PKI a digitální certifikáty pro státní správu

Vlády a PKI Technika

Národní vlády na celém světě se stále více obracejí na infrastrukturu veřejných klíčů (PKI) a digitální certifikáty pro účely:

  • Národní identifikační programy.
  • Jednotné přihlášení (SSO) pro pracovní stanice a softwarové aplikace.
  • Podepsaný a šifrovaný vládní e-mail.
  • Ověřování dokumentů prostřednictvím digitálních podpisů.
  • Ověření totožnosti občanů pro online služby, jako je placení daní.

Vnitrostátní programy pro digitální identifikaci probíhají na celém světě. Podle a Zpráva Světové banky za rok 2016„Většina rozvojových zemí má nějakou formu digitálního ID spojenou s konkrétními funkcemi a sloužící podmnožině populace, ale jen několik z nich má víceúčelový systém, který pokrývá celou populaci.“ Podle stejné zprávy se důvody pro přijetí digitálního ID liší podle národa: „V zemích s vysokými příjmy představuje digitální ID upgrade z dobře zavedených a robustních starších systémů fyzických ID, které v minulosti fungovaly přiměřeně dobře,“ zatímco „ země s nízkými příjmy… často postrádají robustní systémy civilní registrace a fyzické ID a budují své systémy ID na digitální bázi, čímž přeskočí tradičnější fyzicky založený systém. “ V obou případech je zřejmé, že globálním trendem je vytváření nových národních systémů digitálních ID nebo rozšiřování stávajících systémů.

Jen několik příkladů z mnoha světových:

  • Estonsko program elektronické identity poskytuje všem svým občanům státem vydanou digitální identitu, kterou lze použít pro digitální podpisy, hlasování a další vládní služby (z nichž 99% je K dispozici on-line). Estonští občané mají přístup k těmto službám prostřednictvím chytré identifikační karty, která byla vydána 98% Estonců, jakož i prostřednictvím smartphonů a jiných mobilních zařízení.
  • Projekt Spojené arabské emiráty (SAE) aktuálně problémy chytré identifikační karty všem občanům. Elektronické čipy na těchto kartách zahrnují digitální certifikáty pro ověřování totožnosti a digitální podpisy spolu s biometrickými údaji o otiscích prstů. Tento průkaz totožnosti používají občané SAE k přístupu na internet drtivá většina inteligentních vládních služeb v tom národě.

V mnoha případech takové iniciativy zahrnují legislativu k vytvoření agentury pověřené vývojem a prosazováním národních norem pro EU infrastruktura veřejného klíče (PKI), licencování místní certifikační autority poskytovat digitální certifikáty a / nebo vyvíjet vládní řízení PKI a CA. Tyto agentury dostávají název Úřad pro informační a komunikační technologie (nebo Úřad pro IKT). Účelem tohoto článku je poskytnout subjektům s rozhodovací pravomocí u vnitrostátních orgánů IKT a licencovaných CA informace, které potřebují k zodpovězení důležitých otázek, jako jsou:

  • Měli bychom si vytvořit vlastní interní PKI, nebo uzavřít smlouvu na služby stávajících CA?
  • Jaká je nejrychlejší a nejúčinnější cesta k poskytování veřejně důvěryhodných certifikátů našim občanům?

PKI, Digitální certifikáty a CA: Rychlá recenze

Ve zkratce, Infrastruktura veřejného klíče (PKI) se používá ke správě dvojic veřejné a soukromé klíče a zavázat je k totožnosti subjektů, jako jsou osoby a organizace, vydáváním tzv. elektronických dokumentů digitální certifikátyMatematika za sebou PKI zajistit, že pokud je certifikát podepsaný s soukromým klíčem dané entity může kdokoli s veřejným klíčem z páru:

  • Ověřte, zda subjekt předkládající podepsaný certifikát vlastní odpovídající soukromý klíč (pravost).
  • Věřte, že se obsah certifikátu nezměnil od jeho původního vygenerování (integrita).
  • Pomocí veřejného klíče zašifrujte zprávu, kterou lze dešifrovat pouze pomocí přidruženého soukromého klíče (šifrování).

Povolením pravosti, integrity a šifrování PKI a digitální certifikáty umožňují bezpečnou komunikaci v nezabezpečených sítích, jako je internet. Organizace, která udržuje PKI a řídí vydávání a rušení digitálních certifikátů se nazývá certifikační autorita (CA).

SSL.com poskytuje širokou škálu SSL /TLS certifikáty serveru pro webové stránky HTTPS.

POROVNAT SSL /TLS CERTIFIKÁTY

Veřejná vs. soukromá důvěra

Ačkoli existuje mnoho aplikací pro digitální certifikáty, jejich nejznámější použití je pro bezpečné procházení webu, umožněné prostřednictvím SSL /TLS a HTTPS protokoly. Aby se předešlo výstrahám a chybovým zprávám prohlížeče, musí být digitální certifikáty vydané pro veřejně přístupné webové stránky podepsány a veřejně důvěryhodný CA. Důvěra veřejnosti je také žádoucí pro certifikáty, které mají být použity s e-mailovými klienty, stolními operačními systémy a jiným softwarem pro koncové uživatele, takže uživatelé ani pracovníci IT nebudou muset ručně ukládat důvěryhodné certifikáty do obchodů s certifikáty OS ručně.

Veřejně důvěryhodné certifikační autority jsou pravidelně a důsledně kontrolovány z hlediska dodržování průmyslových standardů, jako jsou WebTrust pro CA, aby mohly být zahrnuty do veřejných důvěryhodných obchodů hlavních dodavatelů operačních systémů a softwaru, jako jsou Microsoft, Apple, Google a Mozilla. Může trvat mnoho let, než se CA dostane do všech těchto programů a musí se podrobit pravidelným a přísným auditům, aby si tento status udržel. Naproti tomu soukromě důvěryhodné CA nepodléhají těmto standardům, ale nejsou tak užitečné pro veřejné aplikace.

Proč by vlády měly směřovat k PKIna kybernetické bezpečnosti?

Rostoucí digitalizace vládních veřejných záznamů a transakcí v posledních několika letech zapálila zvědavé oči kyberzločinců. Vlády jsou držiteli obrovských veřejných prostředků a kybernetičtí podvodníci prokázali, že jsou vytrvalí při zkoušení různých metod, které by jim mohly umožnit získat tyto peněžní odměny. Státy jsou také držiteli obrovského množství utajovaných informací, které byly po úspěšném hacknutí použity pro ransomware a vydírání.  

Článek z Bezpečnostní časopis tvrdí, že "odhadem dva miliony kybernetických útoků v roce 2018 vedly ke ztrátám více než 45 miliard dolarů na celém světě, protože místní vlády se snažily vyrovnat s ransomwarem a dalšími škodlivými incidenty. “ 

Rok 2018 byl také časem, kdy se USA staly zemí, která kvůli kybernetickým útokům získala nejvyšší finanční ztráty, přičemž čísla dosáhla více než 13.7 miliardy USD. 

Jedním z hlavních důvodů, proč by státy měly neustále zlepšovat svoji kybernetickou bezpečnost, je to, že shromažďují mnoho osobních informací od občanů, kteří svěřují své blaho těmto veřejným institucím.

Pozoruhodné vládní kybernetické útoky

Tento první příklad není zlomyslný útok, ale hack typu white hat, který provedl bezpečnostní výzkumník Chris Vickery v roce 2015. Objevil špatně nakonfigurovanou databázi, která odhalila osobní informace 191 milionů voličů z celé země prakticky komukoli na internetu. Mezi tyto nechráněné informace patří jméno voliče, datum narození, adresa a telefonní číslo. Policista, který byl rozhovor v souvislosti s tímto únikem vyjádřil obavy o jeho bezpečnost, protože zločinci pak měli přístup k informacím o něm. 

Útok 2019 SolarWinds-považovaný za nejstrašnější internetovou špionáž vedenou proti vládě USA-zanechal tisíce vládních sítí zranitelných vůči kybernetickým útokům. E -mailové účty 27 amerických státních zástupců byly napadeny a citlivé informace o vládních vyšetřováních a informátorech byly pravděpodobně napadeny. Byly také prolomeny e -mailové účty úředníků ministerstev obchodu a financí. 

Aljašské ministerstvo zdravotnictví a služeb (DHSS) bylo zasaženo loni v květnu 2021, když bylo zjištěno, že jeho webové stránky jsou zranitelné hackery, kteří poté potenciálně odhalili soukromé identifikační údaje (PII) bezpočtu jednotlivců, včetně jejich telefonních čísel, čísel sociálního zabezpečení a finanční informace. Jedním z nebezpečí krádeže takto citlivých informací je, že by je hackeři mohli použít k využití taktik sociálního inženýrství, jako je vyvolávání bank a práce na oklamání zaměstnanců bank, aby způsobily změny na bankovních účtech obětí. 

Představitelé města Peterborough v New Hampshire byli loni v červenci obětí hackerů sociálního inženýrství pomocí strategie nazvané Business Email Compromise (BEC). Úředníkům městského finančního odboru byly zaslány skryté e -maily s pokyny, aby přeposílali platby za veřejné služby na jiný bankovní účet. Tato podvodná taktika byla úspěšně implementována dvakrát za jediný měsíc a kyberzločinci ukradli celkem 2.3 milionu dolarů.

Vláda PKI Vývoj: interní vs. hostované

Jakmile vláda rozhodne, že potřebuje PKI vydávat certifikáty svým občanům (nebo místní společnost usiluje o licenci k nabízení certifikátů jménem vlády), běžnou první myšlenkou je investice do rozvoje nezávislé infrastruktury. Koneckonců, software pro implementaci CA s vlastním podpisem je k dispozici za nízkou nebo žádnou cenu prostřednictvím softwaru, jako je Windows Server, OpenSSL a EJBCA. Na druhý pohled má však tato možnost několik potenciálně náročných výzev a překonání nákladů:

  • Dosažení důvěry veřejnosti v plynulé používání s operačními systémy a softwarem pro stolní počítače, jako jsou webové prohlížeče, e-mailové klienty a kancelářské sady, je obvykle dlouhý a náročný proces a úspěšné dosažení a udržení tohoto stavu není zaručeno.
  • Náklady na hledání a zaměstnávání kvalifikovaného personálu pro bezpečné a efektivní provozování PKI na národní úrovni jsou značné.
  • Náklady na hardware a síťové připojení spojené se založením a údržbou národního občana PKI může být větší, než se původně očekávalo. Dále se pokouší škálovat PKI (například k pokrytí více občanů a umožnění dalších základních vládních služeb) bude pravděpodobně vyžadovat další odborné znalosti a infrastrukturu v průběhu času.

Vzhledem k tomu, že digitální technologie a související bezpečnostní potřeby se stále více prolínají s vládními procesy a čím dál více agentur a občanů plně využívá digitálních certifikátů, lze očekávat, že všechny náklady na hardware, síť a osobní náklady porostou. Tyto rostoucí náklady mohou být omezujícím faktorem při používání PKI naplno využít služeb národa a jeho občanům.

Výhody hostované PKI

Některé komerční veřejné CA, včetně SSL.com, aktuálně nabídka hostovaná veřejně a soukromě důvěryhodná PKI jako služba a nabízí vládám a jejich držitelům licence potenciál obejít mnoho výše uvedených otázek. Kromě toho se obvykle jedná o průmyslové standardy pro bezpečnost a spolehlivost, které jsou tyto certifikační autority drženy již v souladu s PKI normy a pokyny vydané vnitrostátními orgány IKT. Výběrem hostovaného PKI u renomované veřejné CA mohou vlády očekávat, že najdou:

  • Efektivní systémy, které jsou již k dispozici pro vydávání certifikátů, údržbu životního cyklu a vypršení platnosti, spolu s automatickými upozorněními na blížící se vypršení platnosti certifikátu.
  • A PKI již úspěšně fungují v celosvětovém měřítku.
  • CA, která podléhá častým podrobným auditům, které splňují nebo překračují standardy zavedené národním úřadem pro ICT, a musí držet krok s vývojem průmyslových standardů a osvědčených postupů.

Ve většině případů - a zejména pro rozvojové země - bude hostované řešení považováno za levnější, jednodušší implementaci a bezpečnější než pokus o vývoj domácího pěstování. PKI.

Hostitelem PKI z SSL.com

Pro naše vládní zákazníky na celém světě SSL.com nabízí následující výhody světové úrovně:

  • Řešení na míru: SSL.com spolupracuje s vládami a držiteli licencí po celém světě na optimalizaci generování, instalace a životního cyklu certifikátů pro inteligentní ID karty a další aplikace.
  • Značkový podřízený CA: Hostil podřízený CA (také známý jako vydávající CA) od SSL.com nabízí úplnou kontrolu nad vydáváním a správou veřejně nebo soukromě důvěryhodných certifikátů za zlomek nákladů na založení jejich vlastní kořenové CA a PKI infrastruktura. Například místní CA, která má licenci k vydávání certifikátů jménem vlády, to může okamžitě dosáhnout důvěra veřejnosti, dodržování předpisů, a značkové digitální certifikáty.
  • Nástroje pro správu: Online nástroje pro správu SSL.com umožňují uživatelům snadno vydávat velké množství certifikátů a spravovat jejich životní cyklus.
  • API: Správci mohou snadno automatizovat vydávání certifikátů a životní cyklus na stránkách SSL.com Rozhraní API webových služeb SSL (SWS).

Jaké konkrétní služby SSL.com nabízí, které pomáhají bojovat proti kyberbezpečnostním hrozbám, kterým čelí vládní agentury?

SSL certifikáty

Naše certifikáty SSL mohou zabezpečit vládní webové stránky šifrováním osobních a citlivých informací, které na ně nahráli veřejní uživatelé, včetně jejich domácích adres, uživatelských jmen a hesel, rodných čísel a finančních údajů. Používáme průmyslové standardní šifrování veřejného klíče označované jako 2048+ Bit SHA2, což je velmi obtížné hackery porušit. Nabízíme také certifikát Wildcard SSL, který je velmi praktické pro vládní úřady. Wildcard SSL umožňuje vládní agentuře chránit jejich hlavní webové stránky i webové stránky/subdomény poboček jediným certifikátem. Vzhledem k tomu, že vládní resorty mají pod sebou více úřadů, které mají komplexní ochranu PKI certifikát výrazně snižuje pravděpodobnost, že útočníci budou moci provádět útoky zadními vrátky. Klikněte zde vybrat si z několika typů SSL certifikátů, které nabízíme, včetně Wildcard.  

Zabezpečená/víceúčelová internetová rozšíření pošty (S/MIME)

Jak bylo uvedeno v předchozí části, e-maily byly primární strategií používanou kyberzločinci při krádeži obrovského množství peněz a citlivých dat od vládních agentur. To je kde S/MIME přichází jako silný obranný nástroj při ochraně vládních e -mailových systémů a transakcí. Použitím PKI a asymetrické šifrování, an S/MIME certifikát od SSL.com umožňuje vládní agentuře zajistit autentičnost e -mailů mezi jejími zaměstnanci a úředníky. Pokud komunikují dvě nebo více vládních resortů nebo úřadů, S/MIME certifikát také poskytuje záruku, že e -maily skutečně pocházejí z autentického zdroje a že jsou e -mailové zprávy během přenosu chráněny, protože jsou šifrovány. Dodatečně, S/MIME je také silným odstrašujícím faktorem pro vládní zaměstnance a úředníky před oklamáním hackery nebo neopatrným jednáním, protože vytváří systém, ve kterém jsou příchozí e -maily nejprve vyhodnoceny, aby se zjistilo, zda jsou šifrovány kryptografickým klíčem, který dokazuje, že identita zdroje e -mailu je legitimní . Bez ohledu na to, zda byl podvodný e -mail sociálně navržen tak, aby vypadal, že pochází z autentického zdroje, absence S/MIME certifikát okamžitě varuje i toho nejméně technicky zdatného zaměstnance, aby ho nebavil. Jít do tato stránka vidět které S/MIME certifikát od SSL.com nejlépe vyhovuje vašim potřebám.

Cloudové podepisování eSigner

Vládní úřady se zabývají spoustou dokumentů. Odesílání falešných autoritativních dokumentů je jednou z taktik používaných hackery ke krádeži tajných informací, peněz a uživatelských dat vládním agenturám. Použitím PKI technologie šifrování a cloud, webová aplikace eSigner Express společnosti SSL.com umožňuje veřejným úřadům bezpečně podepisovat a ověřovat dokumenty z jakéhokoli zařízení připojeného k internetu. Tato funkce je obzvláště užitečná během této pandemie Covid-19, kde mnoho úřadů zavádí určitou úroveň práce na dálku pro své zaměstnance. Bylo prokázáno, že cloudová technologie je mnohem levnější než hardwarová paměťová zařízení. Protože eSigner je softwarový úložný systém, nabízí také ochranu, která je prakticky nepropustná před kalamitami, jako jsou požáry, zemětřesení a záplavy a fyzické vloupání.

SSL.com má všechny nástroje potřebné pro hostované, značkové, veřejně nebo soukromě důvěryhodné PKI , která splňuje pokyny orgánů IKT většiny zemí nebo jiných regulačních orgánů v oblasti IT. Pokud nás chcete kontaktovat pro více informací, sdělte nám své specifické potřeby, nebo nechte naše zaměstnance zkontrolovat a potvrdit naši schopnost dodržovat vaše národní směrnice, kontaktujte nás e-mailem na adrese Sales@SSL.com or Support@SSL.com, volání +1-SSL-ZABEZPEČENÍ, nebo jednoduše klikněte na odkaz chat v pravé dolní části této stránky.

SSL.com poskytuje širokou škálu SSL /TLS certifikáty serveru pro weby HTTPS, včetně:

POROVNAT SSL /TLS CERTIFIKÁTY

Tým podpory SSL.com

Autor - správce obsahu
Všechny příspěvky

Související články

Zobrazit všechny články
facebook Youtube X GitHub

Přihlaste se k odběru zpravodaje SSL.com

Co je SSL /TLS?

Přehrát video

Přihlaste se k odběru zpravodaje SSL.com

Nenechte si ujít nové články a aktualizace z SSL.com

Zůstaňte informováni a zabezpečte se

SSL.com je světovým lídrem v oblasti kybernetické bezpečnosti, PKI a digitální certifikáty. Přihlaste se k odběru nejnovějších zpráv z oboru, tipů a oznámení o produktech SSL.com.

Budeme rádi za vaši zpětnou vazbu

Vyplňte náš průzkum a sdělte nám svůj názor na váš nedávný nákup.

Zúčastněte se průzkumu