Kamakailan kami ay tinanong kung aming XPressEntry na handheld system ay pinagtibay ng ika-140-2. Ipinapaliwanag ng artikulong ito kung bakit hindi nauugnay ang sump 140-2 sa mga XPressEntry na mga handheld, kapag nakatali sa mga pisikal na sistema ng control control (PACS). Kung interesado ka sa aktwal na pagtutukoy, narito ang isang link sa Pamantayang pang-140-2.
Ang pamagat ng dokumento na sump 140-2, Mga Kinakailangan sa Seguridad Para sa Mga Module ng Cryptographic, ay nagbibigay ng pangunahing dahilan kung bakit hindi ito nalalapat. Ito ay isang sertipikasyon para sa mga module ng crypto, ginamit para sa pagkalkula ng cryptographic at secure na pagpapatunay. Ito ay may isang tiyak na kahulugan kapag nakikipag-ugnay ka sa isang maliit na tilad sa isang contact (ISO 7816) o contactless (ISO14443 A / B) interface. Naaangkop lamang ito kapag gumamit ka ng mga secure na key na nakaimbak sa isang SAM (Security Access Module) upang ma-access ang ligtas na data sa isang chip o komunikasyon sa chip na iyon. Hindi ito kung paano gumana ang PACS.
Ang dokumentong DOD na ito, Gabay sa Pagpapatupad ng DoD para sa Transitional PIV II SP 800-73 v1, inilalarawan ang isa sa mga pagpapaandar sa baseline ng CAC card ay upang "paganahin ang pisikal na pag-access sa mga gusali." Upang paganahin ito, ang data ng pagkakakilanlan o CHUID ay ginawang magagamit para sa pagbukas (hindi naka-encrypt) na basahin. Ipinapakita ito sa imahe sa ibaba.
Ang karamihan sa mga pag-install ng kontrol sa pisikal na pag-access ng DOD ay nagbubukas ng kanilang mga pintuan at pintuan gamit ang bukas na data na ito. Ang pag-asa ay ang PKI Card Authentication Keys (CAK) ay maaaring mai-tsek sa krogrograpiya sa mambabasa, ngunit hindi ito praktikal. Ang malawak na ipinatupad ay inilalarawan sa pg. 41 sa naunang nabanggit na puntong 140.2:
Ang paunang pagpaparehistro ng mga PIV Card ay makakatulong upang mapabilis ang marami sa mga hakbang sa mekanismo ng pagpapatotoo ng PKI-CAK. Kung ang sertipiko ng Pagpapatotoo ng Card ng kard ay nakuha sa panahon ng proseso ng paunang pagpaparehistro pagkatapos ay hindi ito kailangang basahin mula sa card sa oras ng pagpapatotoo ... ang impormasyon sa katayuan para sa sertipiko ng Pagpapatotoo ng Card ay maaaring makuha mula sa isang proxy ng katayuan sa pag-cache sa halip na magsagawa ng pagpapatunay ng sertipiko sa oras ng pagpapatotoo.
Gamit ang naka-cache na proxy na ito, ang mga PIV / CAC badge ay napatunayan sa pagpapatala gamit ang mga key ng pagpapatotoo nito. Ang proxy ay nai-update sa isang regular na batayan at binawi ang mga sertipiko ay makikita sa PACS. Ang mga produkto tulad ng pivCLASS Authentication Module (PAM) ng HID ay ginagamit para sa hangaring ito. Ang mga produktong tulad nito ay kinakailangang maging FIPS 140-2 dahil naglalaman ang mga ito ng mga crypto module.
Sa Appendix C ng 2018 NIST na dokumento, Mga Patnubay Para sa Paggamit ng PIV Credentials Sa Pasilidad ng Pag-access, Nagsasalita ang NIST tungkol sa ilang mga kahalili para sa "pag-aalis ng mekanismo ng pagpapatotoo ng CHUID." Gayunpaman, ang mga rekomendasyong ito ay hindi sapilitan, o naabot nila ang merkado.
Ngayon bumalik sa XPressEntry.
Ang ilang mga kredensyal na sinusuportahan namin, tulad ng Mifare, DESFire, SEOS, ay nangangailangan ng mga key ng cryptographic upang ma-access ang ligtas na data. Ang iba pang mga kard ng HF (13.56 MHz) ay may iba't ibang mga seguridad, mula sa wala (pag-access sa CSN) hanggang sa lubos na naka-encrypt na data. Gayunpaman, ang lahat ng ito ay pagmamay-ari pamantayan at hindi napapailalim sa FIPS 140-2. Ang mga card ng Proximity (LF / 125KHz) ay nagpapadala ng kanilang data nang walang anumang seguridad. Ang mga PIV / CAC card ng gobyerno na katulad ay nagbibigay ng hindi naka-encrypt na data ng kontrol sa pag-access, nangangailangan lamang ng pagbabasa ng tukoy na lalagyan ng application sa memorya ng badge.
Ginagamit ng XPressEntry ang bukas na data ng badge na ito (PIV / CAC / Prox / Iba pa) lamang bilang isang pointer upang maghanap ng mga gumagamit para sa mga layunin ng pagpapatotoo. Sa aming mga handheld, nag-iimbak kami ng data ng badge sa aming naka-encrypt na database. Naghahatid ang XPressEntry ng data sa mga naka-encrypt na channel ng SSL. Isinasaalang-alang namin ang seguridad ng aming system - sapat na mayroon kami nasubok ang sistema ng pagtagos. Ang FIPS 140-2 ay partikular na hindi naaangkop dahil ang aming mga handheld ay hindi isang "cryptographic module" o mayroon kaming anumang cryptographic authentication ng data ng PIV / CAC PKI.
