خواندن کارت های CAC با XPressEntry - آیا به FIPS 140-2 احتیاج داریم؟

اخیراً از ما سؤال شد كه آیا ما است سیستم دستی XPressEntry گواهینامه FIPS 140-2 بود. این مقاله توضیح می دهد که چرا FIPS 140-2 به طور مستقیم به سیستمهای دستی دستی XPressEntry مربوط نمی شود ، هنگامی که به سیستم های کنترل دسترسی فیزیکی (PACS) گره خورده است. اگر به مشخصات واقعی علاقه مند هستید ، در اینجا پیوندی به استاندارد FIPS 140-2.

عنوان سند FIPS 140-2 ، الزامات امنیتی برای ماژول های رمزنگاریدلیل اصلی عدم کاربرد آن را نشان می دهد. این یک گواهینامه است ماژول های رمزنگاری، برای محاسبات رمزنگاری و احراز هویت ایمن استفاده می شود. این یک معنای بسیار خاص دارد وقتی شما در حال اتصال به یک تراشه بر روی یک تماس (ISO 7816) یا رابط بدون تماس (ISO14443 A / B) هستید. این فقط زمانی کاربرد دارد که از کلیدهای امن ذخیره شده در یک SAM (امنیت دسترسی ماژول) برای دسترسی به داده های ایمن روی یک تراشه یا ارتباط با آن تراشه استفاده کنید. این نحوه عملکرد PACS در عمل نیست.

این سند DOD ، راهنمای اجرای DoD برای Transitional PIV II SP 800-73 v1، یکی از ویژگیهای اساسی کارت CAC را "امکان دسترسی فیزیکی به ساختمانها" توصیف می کند. برای فعال کردن این ، داده های شناسایی یا CHUID برای خواندن باز (بدون رمزگذاری) در دسترس قرار گرفت. این در تصویر زیر نشان داده شده است.

دسترسی به بافر CHUID
دسترسی به خواندن CHUID از طریق رابط بدون تماس باز است.

اکثریت قریب به اتفاق نصب های کنترل دسترسی فیزیکی DOD با استفاده از این داده های باز ، درها و دروازه های خود را باز می کنند. امید این بود که کلیدهای تأیید هویت کارت PKI (CAK) بتوانند به صورت رمزنگاری در خواننده بررسی شوند ، اما این کار غیر عملی بود. آنچه که بطور گسترده اجرا شد ، در pg توصیف شده است. 41 از استاندارد قبلاً استناد شده به حالت 140.2:

ثبت مجدد کارت های PIV می تواند به سرعت بخشیدن به بسیاری از مراحل مکانیسم احراز هویت PKI-CAK کمک کند. اگر گواهینامه تأیید اعتبار کارت در طی مراحل ثبت نام قبلی به دست آمده باشد ، نیازی به خواندن آن از کارت در زمان تأیید اعتبار نیست. در زمان احراز هویت.

با استفاده از این پروکسی حافظه پنهان ، نشان های PIV / CAC در هنگام ثبت نام با استفاده از کلیدهای احراز هویت آن تأیید می شوند. پروکسی به طور منظم به روز می شود و گواهی های لغو شده به PACS منعکس می شوند. برای این منظور از محصولاتی مانند HID's pivCLASS Authentication Module (PAM) استفاده می شود. محصولاتی از این قبیل به دلیل اینکه حاوی ماژول های رمزنگاری هستند ، باید FIPS 140-2 باشند.

در پیوست C از سند NIST 2018 ، دستورالعمل استفاده از اعتبار PIV در دسترسی به تسهیلات، NIST در مورد برخی گزینه های "مستهلک کردن مکانیسم احراز هویت CHUID" صحبت می کند. اما این توصیه ها اجباری نیستند و به بازار هم نرسیده اند.

اکنون به XPressEntry برگردید.

برخی از اعتباراتی که ما از آنها پشتیبانی می کنیم ، مانند Mifare ، DESFire ، SEOS ، برای دسترسی به داده های امن به کلیدهای رمزنگاری نیاز دارند. سایر کارتهای HF (13.56 مگاهرتز) مقادیر مختلف امنیتی دارند ، از هیچ کدام (دسترسی CSN) گرفته تا داده های بسیار رمزگذاری شده. با این حال ، همه اینها هستند اختصاصی استانداردها و مشمول FIPS 140-2 نیستند. کارت های Proximity (LF / 125KHz) داده های خود را بدون هیچ گونه امنیتی انتقال می دهند. کارت های PIV / CAC دولتی به همین ترتیب داده های کنترل دسترسی رمزگذاری نشده را ارائه می دهند و فقط به خواندن ظرف برنامه خاص در حافظه نشان نیاز دارند.

XPressEntry از این داده های نشان باز (PIV / CAC / Prox / Other) فقط به عنوان یک اشاره گر برای جستجوی کاربران برای اهداف احراز هویت استفاده می کند. در دستی های ما ، ما اطلاعات نشان را در پایگاه داده رمزگذاری شده خود ذخیره می کنیم. XPressEntry داده ها را از طریق کانال های رمزگذاری شده SSL انتقال می دهد. ما امنیت سیستم خود را جدی می گیریم - به اندازه ای که بتوانیم امنیت خود را داشته باشیم نفوذ سیستم آزمایش شده است. FIPS 140-2 به طور خاص قابل استفاده نیست ، زیرا دستی های ما "ماژول رمزنگاری" نیستند و همچنین هیچ تأیید رمزگذاری اطلاعات PIV / CAC PKI نداریم.