PKI og digitale certifikater til regeringen

En oversigt over PKI applikationer og muligheder for informations- og kommunikationsteknologimyndigheder (ikt) myndigheder og myndigheder, der er licenseret til myndighederne.

Lignende indhold

Vil du blive ved med at lære?

Tilmeld dig SSL.com's nyhedsbrev, bliv informeret og sikker.

regeringer og PKI Teknologier

I stigende grad henvender de nationale regeringer verden over aktivt til offentlig nøgleinfrastruktur (PKI) og digitale certifikater med henblik på:

  • Nationale ID-programmer.
  • Single sign-on (SSO) til arbejdsstationer og softwareapplikationer.
  • Underskrevet og krypteret regerings-e-mail.
  • Godkendelse af dokumenter gennem digitale signaturer.
  • Godkendelse af borgernes identitet for onlinetjenester såsom skattebetaling.

Nationale digitale ID-programmer er et verdensomspændende arbejde. I henhold til 2016 rapport fra Verdensbanken, "De fleste udviklingslande har en eller anden form for digital ID-ordning, der er bundet til bestemte funktioner og tjener en delmængde af befolkningen, men kun få har en multifunktionsplan, der dækker hele befolkningen." Ifølge den samme rapport varierer årsagerne til vedtagelsen af ​​digitalt ID fra land til land: ”I højindkomstlande repræsenterer digitalt ID en opgradering fra veletablerede, robuste fysiske ID-systemer, der tidligere har fungeret rimeligt godt,” mens “ lande med lav indkomst ... mangler ofte robuste civilregistreringssystemer og fysiske ID'er og bygger deres ID-systemer på et digitalt grundlag og springer igennem det mere traditionelle fysisk baserede system. ” I begge tilfælde er det klart, at den globale tendens går mod oprettelse af nye nationale digitale ID-systemer eller udvidelse af eksisterende systemer.

Bare et par eksempler blandt mange over hele verden:

  • Estlands e-identitetsprogram giver alle dens borgere en statsudstedt digital identitet, der kan bruges til digitale underskrifter såvel som afstemning og andre offentlige tjenester (99% heraf er tilgængelig online). Estiske borgere kan få adgang til disse tjenester via et smart ID-kort, der er udstedt til 98% af esterne, samt via smartphones og andre mobile enheder.
  • Forenede Arabiske Emirater (UAE) aktuelt udgaver smarte identitetskort til alle borgere. De elektroniske chips på disse kort inkluderer digitale certifikater til identitetsgodkendelse og digitale signaturer sammen med biometriske fingeraftryksdata. Dette ID-kort bruges af UAE-borgere til at få adgang til langt de fleste smarte offentlige tjenester i den nation.

I mange tilfælde inkluderer initiativer som disse lovgivning til oprettelse af et agentur, der har til opgave at udvikle og håndhæve nationale standarder for infrastruktur til offentlig nøgle (PKI), licens lokale certifikatmyndigheder (CA) at levere digitale certifikater og / eller udvikle regeringsstyring PKI og CA'er. Disse agenturer får titlen Information og kommunikationsteknologimyndighed (eller IKT-myndighed). Denne artikel er beregnet til at give beslutningstagere hos nationale IKT-myndigheder og licensierede CA'er de oplysninger, de har brug for for at besvare vigtige spørgsmål som:

  • Skal vi udvikle vores eget interne PKI, eller indgå kontrakter om eksisterende CA'ers tjenester?
  • Hvad er den hurtigste og mest effektive rute til at tilbyde offentligt betroede certifikater til vores borgere?

PKI, Digitale certifikater og CA'er: En hurtig gennemgang

I en nøddeskal, Infrastruktur til offentlig nøgle (PKI) bruges til at styre par af offentlige og private nøgler og binde dem til identiteterne hos enheder, såsom personer og organisationer, gennem udstedelse af opkaldte elektroniske dokumenter digitale certifikater. Matematikken bag PKI Sørg for, at hvis et certifikat er underskrevet med en given enheds private nøgle, kan enhver med den offentlige nøgle fra paret:

  • Kontroller, at den enhed, der præsenterer det underskrevne certifikat, har den tilhørende private nøgle (Autenticitet).
  • Tillid til, at certifikatets indhold ikke er ændret, siden det oprindeligt blev genereret (integritet).
  • Brug den offentlige nøgle til at kryptere en meddelelse, der kun kan dekrypteres med den tilhørende private nøgle (Kryptering).

Ved at aktivere ægthed, integritet og kryptering, PKI og digitale certifikater tillader sikker kommunikation via usikre netværk, såsom Internettet. En organisation, der opretholder en PKI og administrerer udstedelse og tilbagekaldelse af digitale certifikater er kendt som en certifikatmyndighed (CA).

SSL.com tilbyder en bred vifte af SSL /TLS servercertifikater til HTTPS-websteder.

SAMMENLIG SSL /TLS CERTIFIKATER

Offentlig vs. privat tillid

Selvom der er mange applikationer til digitale certifikater, er deres mest kendte anvendelse til sikker webbrowsing, muliggjort gennem SSL /TLS og HTTPS-protokoller. For at forhindre browseradvarsler og fejlmeddelelser skal digitale certifikater udstedt til websteder, der vender mod offentligheden, underskrives af en offentligt betroede CA. Offentlig tillid er også ønskelig for, at certifikater kan bruges med e-mailklienter, desktop-operativsystemer og anden software til slutbrugere, så brugere eller IT-medarbejdere ikke behøver at tilføje private betroede certifikater manuelt til OS-certifikatbutikker.

Offentligt betroede CA'er revideres regelmæssigt og nøje for at overholde industristandarder, f.eks WebTrust til CA'er, for at blive inkluderet i de offentlige tillidsbutikker hos større operativsystem- og softwareleverandører som Microsoft, Apple, Google og Mozilla. Det kan tage mange år for en CA at få inkluderet i alle disse programmer, og de skal gennemgå regelmæssige, strenge revisioner for at opretholde denne status. I modsætning hertil er privat betroede CA'er ikke underlagt disse standarder, men er ikke så nyttige til applikationer, der vender offentligt.

Hvorfor skal regeringer bevæge sig hen imod PKI-baseret cybersikkerhed?

Den stigende digitalisering af offentlige registre og transaktioner i de seneste år har tændt cyberkriminelles nysgerrige øjne. Regeringer er indehavere af enorme offentlige midler, og cyberskurke har vist sig at være vedholdende i at prøve forskellige metoder, der kunne give dem mulighed for at få fat i disse monetære belønninger. Stater er også indehavere af enorme mængder af klassificeret information, som efter succesfuld hacking er blevet brugt til ransomware og afpresningstaktik.  

En artikel fra Sikkerhedsmagasin siger, at "anslået to millioner cyberangreb i 2018 resulterede i mere end $45 milliarder i tab på verdensplan, da lokale regeringer kæmpede for at klare ransomware og andre ondsindede hændelser." 

År 2018 var også tidspunktet, hvor USA blev det land, der modtog de største økonomiske tab på grund af cyberangreb, med tal på mere end 13.7 milliarder dollars. 

En af de centrale årsager til, at stater løbende bør forbedre deres cybersikkerhed, er måske, at de indsamler en masse personlige oplysninger fra borgere, der overlader deres velfærd til disse offentlige institutioner.

Bemærkelsesværdige regeringscyberangreb

Dette første eksempel er ikke et ondsindet angreb, men et white hat hack udført af sikkerhedsforsker Chris Vickery tilbage i 2015. Han opdagede en forkert konfigureret database, der afslørede personlige oplysninger fra 191 millioner vælgere over hele landet for praktisk talt alle på internettet. Blandt disse ubeskyttede oplysninger kan nævnes vælgerens navn, fødselsdato, adresse og telefonnummer. En politibetjent, der var interviewet vedrørende denne lækage udtrykte sin bekymring for hans sikkerhed, fordi kriminelle derefter var i stand til at få adgang til oplysninger om ham. 

SolarWinds-angrebet i 2019 – der anses for at være den mest alarmerende internetbaserede spionage udført mod den amerikanske regering – efterlod tusindvis af regeringsnetværk sårbare over for cyberangreb. E-mail-konti fra 27 amerikanske anklagere blev hacket, og følsomme oplysninger om regeringsundersøgelser og informanter blev muligvis kompromitteret. E-mail-konti fra embedsmænd i handels- og finansministeriet blev også brudt. 

Alaska Department of Health and Services (DHSS) blev ramt sidste maj 2021, da dets hjemmeside blev fundet at være sårbar af hackere, som derefter potentielt afslørede de private identifikationsoplysninger (PII) fra utallige personer, herunder deres telefonnumre, cpr-numre og økonomisk information. En fare ved, at sådanne følsomme oplysninger bliver stjålet, er, at hackerne kan bruge disse til at anvende social engineering taktikker som at ringe til banker og arbejde på at bedrage bankmedarbejdere til at forårsage ændringer i ofrenes bankkonti. 

Byens embedsmænd i Peterborough i New Hampshire blev i juli sidste år udsat for hackere, der brugte en strategi kaldet Business Email Compromise (BEC). De embedsmænd, der tilhører byens økonomiafdeling, blev sendt med skjulte e-mails, hvor de instruerede dem om at videresende public service-betalinger til en anden bankkonto. Denne fidustaktik blev med succes implementeret to gange på en enkelt måned, og i alt 2.3 millioner dollars blev stjålet af cybertyvene.

Regering PKI Udvikling: Internt vs. vært

Når en regering først beslutter, at den har brug for en PKI at udstede certifikater til sine borgere (eller et lokalt selskab søger licens til at tilbyde certifikater på vegne af regeringen), er en almindelig første tanke at investere i udviklingen af ​​en uafhængig infrastruktur. Når alt kommer til alt er software til implementering af en selvsigneret CA tilgængelig til lave eller ingen omkostninger via software såsom Windows Server, OpenSSL og EJBCA. Ved andet øjekast har denne mulighed imidlertid flere potentielt afbrydende udfordringer og omkostninger, der skal overvindes:

  • At opnå offentlig tillid til problemfri brug med desktop-operativsystemer og software såsom webbrowsere, e-mailklienter og kontorpakker er typisk en lang, besværlig proces, og en vellykket gennemførelse og vedligeholdelse af denne status er ikke garanteret.
  • Omkostningerne ved at finde og ansætte kvalificeret personale til sikker og effektiv drift af PKI på nationalt plan er betydelige.
  • Omkostningerne til hardware og netværk, der er forbundet med etablering og vedligeholdelse af en national PKI kan være større end oprindeligt forventet. Desuden forsøg på at skalere PKI (for eksempel for at dække flere borgere og muliggøre yderligere vigtige offentlige tjenester) vil sandsynligvis kræve yderligere ekspertise og infrastruktur over tid.

Efterhånden som digital teknologi og dets tilknyttede sikkerhedsbehov bliver mere sammenflettet med regeringsprocesser, og flere bureauer og borgere gør fuld brug af digitale certifikater, kan alle hardware-omkostninger forventes at vokse. Disse udvidelsesomkostninger kan være en begrænsende faktor ved brug PKI til sit fulde potentiale for at tjene en nation og dens borgere.

Fordele ved Hosted PKI

Nogle kommercielle offentlige CA'er, herunder SSL.com, tilbyder i øjeblikket hostet offentligt og privat betroet PKI som en service og tilbyde potentiale for regeringer og deres licenshavere at omgå mange af de ovennævnte problemer. Endvidere er branchestandarder for sikkerhed og pålidelighed, som disse CA'er er indeholdt i, typisk allerede i overensstemmelse med PKI standarder og retningslinjer udstedt af nationale ikt-myndigheder. Ved at vælge en vært PKI med en hæderlig offentlig CA, kan regeringer forvente at finde:

  • Effektive systemer, der allerede er på plads til udstedelse af certifikater, vedligeholdelse af livscyklus og udløb sammen med automatiske meddelelser om forestående certifikats udløb.
  • A PKI arbejder allerede med succes på global skala.
  • En CA, der er underlagt hyppige, detaljerede revisioner, der opfylder eller overstiger de standarder, der er indført af landets IKT-myndighed, og som er forpligtet til at holde sig ajour med udviklende industristandarder og bedste praksis.

I de fleste tilfælde - og især for udviklingslande - vil den hostede løsning blive fundet billigere, enklere at implementere og mere sikker end at forsøge at udvikle en hjemmevækst PKI.

Hosted PKI fra SSL.com

For vores regeringskunder globalt, SSL.com tilbyder følgende fordele i verdensklasse:

  • Tilpassede løsninger: SSL.com samarbejder med regeringer og licenshavere verden over for at optimere generering, installation og livscyklus af certifikater til smarte ID-kort og andre applikationer.
  • Underordnet CA: En vært underordnet CA (også kendt som en udsteder CA) fra SSL.com tilbyder fuld kontrol over udstedelse og styring af offentligt eller privat tillid til certifikater til en brøkdel af omkostningerne ved oprettelse af deres egen root CA og PKI infrastruktur. F.eks. Kan en lokal CA, der har licens til at udstede certifikater på regerings vegne, øjeblikkeligt opnå offentlig tillid, lovgivningsmæssig overholdelseog brandede digitale certifikater.
  • Managementværktøjer: SSL.coms online styringsværktøjer giver brugerne let mulighed for at udstede store mængder certifikater og styre deres livscyklus.
  • API: Administratorer kan nemt automatisere udstedelse af certifikater og livscyklus med SSL.com's SSL Web Services (SWS) API.

Hvilke specifikke tjenester tilbyder SSL.com, der hjælper med at bekæmpe cybersikkerhedstrusler, som offentlige myndigheder står over for?

SSL-certifikater

Vores SSL-certifikater kan sikre offentlige websteder ved at kryptere personlige og følsomme oplysninger, der er uploadet på dem af offentlige brugere, herunder deres hjemmeadresser, brugernavne og adgangskoder, cpr-numre og økonomiske detaljer. Vi bruger industristandard offentlig nøglekryptering kaldet 2048+ Bit SHA2, som er meget meget vanskelig at bryde af hackere. Vi tilbyder også Wildcard SSL-certifikatet, som er meget praktisk at bruge til offentlige kontorer. Wildcard SSL tillader en regeringsmyndighed at beskytte deres hovedwebsted såvel som deres filialwebsteder/underdomæner med kun ét certifikat. I betragtning af, at statslige afdelinger har flere bureauer under sig, med en omfattende beskyttelse PKI certifikat mindsker i høj grad sandsynligheden for, at angribere er i stand til at udføre bagdørangreb. Klik link. at vælge blandt de mange typer SSL-certifikater, som vi tilbyder, inklusive Wildcard.  

Sikker/Multipurpose Internet Mail Extensions (S/MIME)

Som diskuteret i det tidligere afsnit, har e-mails været en primær strategi brugt af cyberkriminelle til at stjæle enorme mængder penge og følsomme data fra offentlige myndigheder. Det er her S/MIME kommer ind som et stærkt defensivt værktøj til at beskytte offentlige e-mail-systemer og transaktioner. Ved brug af PKI og asymmetrisk kryptering, en S/MIME certifikat fra SSL.com gør det muligt for en statslig instans at sikre ægtheden af ​​e-mails blandt sine ansatte og embedsmænd. Hvis to eller flere offentlige myndigheder eller bureauer kommunikerer, S/MIME Certifikatet giver også sikkerhed for, at e-mails virkelig kommer fra en autentisk kilde, og at e-mail-beskeder er beskyttet, mens de er i transit, fordi de er krypteret. Derudover S/MIME er også en stærk afskrækkelse for statsansatte og embedsmænd fra at blive bedraget af hackere eller opføre sig skødesløst, fordi det skaber et system, hvor indgående e-mails først evalueres for at se, om de er krypteret med en kryptografisk nøgle, som beviser, at identiteten af ​​e-mailens kilde er legitim. . Så uanset om en fup-e-mail er blevet socialt udviklet til at se ud som om den kommer fra en autentisk kilde, er fraværet af en S/MIME certifikat vil omgående advare selv den mindst teknisk kyndige medarbejder om ikke at underholde det. Gå til denne side for at se hvilken S/MIME certifikat fra SSL.com passer bedst til dine behov.

eSigner Cloud Signering

Offentlige myndigheder beskæftiger sig med en masse dokumenter. At sende falske autoritative dokumenter har været en taktik brugt af hackere til at stjæle klassificeret information, penge og brugerdata fra offentlige myndigheder. Ved brug af PKI kryptering og cloud-teknologi, SSL.com's eSigner Express-webapplikation giver offentlige kontorer mulighed for sikkert at signere og autentificere dokumenter fra enhver internetforbundet enhed. Denne funktion er særlig hensigtsmæssig under denne Covid-19-pandemi, hvor mange kontorer implementerer et vist niveau af fjernarbejde for deres medarbejdere. Cloud-teknologi har vist sig at være meget billigere end hardwarebundet lagerudstyr. Fordi eSigner er et softwarebaseret lagersystem, tilbyder det også beskyttelse, der er praktisk talt uigennemtrængelig mod katastrofer som brande, jordskælv og oversvømmelser og fysiske indbrud.

SSL.com har alle de nødvendige værktøjer til hostet, brandet, offentligt eller privat betroet PKI der opfylder retningslinjerne for de fleste lands ikt-myndigheder eller andre it-regulerende organer. Hvis du gerne vil kontakte os for mere information, for at give os besked om dine specifikke behov, eller få vores personale til at gennemgå og bekræfte vores evne til at overholde dine nationale retningslinjer, så kontakt os via e-mail på Sales@SSL.com or Support@SSL.com, opkald +1 877-SSL-SIKKER, eller bare klik på chatlinket nederst til højre på denne side.

Hold dig informeret og sikker

SSL.com er en global leder inden for cybersikkerhed, PKI og digitale certifikater. Tilmeld dig for at modtage de seneste industrinyheder, tips og produktmeddelelser fra SSL.com.

Vi vil meget gerne have din feedback

Tag vores undersøgelse og fortæl os dine tanker om dit seneste køb.