共通アクセスカード
一般にCACとも呼ばれるCommon Access Cardは、クレジットカードのサイズのスマートカードです。これは、現役の米国国防要員の標準的な身分証明書であり、選択予備役および国家警備隊、米国国防総省(DoD)民間人従業員、米国沿岸警備隊(USCG)民間人従業員、および適格なDoDおよびUSCG請負業者人員を含みます。また、建物や管理されたスペースへの物理的なアクセスを可能にするために使用される主要なカードであり、防衛コンピューターのネットワークおよびシステムへのアクセスを提供します。また、ジュネーブ条約(特に第三ジュネーブ条約)の下で身分証明書として機能します。個人識別番号と組み合わせて、CACは2要素認証の要件を満たします。ユーザーが知っているものとユーザーが持っているものを組み合わせたものです。 CACは、デジタル署名とデータ暗号化技術の要件である認証、整合性、否認防止も満たしています。
CACは管理されたアイテムです。 2008年現在、DoDは1,700万枚以上のスマートカードを発行しています。この番号には、名前、ランク、またはステータスの変更に対応し、紛失または盗難にあったカードを交換するための再発行が含まれます。同じ日付で、約350万の未終了またはアクティブなCACが流通しています。 DoDは、世界25か国以上の1,000以上のサイトに発行インフラストラクチャを展開し、100万を超えるカードリーダーと関連ミドルウェアを展開しています。
発行
CACは、国防総省および米国沿岸警備隊の活動中の米国軍隊(正規、予備、国家警備隊)に発行されます。沿岸警備隊補助; DoD民間人; USCG民間人;非DoD /他の政府職員および国家警備隊の州職員;およびDoDまたはUSCG施設および/またはDoDコンピューターネットワークシステムへのアクセスを必要とする適格なDoDおよびUSCG請負業者:
- 現役米軍(アメリカ軍士官候補生と士官候補生を含む)
- 米軍の予備メンバー
- 米軍の州兵(陸軍州兵および空軍州兵)メンバー
- 国立海洋大気庁
- 米国公衆衛生局
- 緊急に不可欠な従業員
- 緊急時の請負業者の従業員
- 契約カレッジおよび大学ROTC士官候補生
- 海外の民間人を展開
- 非戦闘員
- コナス、ハワイ、アラスカ、プエルトリコ、またはグアムの軍事施設に居住する国防総省/統一サービス民間人
- 外国に少なくとも365日間居住するDoD /統一サービス民間人または契約民間人
- 米国上院で承認された大統領選任者
- DoD民間人の従業員、および退役軍人障害の評価が100%P&Tの米国軍退役軍人
- 資格のある国防総省およびUSCG請負業者の従業員
- 国家警備隊の非DoD /その他の政府および州の従業員
今後の計画には、DoD施設へのシームレスなアクセスを可能にするために、RFIDチップまたはその他の非接触技術を組み込むことにより、追加情報を保存する機能が含まれます。
CAC IDの発行に現在使用されているプログラムは、リアルタイム自動人事識別システム(RAPIDS)と呼ばれます。 RAPIDSは、Joint Personnel Adjudication System(JPAS)と連動し、このシステムを使用して、候補者がバックグラウンド調査とFBI指紋チェックに合格したことを確認します。 CACを申請するには、DoDフォーム1172-2に記入してからRAPIDSで提出する必要があります。
システムは安全であり、DoDによって常に監視されています。新しいカードを発行するために、戦闘施設内外の軍事施設全体にさまざまなRAPIDSサイトが設定されています。
設計
カードの前面の背景には、「米国国防総省」というフレーズがカード全体にわたって繰り返されています。所有者のカラー写真が左上隅に配置されます。写真の下は所有者の名前です。右上隅には有効期限が表示されます。前面の他の情報には、所有者の給与等級、ランク、および連邦識別子が(該当する場合)含まれます。 PDF417スタックの2次元バーコードが左下隅に表示されます。また、集積回路チップ(ICC)がカードの下部中央付近に配置されています。
CACの前面で使用される3つのカラーコードスキームがあります。所有者の名前の横にある青いバーは、所有者が非米国市民であることを示しています。緑色のバーは、所有者が請負業者であることを示しています。他のすべての人員、特に軍人や土木労働者を含むバーはありません。
カードの裏面には、所有者のゴースト画像があります。また、該当する場合、カードには生年月日、血液型、DoD給付番号、ジュネーブ条約のカテゴリ、およびDoD識別番号(以前使用されていた社会保障番号に代わるジュネーブ条約番号としても使用)が含まれます。 DoD番号は、電子データ交換個人識別番号(EDIPI)とも呼ばれます。 Code 39リニアバーコードと磁気ストリップがカードの上下に配置されています。 DoD ID / EDIPI番号は、DoDまたはUSCG内で武装したサービスや他の部門を変更した場合でも、DoDまたはUSCGでのキャリアを通じて所有者に残ります。その後DoDまたはUSCGの民間人またはDoDまたはUSCGの請負業者となる引退した米軍要員の場合、CACのDoD ID / EDIPI番号はDD Form 2の引退したIDカードと同じになります。非軍事配偶者、再婚していない元の配偶者、および現役、予備役または引退した米軍人の未亡人/未亡人で、彼ら自身がDoDまたはUSCG民間人またはDoDまたはUSCG請負業者になる場合、CACのDoD ID / EDIPI番号はDD 1173 Uniformed Services Privilege and Identification Card(たとえば、Dependent ID card)
CACの前面は完全に積層されていますが、背面は下半分にのみ積層されています(磁気ストライプとの干渉を避けるため)。
CACは、ID詐欺、改ざん、偽造、および悪用に耐性があると言われ、迅速な認証の電子的手段を提供します。
現在、CACには4つの異なるバリアントがあります。ジュネーブ条約識別カードは最も一般的なCACであり、現役/予備軍および制服を着た軍人に与えられます。ジュネーブ条約付属軍隊カードは、非常に重要な民間人に発行されます。 IDおよび特権の共通アクセスカードは、軍事施設に居住する民間人向けです。 IDカードは、民間従業員のDOD /政府機関の識別用です。
暗号化
2008年まで、すべてのCACは1,024ビット暗号化を使用して暗号化されていました。 2008年以降、DoDは2,048ビット暗号化に切り替えました。古いCACを持つ職員は、期限までに新しいCACを取得する必要がありました。 2012年10月1日、2,048ビット未満で暗号化されたすべての証明書は失効ステータスに置かれ、視覚的な識別を除いてレガシーCACが役に立たなくなりました。
使用法
CACは、2要素認証を提供するように設計されています。つまり、所有しているもの(物理カード)と知っているもの(PIN)です。このCACテクノロジーにより、迅速な認証が可能になり、物理的および論理的なセキュリティが強化されます。カードはさまざまな方法で使用できます。
視覚的識別
CACは、カラー写真を所有者と照合することにより、視覚的な識別に使用できます。これは、ユーザーがガード付きゲートを通過するとき、または施設を使用するために一定レベルの特権を必要とするPX / BXなどの店舗からアイテムを購入するときに使用されます。州によっては、投票や運転免許証の申請など、政府発行のIDカードとしてCACを使用することを許可しています。
磁気ストライプ
磁気ストライプは、クレジットカードのように、磁気ストライプリーダーでカードをスワイプすることで読み取ることができます。 CACが発行されるとき、磁気ストライプは実際には空白です。ただし、その使用は、ローカライズされた物理的セキュリティシステム専用です。
集積回路チップ(ICC)
集積回路チップ(ICC)には、PINや1つ以上のPKIデジタル証明書など、所有者に関する情報が含まれています。 ICCにはさまざまな容量があり、最新バージョンは64および144キロバイト(KB)で発行されます。
CACは、1つ以上のさまざまなスマートカードリーダーを備えたコンピューターおよびネットワークへのアクセスに使用できます。リーダーに挿入されると、デバイスはユーザーにPINを要求します。 PINを入力すると、PINはCACに保存されているPINと照合されます。成功すると、EDIPI番号はカードのID証明書から読み取られ、Active DirectoryやLDAPなどのアクセス制御システムとEDIPI番号が照合される処理システムに送信されます。 DoD標準では、PINが3回間違って試行されると、CAC上のチップがロックされます。
EDIPI番号はPKI証明書に保存されます。所有者に応じて、CACには1つまたは3つのPKI証明書が含まれます。 CACを識別のみに使用する場合、必要なのはID証明書だけです。ただし、コンピューターへのアクセス、ドキュメントへの署名、または電子メールの暗号化には、署名証明書と暗号化証明書も必要です。
CACは、事実上すべての最新のコンピューターオペレーティングシステムで動作します。リーダーに加えて、CACを読み取って処理するには、ドライバーとミドルウェアも必要です。 CAC用に承認されている唯一のMicrosoft WindowsミドルウェアはActivClientであり、承認されたDoD担当者のみが利用できます。 Windows以外の他の選択肢には、非ハードドライブベースのソリューションであるLPS-Publicが含まれます。
DISAでは、サイトにアクセスするために、すべてのDoDベースのイントラネットサイトがCACを介してユーザー認証を提供する必要があります。認証システムは、Active Directory、RADIUS、またはその他のアクセス制御リストなどのシステムのタイプによって異なります。
CACは、ソフトウェアミドルウェアを備えたX.509証明書に基づいており、オペレーティングシステムがハードウェアカードリーダーを介してカードとインターフェイスできるようにします。 Schlumbergerなどのカードメーカーは、LinuxとWindowsの両方にスマートカード、ハードウェアカードリーダー、およびミドルウェアのスイートを提供しましたが、他のすべてのCACシステムインテグレーターが同様に提供したわけではありません。この状況を修正するために、Apple Federal Systemsは、MUSCLE(Linux環境でのスマートカードの使用の動き)プロジェクトを使用して、後のSnow LeopardオペレーティングシステムのアップデートにCommon Access Cardのサポートを追加する作業を行いました。 。この手順は、「CAC on a Mac」という出版物で海軍大学院によって歴史的に文書化されましたが、今日では学校は商用ソフトウェアを使用しています。独立した軍事テスターとヘルプデスクによると、すべてのカード、特に最近のCACNGまたはCAC-NG PIV II CACカードがAppleの作業に関連するオープンソースコードでサポートされているわけではありません。 MacでのCACカードのサードパーティサポートは、CentrifyやThursby Softwareなどのベンダーから入手できます。 AppleのFederal Engineering Managementは、Mac OS X 10.6 Snow Leopardですぐに使用できるサポートを使用せず、代わりにサードパーティのソリューションをサポートすることを提案しています。 Mac OS X 10.7 Lionはネイティブのスマートカードをサポートしていません。 ThursbyのiOSソフトウェア用PKardは、CACサポートをApple iPadおよびiPhoneに拡張します。 Linux領域でもいくつかの作業が行われています。一部のユーザーは、MUSCLEプロジェクトをAppleのApple Public Source Licensed Common Access Cardソフトウェアと組み合わせて使用しています。この問題を解決する別のアプローチは、現在文書化されていますが、新しいプロジェクトであるCoolKeyを使用して、Common Access Cardの機能を獲得することが含まれます。このドキュメントは、海軍研究所の海洋力学および予測部門から公開されています。 Software Protection Initiativeは、x86 Windows、Mac、およびLinuxコンピューターで動作するLPS-Publicと呼ばれるブラウザー中心の最小化されたLinux OS内で、CACミドルウェアとDoD証明書を備えたLiveCDを提供します。
バーコード
CACには、2種類のバーコードがあります。前面のPDF417と背面のCode 39です。
PDF417スポンサーバーコード| 値の例 | フィールド名 | サイズ | 説明 |
|---|---|---|---|
| 「IDUS」 | 認証コード | 4 | スポンサー/依存カード |
| 「3」 | バーコードバージョン | 1 | |
| XX | PDF417サイズ | 2 | |
| バツ | PDF417チェックサム | 1 | |
| バツ | PDF417 Rサイズ | 1 | |
| 「1」 | スポンサーフラグ | 1 | 1 =スポンサー 0 =依存 |
| 「グレイトハウス、チュエット」 | 名前 | 27 | 最初の最後 |
| 「999100096」 | 個人識別識別子 | 9 | 999-10-0096 |
| 「1」 | ファミリシーケンス番号 | 1 | |
| 「」 | 将来の使用のために予約済み | 9 | |
| 「00」 | DEERS依存のサフィックス | スポンサーv3 | |
| 「60」 | 高さ(インチ) | 2 | 5 '0 " |
| 「150」 | 重量(ポンド) | 3 | 150ポンド |
| 「RD」 | 髪の色 | 2 | BK =ブラック BR =ブラウン BD =ブロンド RD =赤 GY =グレー WH =ホワイト BA =ハゲ OT =その他 |
| 「BR」 | 目の色 | 2 | BK =ブラック BR =ブラウン HZ =ヘーゼル BL =ブルー GY =グレー GR =グリーン OT =その他 |
| 「1992OCT31」 | 生年月日 | 9 | 19921031 |
| 「S」 | ダイレクトケアフラグ | 1 | S =無制限 |
| 「M」 | チャンプスフラグ | 1 | M = Civilian Health Care CHAMPUS |
| 「Y」 | 代表旗 | 1 | Y =適格かつアクティブ |
| 「Y」 | MWRフラグ | 1 | Y =適格かつアクティブ |
| 「U」 | 交換フラグ | 1 | U =無制限 |
| 「2011OCT31」 | キャンパス発効日 | 9 | 20111031 |
| 「2057SEP30」 | キャンパスの有効期限 | 9 | 20570930 |
| 「2RET」 | フォーム番号 | 6 | DDフォーム2-廃止 |
| 「2011NOV04」 | カード発行日 | 9 | 20111104 |
| 「INDEF」 | カードの有効期限 | 9 | 不定 |
| 「8」 | カードセキュリティコード | 4 | |
| 「H」 | サービス/コンポーネントコード | 1 | |
| 「RET」 | 状態 | 6 | RET =退職者は退職金の資格があります |
| "米国 " | サービスの支店 | 5 | USA = US Army |
| 「PVT」 | ランク | 6 | PVT =プライベート |
| 「E2」 | 給与等級 | 4 | |
| "私 " | ジュネーブ条約コード | 3 | |
| 「UNK」 | 血液型 | 3 |
| 値の例 | フィールド名 | サイズ | 説明 |
|---|---|---|---|
| 「IDUS」 | 認証コード | 4 | スポンサー/依存カード |
| ... | ... | ... | ... |
| 「0」 | スポンサーフラグ | 1 | 1 =スポンサー 0 =依存 |
| ... | ... | ... | ... |
| 「RET」 | スポンサーのステータス | 6 | RET =退職者は退職金の資格があります |
| "米国 " | サービスのスポンサー支店 | 5 | USA = US Army |
| 「PVT」 | スポンサーランク | 6 | PVT =プライベート |
| 「E2」 | スポンサーペイグレード | 4 | |
| 「トランボルド、エリック」 | スポンサー名 | 27 | |
| 「999100096」 | スポンサー個人指定者識別子 | 27 | |
| 「CH」 | 関係 | 2 | SP =配偶者 CH =子供 |
RFID技術
RFIDにはいくつかのセキュリティリスクもあります。 RFIDでの情報の盗難を防ぐため、2010年11月に250万の無線周波数シールドスリーブがDoDに届けられ、2011年1月以降にさらに約170万のスリーブが届けられました。すべてのCAC。 CACを他のRFIDカードと一緒にホルダーに入れると、CACと同じホルダーにあるアクセスカードでドアを開こうとするなどの問題も発生する可能性があります。これらの課題にもかかわらず、少なくとも1つの民間組織NOAAは、RFID技術を使用して全国の施設にアクセスしています。通常、アクセスは、最初にRFシールドからCACを取り外し、次に壁に取り付けられた、または台座に置かれたリーダーに対してCACを保持した後に許可されます。 CACがローカルセキュリティサーバーに対して認証されると、ドアが解放されるか、施設へのアクセスを許可するための信号が警備員に表示されます。
一般的な問題
ICCは壊れやすく、定期的に着用するとカードが使用できなくなります。古いカードは、リーダーからの挿入/取り外しが繰り返されると剥離する傾向がありましたが、この問題は新しい(PIV準拠)カードではそれほど重要ではないようです。また、ICCの金色の接点が汚れて、溶剤またはゴム製の鉛筆消しゴムで洗浄する必要がある場合があります。
通常、CACの修正または交換にはRAPIDS機能へのアクセスが必要であり、実際的な問題が発生します。インターネットへの直接アクセスやRAPIDS機能への物理アクセスのない世界中の遠隔地では、カードの有効期限が切れたり、PINの最大再試行回数に達した場合、CACは役に立たなくなります。 CACの使用に関する規制に基づいて、TAD / TDYのユーザーはRAPIDS施設にアクセスしてCACを交換またはロック解除する必要があります。通常、別の地理的な場所への移動または自宅への帰宅が必要です。 CAC PMOは、ロックされたCAC PINをリセットできるCAC PINリセットワークステーションも作成しました。
一部のDoDネットワークでは、ユーザーの認証にActive Directory(AD)が使用されます。特定のコンピューターのCACで初めて認証を試みる場合、コンピューターの親Active Directoryへのアクセスが必要です。たとえば、出荷前にユーザーのCACで準備されていなかったラップトップコンピューターを現場で使用すると、事前に何らかの形でActive Directoryに直接アクセスしなければ使用できません。その他の救済策には、パブリックブロードバンドインターネットを使用してイントラネットとの接続を確立し、次にイントラネットへのVPNを確立することや、自然災害の場所などの通信が利用できない場所でVSATシステムを介した衛星インターネットアクセスを確立することが含まれます。
