Lecture de cartes CAC avec XPressEntry - Avons-nous besoin de la norme FIPS 140-2?

On nous a récemment demandé si notre Système portable XPressEntry était certifié FIPS 140-2. Cet article explique pourquoi FIPS 140-2 n'est pas directement pertinent pour les ordinateurs de poche XPressEntry, lorsqu'il est lié à des systèmes de contrôle d'accès physique (PACS). Si vous êtes intéressé par la spécification actuelle, voici un lien vers le Norme FIPS 140-2.

Le titre du document FIPS 140-2, Exigences de sécurité pour les modules cryptographiques, donne la raison principale pour laquelle il ne s'applique pas. Ceci est une certification pour modules cryptographiques, utilisé pour le calcul cryptographique et l'authentification sécurisée. Cela a une signification très spécifique lorsque vous vous connectez à une puce via une interface à contact (ISO 7816) ou sans contact (ISO14443 A / B). Elle n'est applicable que lorsque vous utilisez des clés sécurisées stockées dans un SAM (Security Access Module) pour accéder à des données sécurisées sur une puce ou pour communiquer avec cette puce. Ce n'est pas ainsi que PACS fonctionne dans la pratique.

Ce document DOD, Guide de mise en œuvre du DoD pour Transitional PIV II SP 800-73 v1, décrit l'une des fonctionnalités de base de la carte CAC était de «permettre l'accès physique aux bâtiments». Pour cela, les données d'identification ou CHUID ont été mises à disposition pour une lecture ouverte (non chiffrée). Ceci est montré dans l'image ci-dessous.

Accès au tampon CHUID
L'accès en lecture CHUID est ouvert via l'interface sans contact.

La grande majorité des installations de contrôle d'accès physique du DOD ouvrent leurs portes et leurs portes en utilisant ces données ouvertes. L'espoir était que les clés d'authentification de carte PKI (CAK) pourraient être vérifiées cryptographiquement par le lecteur, mais cela s'est révélé impossible. Ce qui a été largement mis en œuvre est décrit à la p. 41 de la norme FIPS 140.2 précitée:

La préinscription des cartes PIV peut aider à accélérer de nombreuses étapes du mécanisme d'authentification PKI-CAK. Si le certificat d'authentification par carte de la carte a été obtenu pendant le processus de pré-enregistrement, il n'a pas besoin d'être lu à partir de la carte au moment de l'authentification ... les informations d'état du certificat d'authentification par carte peuvent être obtenues à partir d'un proxy d'état de mise en cache plutôt que d'effectuer la validation du certificat au moment de l'authentification.

À l'aide de ce proxy mis en cache, les badges PIV / CAC sont validés lors de l'inscription à l'aide de ses clés d'authentification. Le proxy est mis à jour régulièrement et les certificats révoqués sont reflétés dans le PACS. Des produits comme le module d'authentification pivCLASS (PAM) de HID sont utilisés à cette fin. Les produits comme celui-ci doivent être FIPS 140-2 car ils contiennent des modules cryptographiques.

Dans l'annexe C du document NIST 2018, Lignes directrices pour l'utilisation des informations d'identification PIV dans l'accès aux installations, Le NIST parle de certaines alternatives pour la «dépréciation du mécanisme d'authentification CHUID». Cependant, ces recommandations ne sont pas obligatoires et n'ont pas non plus atteint le marché.

Revenons maintenant à XPressEntry.

Certaines informations d'identification que nous prenons en charge, telles que Mifare, DESFire, SEOS, nécessitent des clés cryptographiques pour accéder aux données sécurisées. D'autres cartes HF (13.56 MHz) ont des niveaux de sécurité variables, allant de zéro (accès CSN) aux données hautement cryptées. Cependant, tous ces éléments sont propriétaire normes et non soumis à FIPS 140-2. Les cartes de proximité (LF / 125KHz) transmettent leurs données sans aucune sécurité. Les cartes gouvernementales PIV / CAC fournissent de même des données de contrôle d'accès non chiffrées, ne nécessitant que la lecture du conteneur d'application spécifique dans la mémoire du badge.

XPressEntry utilise ces données de badge ouvertes (PIV / CAC / Prox / Other) uniquement comme pointeur pour rechercher des utilisateurs à des fins d'authentification. Sur nos ordinateurs de poche, nous stockons les données des badges dans notre base de données cryptée. XPressEntry transmet les données sur des canaux cryptés SSL. Nous prenons la sécurité de notre système au sérieux - suffisamment pour que nous ayons test de pénétration du système. La FIPS 140-2 n'est pas spécifiquement applicable car nos ordinateurs de poche ne sont pas un «module cryptographique» et nous n'avons aucune authentification cryptographique des données PKI PIV / CAC.