PKI и цифрови сертификати за правителството

Правителства и PKI Технологии

Все по-често националните правителства по света активно се обръщат към инфраструктурата на публичните ключове (PKI) и цифрови сертификати за целите на:

  • Национални програми за самоличност
  • Единична регистрация (SSO) за работни станции и софтуерни приложения.
  • Подписан и шифрован правителствен имейл.
  • Удостоверяване на документи чрез цифрови подписи.
  • Удостоверяване на самоличността на гражданите за онлайн услуги като плащане на данъци.

Националните цифрови програми за идентификация са незавършена работа в световен мащаб. Според a Доклад на Световната банка за 2016 г., „Повечето развиващи се страни имат някаква форма на схема за цифрови идентификатори, обвързана със специфични функции и обслужваща подгрупа от населението, но само няколко имат многофункционална схема, която обхваща цялото население.“ Според същия доклад причините за приемането на цифрови идентификатори варират в зависимост от държавата: „В страните с високи доходи цифровите идентификатори представляват надграждане от утвърдени, стабилни стари системи за физически идентификатори, които са работили сравнително добре в миналото“, докато „ страните с ниски доходи ... често нямат стабилни системи за гражданска регистрация и физически лични документи и изграждат своите системи за самоличност на цифрова основа, прескачайки по-традиционната физически базирана система. " И в двата случая е ясно, че глобалната тенденция е към създаването на нови национални цифрови системи за идентификация или към разширяването на съществуващите системи.

Само няколко примера сред много хора по света:

  • На Естония програма за електронна идентичност предоставя на всички свои граждани цифрова идентичност, издадена от държавата, която може да се използва за цифров подпис, както и за гласуване и други правителствени услуги (99% от които са достъпни онлайн). Гражданите на Естония имат достъп до тези услуги чрез интелигентна лична карта, издадена на 98% от естонците, както и чрез смартфони и други мобилни устройства.
  • - Обединени арабски емирства (ОАЕ) в момента издава умни лични карти на всички граждани. Електронните чипове в тези карти включват цифрови сертификати за удостоверяване на самоличност и цифрови подписи, заедно с биометрични данни за пръстови отпечатъци. Тази лична карта се използва от гражданите на ОАЕ за достъп до голяма част от интелигентните правителствени услуги в тази нация.

В много случаи инициативи като тези включват законодателство за създаване на агенция, натоварена с разработването и прилагането на националните стандарти за инфраструктура с публичен ключ (PKI), лицензиране на местно сертификационни органи (CA) за предоставяне на цифрови сертификати и / или разработване на държавно управление PKI и СА. Тези агенции обикновено получават заглавието Орган за информационни и комуникационни технологии (или Орган за ИКТ). Тази статия е предназначена да предостави на лицата, вземащи решения в националните органи за ИКТ и лицензираните органи за управление, с необходимата информация, за да отговорят на важни въпроси като:

  • Трябва ли да развием своя вътрешна PKIили да сключи договор за услугите на съществуващи CA?
  • Кой е най-бързият и ефикасен начин за предлагане на публично доверени сертификати на нашите граждани?

PKI, Цифрови сертификати и CA: Бърз преглед

Накратко, Инфраструктура с публичен ключ (PKI) се използва за управление на двойки на публични и частни ключове и да ги обвърже с идентичността на субекти, като лица и организации, чрез издаване на наречени електронни документи цифрови сертификати.Математиката зад PKI уверете се, че ако има сертификат подписан с личния ключ на дадено образувание всеки с публичен ключ от двойката може:

  • Уверете се, че предприятието, което представя подписания сертификат, притежава съответния си частен ключ (Автентичност).
  • Доверете се, че съдържанието на сертификата не е променено, тъй като първоначално е генерирано (интегритет).
  • Използвайте публичния ключ, за да шифровате съобщение, което може да бъде декриптирано само с неговия свързан частен ключ (Криптиране).

Чрез активиране на автентичността, целостта и криптирането, PKI и цифровите сертификати позволяват сигурна комуникация през несигурни мрежи, като например Интернет. Организация, която поддържа a PKI и управлява издаването и оттеглянето на цифрови сертификати е известно като орган за сертифициране (CA).

SSL.com предоставя голямо разнообразие от SSL /TLS сървърни сертификати за HTTPS уебсайтове.

СРАВНИ SSL /TLS СЕРТИФИКАТИ

Обществен срещу Частно доверие

Въпреки че има много приложения за цифрови сертификати, най-известното им използване е за сигурно сърфиране в мрежата, станало възможно чрез SSL /TLS и HTTPS протоколи. За да се предотвратят предупрежденията на браузъра и съобщенията за грешки, цифровите сертификати, издадени за уебсайтове с обществено разположение, трябва да бъдат подписани от a публично доверен CA, Общественото доверие е желателно също сертификатите да се използват с клиенти за електронна поща, операционни системи за настолни компютри и друг софтуер за крайни потребители, така че потребителите или ИТ персоналът да не трябва да добавят ръчно сертифицирани сертификати в магазините за сертификати за ОС.

Публично надеждните ЦО се подлагат на редовен и строг одит за съответствие с отрасловите стандарти, като например WebTrust за CA, за да бъде включен в публичните доверителни магазини на основните операционни системи и доставчици на софтуер като Microsoft, Apple, Google и Mozilla. Може да отнеме много години, за да може CA да се включи във всички тези програми и те трябва да преминат редовни, строги одити, за да поддържат този статус. За разлика от това частно доверените CA не подлежат на тези стандарти, но не са толкова полезни за публични приложения.

Защо правителствата трябва да се движат към PKI-базирана киберсигурност?

Нарастващата цифровизация на държавните публични записи и транзакции през последните няколко години запалиха любопитните очи на киберпрестъпниците. Правителствата са пазители на огромни публични средства и кибер мошениците са показали, че са упорити в изпробването на различни методи, които биха могли да им позволят да се сдобият с тези парични награди. Държавите също така са притежатели на огромни количества класифицирана информация, която след успешно хакване е била използвана за рансъмуер и тактики за изнудване.  

Статия от Списание за сигурност гласи че "приблизително два милиона кибератаки през 2018 г. доведоха до загуби от над 45 милиарда долара в световен мащаб, тъй като местните правителства се бореха да се справят с ransomware и други злонамерени инциденти. 

2018 година беше и времето, когато САЩ станаха страната, която получи най-големи финансови загуби поради кибератаки, като цифрите достигнаха над 13.7 милиарда долара. 

Може би една от основните причини, поради които държавите трябва непрекъснато да подобряват своята киберсигурност, е, че събират много лична информация от граждани, които поверяват благосъстоянието си на тези публични институции.

Известни правителствени кибератаки

Този първи пример не е злонамерена атака, а хакване на бяла шапка, извършено от изследователя по сигурността Крис Викъри през 2015 г. Той открива неправилно конфигурирана база данни, която разкрива личната информация на 191 милиона избиратели в цялата страна на практически всеки в интернет. Сред тази незащитена информация включват името на избирателя, датата на раждане, адреса и телефонния номер. Полицай, който беше интервюирани относно това изтичане на информация изрази загрижеността си за неговата безопасност, тъй като престъпниците тогава са имали достъп до информация за него. 

Атаката на SolarWinds от 2019 г. – смятана за най-тревожния интернет базиран шпионаж, извършен срещу правителството на САЩ – остави хиляди правителствени мрежи уязвими за кибератаки. Имейл акаунтите на 27 американски прокурори бяха хакнати и чувствителна информация за правителствени разследвания и информатори вероятно беше компрометирана. Пробитите са и имейл акаунтите на служители в Министерството на търговията и Министерството на финансите. 

Министерството на здравеопазването и услугите на Аляска (DHSS) беше ударено миналия май 2021 г., когато бе установено, че уебсайтът му е уязвим от хакери, които след това потенциално разкриха личната идентифицираща информация (PII) на безброй лица, включително техните телефонни номера, номера на социалното осигуряване и финансова информация. Една от опасностите при кражба на такава чувствителна информация е, че хакерите могат да ги използват, за да използват тактики на социално инженерство, като обаждане до банки и работа за измама на банковите служители, за да причинят промени в банковите сметки на жертвите. 

Градските служители на Питърбъро в Ню Хемпшир бяха жертва на миналия юли от хакери за социално инженерство, използвайки стратегия, наречена Business Email Compromise (BEC). Служителите, принадлежащи към финансовия отдел на града, бяха изпратени с прикрити имейли с инструкции да прехвърлят плащания за обществени услуги към друга банкова сметка. Тази тактика за измама беше успешно приложена два пъти за един месец и общо 2.3 милиона долара бяха откраднати от кибер крадците.

Правителство PKI Разработка: Вътрешно спрямо Хоствано

След като правителството реши, че се нуждае от PKI за издаване на сертификати на своите граждани (или местна компания търси лиценз за предлагане на сертификати от името на правителството), обща първа мисъл е да се инвестира в развитието на независима инфраструктура. В края на краищата, софтуерът за внедряване на самоподписан CA се предлага на ниски или без разходи чрез софтуер като Windows Server, OpenSSL и EJBCA. На втори поглед обаче тази опция има много потенциални предизвикателства, които могат да се счупят и да преодолеят разходи:

  • Постигането на обществено доверие за безпроблемна употреба с настолни операционни системи и софтуер, като уеб браузъри, имейл клиенти и офис пакети обикновено е дълъг, тежък процес и успешното постигане и поддържане на този статус не е гарантирано.
  • Разходите за намиране и наемане на квалифициран персонал за сигурна и ефективна работа a PKI в национален мащаб са значителни.
  • Хардуерните и мрежовите разходи, свързани с създаването и поддържането на национален PKI може да е по-голяма от първоначално очакваната. Освен това, опити за мащабиране PKI (например, за да обхване повече граждани и да даде възможност за допълнителни основни държавни услуги) вероятно ще е необходима допълнителна експертиза и инфраструктура във времето.

Тъй като дигиталните технологии и свързаните с тях нужди за сигурност стават все по-свързани с правителствените процеси и повече агенции и граждани използват пълноценно цифрови сертификати, хардуер, мрежи и разходи за персонал може да се очаква да нарастват. Тези разширяващи се разходи могат да бъдат ограничаващ фактор за използването PKI до пълния си потенциал да служи на нацията и на нейните граждани.

Предимства на хостваните PKI

Някои търговски обществени организации, включително SSL.com, в момента оферта, хоствана публично и частно доверено PKI като услуга и предлагат потенциал на правителствата и техните лицензодатели да заобиколят много от въпросите, подробно описани по-горе. Освен това индустриалните стандарти за сигурност и надеждност, на които се държат тези СА, обикновено са вече в съответствие с PKI стандарти и насоки, издадени от националните органи за ИКТ, Чрез избора на домакин PKI с реномиран публичен CA, правителствата могат да очакват да намерят:

  • Ефективни системи, вече съществуващи за издаване на сертификати, поддръжка на жизнения цикъл и изтичане, заедно с автоматизирани уведомления за предстоящо изтичане на сертификата.
  • A PKI вече работи успешно в световен мащаб.
  • CA, който е обект на чести, подробни одити, които отговарят или надвишават стандартите, въведени от националния ИКТ орган, и е длъжен да бъде в крак с променящите се индустриални стандарти и най-добри практики.

В повечето случаи - и особено за развиващите се страни, ще бъде установено, че домакинското решение е по-евтино, по-просто за изпълнение и по-сигурно, отколкото да се опитвате да развиете домашно отглеждане PKI.

Предоставен PKI от SSL.com

За нашите правителствени клиенти в световен мащаб, SSL.com предлага следните предимства от световна класа:

  • Персонализирани решения: SSL.com си сътрудничи с правителства и лицензополучатели по целия свят, за да оптимизира генерирането, инсталирането и жизнения цикъл на сертификати за интелигентни лични карти и други приложения.
  • Фирмен подчинен CA: Домакин подчинен СА (известен също като издаване на СО) от SSL.com предлага пълен контрол върху издаването и управлението на публично или частно удостоверени сертификати, като част от разходите за създаване на собствения им корен CA и PKI инфраструктура. Например, местен административен орган, лицензиран да издава сертификати от името на правителството, може незабавно да постигне общественото доверие, спазване на нормативната уредба, и маркови цифрови сертификати.
  • Инструменти за управление: Инструментите за онлайн управление на SSL.com позволяват на потребителите лесно да издават големи обеми сертификати и да управляват своя жизнен цикъл.
  • API: Администраторите могат лесно да автоматизират издаването на сертификати и жизнения цикъл с SSL.com API на SSL уеб услуги (SWS).

Какви специфични услуги предлага SSL.com, които помагат в борбата със заплахите за киберсигурността, пред които са изправени правителствените агенции?

SSL сертификати

Нашите SSL сертификати могат да защитят правителствени уебсайтове, като криптират лична и чувствителна информация, качена в тях от обществени потребители, включително техните домашни адреси, потребителски имена и пароли, номера на социалното осигуряване и финансови данни. Ние използваме стандартно за индустрията криптиране с публичен ключ, наречено 2048+ бит SHA2, който е много много труден за нарушаване от хакери. Ние също така предлагаме Wildcard SSL сертификат, който е много практичен за използване за държавни служби. Wildcard SSL позволява на правителствена агенция да защити своя основен уебсайт, както и техните клонови уебсайтове/поддомейни само с един сертификат. Като се има предвид, че правителствените ведомства имат множество бюра под тях, които имат всеобхватна защита PKI сертификат значително намалява вероятността нападателите да могат да изпълнят атаки на задна врата. Щракнете върху тук да избирате между множеството видове SSL сертификати, които предлагаме, включително Wildcard.  

Сигурни/многоцелеви разширения за интернет поща (S/MIME)

Както беше обсъдено в по-ранния раздел, имейлите са основна стратегия, използвана от киберпрестъпниците при кражба на огромни суми пари и чувствителни данни от правителствени агенции. Това е където S/MIME идва като силен защитен инструмент за защита на правителствените имейл системи и транзакции. Използвайки PKI и асиметрично криптиране, a S/MIME сертификат от SSL.com позволява на правителствена агенция да гарантира автентичността на имейлите сред своите служители и длъжностни лица. Ако две или повече правителствени ведомства или бюра комуникират, S/MIME Сертификатът също така осигурява гаранция, че имейлите наистина идват от автентичен източник и че имейл съобщенията са защитени по време на транспортиране, тъй като са криптирани. Освен това, S/MIME също така е силно възпиращо средство за държавни служители и служители от измамени от хакери или небрежност, тъй като създава система, при която входящите имейли първо се оценяват, за да се види дали са криптирани с криптографски ключ, който доказва, че самоличността на източника на имейла е легитимна . Така че, без значение дали измамният имейл е социално проектиран да изглежда така, сякаш идва от автентичен източник, липсата на S/MIME сертификатът незабавно ще предупреди дори и най-малко разбиращия в технологиите служител да не го забавлява. Отидете на тази страница за да видите коя S/MIME сертификат от SSL.com най-добре отговаря на вашите нужди.

eSigner облачно подписване

Държавните агенции се занимават с много документи. Изпращането на фалшиви авторитетни документи е една тактика, използвана от хакерите за кражба на класифицирана информация, пари и потребителски данни от правителствени агенции. Използвайки PKI криптиране и облачна технология, уеб приложението eSigner Express на SSL.com позволява на публичните офиси безопасно да подписват и удостоверяват документи от всяко устройство, свързано с интернет. Тази функция е особено целесъобразна по време на тази пандемия на Covid-19, когато много офиси прилагат известно ниво на отдалечена работа за своите служители. Доказано е, че облачната технология е много по-евтина от свързаното с хардуер оборудване за съхранение. Тъй като eSigner е софтуерно базирана система за съхранение, тя също така предлага защита, която е практически непроницаема от бедствия като пожари, земетресения и наводнения и физическа кражба с взлом.

SSL.com разполага с всички инструменти, необходими за хоствани, брандирани, публично или частно доверени PKI което отговаря на насоките на органите на ИКТ на повечето държави или други регулаторни органи в областта на информационните технологии. Ако искате да се свържете с нас за повече информация, да ни уведомите за вашите специфични нужди или да прегледате нашите служители и да потвърдите способността ни да спазваме вашите национални указания, моля, свържете се с нас по имейл на Sales@SSL.com or Support@SSL.com, обадете се +1 877-SSL-СИГУРНОили просто щракнете върху връзката за чат в долната дясна част на тази страница.

SSL.com предоставя голямо разнообразие от SSL /TLS сървърни сертификати за уебсайтове на HTTPS, включително:

СРАВНИ SSL /TLS СЕРТИФИКАТИ

Екип за поддръжка на SSL.com

Автор - Администратор на съдържанието
Всички мнения

Свързани статии

Преглед на всички статии
Facebook Youtube Twitter Github

Абонирайте се за бюлетина на SSL.com

Какво е SSL /TLS?

Пуснете видеото

Абонирайте се за бюлетина на SSL.com

Не пропускайте нови статии и актуализации от SSL.com

Бъдете информирани и защитени

SSL.com е глобален лидер в киберсигурността, PKI и цифрови сертификати. Регистрирайте се, за да получавате най-новите новини от индустрията, съвети и съобщения за продукти от SSL.com.

Ще се радваме на вашите отзиви

Попълнете нашата анкета и ни кажете какво мислите за скорошната си покупка.

Участвай в допитването