XPressEntry ilə CAC kartlarını oxumaq - FIPS 140-2 tələb edirik?

Bu yaxınlarda bizdən soruşdular XPressEntry əl sistemi FIPS 140-2 sertifikatlı idi. Bu məqalədə FIPS 140-2-nin fiziki girişə nəzarət sistemlərinə (PACS) bağlandığı zaman XPressEntry əl alətləri ilə birbaşa əlaqəli olmadığını izah edir. Həqiqi dəqiqləşdirmə ilə maraqlanırsınızsa, burada bir əlaqə var FIPS 140-2 standartı.

FIPS 140-2 sənədin adı, Kriptoqrafik modullar üçün təhlükəsizlik tələbləri, tətbiq edilməməsinin əsas səbəbini verir. Bunun üçün bir sertifikatdır kripto modulları, kriptoqrafik hesablama və etibarlı identifikasiya üçün istifadə olunur. Bir kontakt (ISO 7816) və ya kontaktsiz (ISO14443 A / B) interfeys üzərində bir çipə qarışdığınız zaman bu çox xüsusi bir məna daşıyır. Yalnız bir çipdəki təhlükəsiz məlumatlara və ya bu çipə əlaqə əldə etmək üçün SAM-da (Təhlükəsizlik Giriş Modulu) qorunan açarlardan istifadə etdikdə tətbiq olunur. Bu, PACS-in praktikada necə işləməsi deyil.

Bu DOD sənədi, Keçid PIV II SP 800-73 v1 üçün DoD İcra Kılavuzu, CAC kartının əsas funksiyalarından birinin “binalara fiziki giriş imkanı təmin etmək” olduğunu izah edir. Bunu təmin etmək üçün identifikasiya məlumatları və ya CHUID açıq (şifrələnməmiş) oxunuş üçün təqdim edildi. Bu, aşağıdakı şəkildə göstərilmişdir.

CHUID tampon girişi
CHUID oxu girişi əlaqə olmadan interfeys vasitəsilə açıqdır.

DOD fiziki giriş nəzarət qurğularının böyük əksəriyyəti bu açıq məlumatlardan istifadə edərək qapılarını və qapılarını açır. Ümid PKI Kart Doğrulama Açarları (CAK) oxucu tərəfindən kriptoqrafik olaraq yoxlanıla bilərdi, amma bu, mümkünsüz idi. Geniş tətbiq olunduğu şey pg-də təsvir edilmişdir. Daha əvvəl istinad edilmiş FIPS 41 standartının 140.2-i:

PIV Kartların qeydiyyatı PKI-CAK identifikasiya mexanizmindəki bir çox addımları sürətləndirməyə kömək edə bilər. Kartın Kimlik Doğrulama sertifikatı qabaqcadan qeydiyyat prosesi zamanı alınıbsa, təsdiqləmə zamanı kartdan oxunmasına ehtiyac yoxdur ... Kart Kimlik Doğrulama sertifikatı üçün status məlumatları sertifikat yoxlanışını yerinə yetirmək əvəzinə önbelleğe alma statusu proksi-sindən əldə edilə bilər. identifikasiya zamanı.

Bu önbelleğe alınmış proxy istifadə edərək, PIV / CAC nişanları, identifikasiya düymələrindən istifadə edərək qeydiyyatdan keçdikdə təsdiqlənir. Vəkil mütəmadi olaraq yenilənir və ləğv edilmiş sertifikatlar PACS-ə əks olunur. Bu məqsəd üçün HID-nin pivCLASS Kimlik Doğrulama Modulu (PAM) kimi məhsullar istifadə olunur. Kripto modulları olduğu üçün bu kimi məhsulların FIPS 140-2 olması tələb olunur.

2018 NİST sənədinin Əlavəsi C-də, Mexanizmi girişində PIV etimadnaməsini istifadə qaydaları, NIST, "CHUID kimlik doğrulama mexanizminin ləğvi" üçün bəzi alternativlərdən bəhs edir. Ancaq bu tövsiyələr nə məcburidir, nə də bazara çatmışdır.

İndi XPressEntry'ə qayıdın.

Mifare, DESFire, SEOS kimi dəstəklədiyimiz bəzi etimadnamələr, təhlükəsiz məlumatlara daxil olmaq üçün kriptoqrafik açarları tələb edir. Digər HF (13.56 MHz) kartları, heç birindən (CSN girişi) yüksək şifrəli məlumatlara qədər müxtəlif miqdarda təhlükəsizliyə malikdir. Ancaq bunların hamısı belədir mülkiyyət standartlar və FIPS 140-2'ye tabe deyil. Yaxınlıq (LF / 125KHz) kartları məlumatlarını heç bir təhlükəsizlik olmadan ötürür. Dövlət PIV / CAC kartları oxşar şəkildə şifrələnməmiş giriş nəzarəti məlumatları təmin edir, yalnız nişan yaddaşında xüsusi tətbiq konteynerinin oxunmasını tələb edir.

XPressEntry bu açıq rozet məlumatlarını (PIV / CAC / Prox / Other) yalnız identifikasiya məqsədilə istifadəçiləri axtarmaq üçün göstərici olaraq istifadə edir. Əllərimizdə rozet məlumatlarını şifrəli verilənlər bazamızda saxlayırıq. XPressEntry, məlumatları SSL şifrəli kanallar üzərindən ötürür. Sistemimizin təhlükəsizliyinə ciddi yanaşırıq - kifayət qədər ki, özümüzə sahibik sistemə nüfuz test edilmişdir. FIPS 140-2 xüsusi olaraq tətbiq edilmir, çünki əllərimiz "kriptoqrafik modul" deyildir və ya PIV / CAC PKI məlumatlarının hər hansı bir kriptoqrafik doğrulamasına sahib deyilik.