Membaca Kartu CAC dengan XPressEntry - Apakah Kita Memerlukan FIPS 140-2?

Kami baru-baru ini ditanya apakah kami Sistem genggam XPressEntry bersertifikasi FIPS 140-2. Artikel ini menjelaskan mengapa FIPS 140-2 tidak secara langsung relevan dengan perangkat genggam XPressEntry, ketika dikaitkan dengan sistem kontrol akses fisik (PACS). Jika Anda tertarik dengan spesifikasi yang sebenarnya, berikut adalah tautan ke Standar FIPS 140-2.

Judul dokumen FIPS 140-2, Persyaratan Keamanan Untuk Modul Kriptografi, memberikan alasan utama mengapa itu tidak berlaku. Ini adalah sertifikasi untuk modul crypto, digunakan untuk perhitungan kriptografi dan otentikasi aman. Ini memiliki arti yang sangat spesifik ketika Anda berinteraksi dengan chip melalui kontak (ISO 7816) atau antarmuka tanpa kontak (ISO14443 A / B). Ini hanya berlaku ketika Anda menggunakan kunci aman yang disimpan dalam SAM (Modul Akses Keamanan) untuk mengakses data aman pada chip atau komunikasi ke chip itu. Ini bukan cara PAC bekerja dalam praktik.

Dokumen DOD ini, Panduan Implementasi DoD untuk Transisi PIV II SP 800-73 v1, menjelaskan salah satu fungsi dasar dari kartu CAC adalah untuk "memungkinkan akses fisik ke gedung." Untuk mengaktifkan ini, data identifikasi atau CHUID disediakan untuk dibaca terbuka (tidak terenkripsi). Ini ditunjukkan pada gambar di bawah.

Akses buffer CHUID
Akses baca CHUID terbuka melalui antarmuka tanpa kontak.

Sebagian besar instalasi kontrol akses fisik DOD membuka pintu dan gerbang menggunakan data terbuka ini. Harapannya adalah Kunci Otentikasi Kartu PKI (CAK) dapat diperiksa secara kriptografis pada pembaca, tetapi ini terbukti tidak praktis. Apa yang diterapkan secara luas dijelaskan pada hal. 41 dari standar FIPS 140.2 yang sebelumnya dikutip:

Prapendaftaran Kartu PIV dapat membantu mempercepat banyak langkah dalam mekanisme autentikasi PKI-CAK. Jika sertifikat Otentikasi Kartu diperoleh selama proses preregistrasi, maka tidak perlu dibaca dari kartu pada saat otentikasi ... informasi status untuk sertifikat Otentikasi Kartu dapat diperoleh dari proxy status cache daripada melakukan validasi sertifikat pada saat otentikasi.

Dengan menggunakan proxy yang disimpan dalam cache ini, lencana PIV / CAC divalidasi saat pendaftaran menggunakan kunci autentikasinya. Proksi diperbarui secara teratur dan sertifikat yang dicabut tercermin ke PACS. Produk seperti PivCLASS Authentication Module (PAM) HID digunakan untuk tujuan ini. Produk seperti ini diharuskan menggunakan FIPS 140-2 karena mengandung modul kripto.

Dalam Lampiran C dokumen 2018 NIST, Pedoman Penggunaan Kredensial PIV Dalam Akses Fasilitas, NIST berbicara tentang beberapa alternatif untuk "penghentian mekanisme autentikasi CHUID". Namun, rekomendasi ini tidak wajib, dan juga belum mencapai pasar.

Sekarang kembali ke XPressEntry.

Beberapa kredensial yang kami dukung, seperti Mifare, DESFire, SEOS, memerlukan kunci kriptografi untuk mengakses data yang aman. Kartu HF (13.56 MHz) lainnya memiliki jumlah keamanan yang beragam, dari tidak ada (akses CSN) hingga data yang sangat terenkripsi. Namun, semua ini hak milik standar dan tidak tunduk pada FIPS 140-2. Kartu Proximity (LF / 125KHz) mentransmisikan datanya tanpa keamanan sama sekali. Kartu PIV / CAC pemerintah juga menyediakan data kontrol akses yang tidak terenkripsi, hanya perlu membaca wadah aplikasi tertentu dalam memori lencana.

XPressEntry menggunakan data lencana terbuka ini (PIV / CAC / Prox / Other) hanya sebagai penunjuk untuk mencari pengguna untuk tujuan otentikasi. Di perangkat genggam kami, kami menyimpan data lencana di basis data terenkripsi kami. XPressEntry mengirimkan data melalui saluran terenkripsi SSL. Kami menangani keamanan sistem kami dengan serius - cukup sehingga kami memilikinya penetrasi sistem diuji. FIPS 140-2 secara khusus tidak berlaku karena perangkat genggam kami bukan merupakan "modul kriptografi" dan kami juga tidak memiliki otentikasi kriptografik dari data PIV / CAC PKI.