EE. UU., el número de identificación/EDIPI del Departamento de Defensa en su CAC será el mismo que el que aparece en su Tarjeta de identificación y privilegio de servicios uniformados DD 1173 (por ejemplo, tarjeta de identificación de dependiente).
La parte frontal del CAC está completamente laminada, mientras que la parte posterior solo está laminada en la mitad inferior (para evitar interferencias con la banda magnética). [2]
Se dice que el CAC es resistente al fraude de identidad, [3] la manipulación, la falsificación y la explotación y proporciona un medio electrónico de autenticación rápida.
Actualmente existen cuatro variantes diferentes de las tarjetas de identificación de la Convención de Ginebra. [1] La tarjeta de identificación de la Convención de Ginebra es la tarjeta de identificación más común y se otorga a las fuerzas armadas en servicio activo o de reserva y a los miembros de las fuerzas armadas uniformadas. La tarjeta de acompañamiento de las fuerzas de la Convención de Ginebra se emite al personal civil esencial en caso de emergencia. La tarjeta de acceso común de identificación y privilegios es para civiles que residen en instalaciones militares. La tarjeta de identificación es para la identificación de empleados civiles por parte del Departamento de Defensa o de una agencia gubernamental.
Hasta 2008, todos los CAC se cifraban con un cifrado de 1024 bits. A partir de 2008, el Departamento de Defensa cambió al cifrado de 2048 bits. [4] El personal con los CAC más antiguos tenía que obtener los nuevos antes de la fecha límite. [4] El 1 de octubre de 2012, todos los certificados cifrados con menos de 2048 bits pasaron a estado de revocación, lo que hizo que los CAC antiguos fueran inútiles, excepto para la identificación visual. [4]
La CAC está diseñada para proporcionar autenticación de dos factores : lo que tienes (la tarjeta física) y lo que sabes (el PIN ). Esta tecnología CAC permite una autenticación rápida y una seguridad física y lógica mejorada. La tarjeta se puede utilizar de diversas maneras.
El CAC se puede utilizar para la identificación visual mediante la comparación de la foto en color con el propietario. Esto se utiliza cuando el usuario pasa por una puerta vigilada o compra artículos en una tienda, como una PX/BX que requiere un nivel de privilegios para usar la instalación. Algunos estados permiten que el CAC se utilice como una tarjeta de identificación emitida por el gobierno, como para votar o solicitar una licencia de conducir.
La banda magnética se puede leer al pasar la tarjeta por un lector de banda magnética, de forma muy similar a una tarjeta de crédito. En realidad, la banda magnética está en blanco cuando se emite la tarjeta CAC. Sin embargo, su uso está reservado para sistemas de seguridad física localizados. [5] La banda magnética se eliminó en el primer trimestre de 2018. [6]
El chip de circuito integrado (ICC) contiene información sobre el propietario, incluido el PIN y uno o más certificados digitales PKI . El ICC viene en diferentes capacidades; las versiones más recientes se emiten en 64 y 144 kilobytes (KB). [ cita requerida ]
El CAC se puede utilizar para acceder a ordenadores y redes equipados con uno o más lectores de tarjetas inteligentes . Una vez insertado en el lector, el dispositivo solicita al usuario un PIN. Una vez introducido, se compara con el PIN almacenado en el CAC. Si se obtiene un resultado positivo, se lee el número EDIPI del certificado de identificación de la tarjeta y, a continuación, se envía a un sistema de procesamiento donde se compara con un sistema de control de acceso, como Active Directory o LDAP . El estándar del Departamento de Defensa es que después de tres intentos incorrectos de introducir el PIN, el chip del CAC se bloquea.
El número EDIPI se almacena en un certificado PKI. Según el propietario, el CAC contiene uno o tres certificados PKI. Si el CAC se utiliza únicamente con fines de identificación, basta con un certificado de identificación. Sin embargo, para acceder a un ordenador, firmar un documento o cifrar un correo electrónico, también se necesitan certificados de firma y cifrado.
Un CAC funciona en prácticamente todos los sistemas operativos de computadoras modernas. Además del lector, también se requieren controladores y middleware para leer y procesar un CAC. El único middleware de Microsoft Windows aprobado para CAC es ActivClient, disponible solo para personal autorizado del Departamento de Defensa. Otras alternativas que no son de Windows incluyen LPS-Public, una solución que no se basa en un disco duro.
La DISA ahora exige que todos los sitios de intranet basados en el Departamento de Defensa proporcionen autenticación de usuario mediante un CAC para poder acceder al sitio. Los sistemas de autenticación varían según el tipo de sistema, como Active Directory , RADIUS u otra lista de control de acceso .
CAC se basa en certificados X.509 con middleware de software que permite que un sistema operativo interactúe con la tarjeta a través de un lector de tarjetas de hardware. Aunque los fabricantes de tarjetas como Schlumberger proporcionaron un conjunto de tarjetas inteligentes, lectores de tarjetas de hardware y middleware tanto para Linux como para Windows , no todos los demás integradores de sistemas CAC hicieron lo mismo. En un intento por corregir esta situación, Apple Federal Systems ha trabajado para agregar algo de soporte para tarjetas de acceso común a sus actualizaciones posteriores del sistema operativo Snow Leopard de forma predeterminada utilizando el proyecto MUSCLE (Movimiento para el uso de tarjetas inteligentes en un entorno Linux). El procedimiento para esto fue documentado históricamente por la Escuela Naval de Postgrado en la publicación "CAC en una Mac" [7] aunque hoy la escuela usa software comercial. Según los probadores militares independientes y los servicios de asistencia, no todas las tarjetas son compatibles con el código fuente abierto asociado con el trabajo de Apple, en particular las recientes tarjetas CAC CACNG o CAC-NG PIV II. [8] El soporte de terceros para tarjetas CAC en Mac está disponible a través de proveedores como Centrify y Thursby Software. [9] La Dirección Federal de Ingeniería de Apple sugiere no utilizar el soporte listo para usar en Mac OS X 10.6 Snow Leopard [10] sino soluciones de terceros compatibles. Mac OS X 10.7 Lion no tiene soporte nativo para tarjetas inteligentes. El software PKard para iOS de Thursby extiende el soporte CAC a iPads y iPhones de Apple. También se ha realizado algún trabajo en el ámbito Linux. Algunos usuarios están utilizando el proyecto MUSCLE combinado con el software Apple Public Source Licensed Common Access Card de Apple. Otro enfoque para resolver este problema, que ahora está bien documentado, implica el uso de un nuevo proyecto, CoolKey, [11] para obtener la funcionalidad de Common Access Card. Este documento está disponible públicamente en la División de Predicciones y Dinámica Oceánica del Laboratorio de Investigación Naval . [12]
El CAC tiene dos tipos de códigos de barras: PDF417 en la parte frontal y Código 39 en la parte trasera.
La tecnología RFID también entraña algunos riesgos de seguridad. Para evitar el robo de información mediante RFID, en noviembre de 2010 se entregaron al Departamento de Defensa 2,5 millones de fundas de protección contra radiofrecuencias y se entregaron aproximadamente 1,7 millones más en enero de 2011. [13] Las oficinas de identificación RAPIDS de todo el mundo deben emitir una funda con cada CAC. [13] Cuando se coloca una CAC en un soporte junto con otras tarjetas RFID, también puede causar problemas, como intentar abrir una puerta con una tarjeta de acceso cuando está en el mismo soporte que una CAC. A pesar de estos desafíos, al menos una organización civil, la NOAA, utiliza la tecnología RFID para acceder a instalaciones en todo el país. El acceso suele concederse después de retirar primero la CAC del protector de radiofrecuencia y luego sostenerla contra un lector montado en una pared o ubicado en un pedestal. Una vez que la CAC se autentica en un servidor de seguridad local, la puerta se abrirá o se mostrará una señal a los guardias de seguridad para permitir el acceso a la instalación.
El ICC es frágil y el desgaste habitual puede hacer que la tarjeta quede inutilizable. Las tarjetas más antiguas tienden a deslaminarse con la inserción y extracción repetidas de los lectores, pero este problema parece ser menos significativo con las tarjetas más nuevas ( compatibles con PIV ). Además, los contactos dorados del ICC pueden ensuciarse y requerir limpieza con solventes o con un borrador de lápiz de goma.
Para reparar o reemplazar un CAC, normalmente es necesario acceder a una instalación RAPIDS , lo que ocasiona algunos problemas prácticos. En lugares remotos del mundo sin acceso directo a Internet o acceso físico a una instalación RAPIDS, un CAC se vuelve inútil si la tarjeta caduca o si se alcanza el número máximo de reintentos del PIN. Según las normas para el uso de un CAC, un usuario en TAD/TDY debe visitar una instalación RAPIDS para reemplazar o desbloquear un CAC, lo que normalmente requiere viajar a otra ubicación geográfica o incluso regresar a su ubicación de origen. La CAC PMO [14] también ha creado una estación de trabajo de restablecimiento de PIN de CAC capaz de restablecer un PIN de CAC bloqueado.
En algunas redes del Departamento de Defensa, se utiliza Active Directory (AD) para autenticar a los usuarios. Se requiere acceso al Active Directory principal de la computadora cuando se intenta autenticar con un CAC para una computadora determinada por primera vez. Por ejemplo, sería imposible utilizar una computadora portátil reemplazada en el campo que no se preparó con el CAC del usuario antes del envío sin alguna forma de acceso directo a Active Directory de antemano. Otras soluciones incluyen establecer contacto con la intranet mediante Internet de banda ancha pública y luego una VPN a la intranet, o incluso acceso a Internet satelital a través de un sistema VSAT cuando se está en lugares donde no hay telecomunicaciones disponibles, como en un lugar donde se produjo un desastre natural.
{{cite web}}: La cita utiliza un título genérico ( ayuda ){{cite web}}: CS1 maint: archived copy as title (link)