Regierungen und PKI Technologie
Die nationalen Regierungen weltweit wenden sich zunehmend aktiv der Infrastruktur mit öffentlichen Schlüsseln zu (PKI) und digitale Zertifikate für folgende Zwecke:
- Nationale ID-Programme.
- Single Sign-On (SSO) für Workstations und Softwareanwendungen.
- Signierte und verschlüsselte Regierungs-E-Mail.
- Authentifizierung von Dokumenten durch digitale Signaturen.
- Authentifizierung der Identität der Bürger für Online-Dienste wie die Steuerzahlung.
Nationale digitale ID-Programme sind weltweit in Arbeit. Nach a Bericht der Weltbank 2016"Die meisten Entwicklungsländer haben irgendeine Form von digitalem ID-System, das an bestimmte Funktionen gebunden ist und einen Teil der Bevölkerung bedient, aber nur wenige haben ein Mehrzweckschema, das die gesamte Bevölkerung abdeckt." Laut demselben Bericht variieren die Gründe für die Einführung der digitalen ID je nach Land: „In Ländern mit hohem Einkommen stellt die digitale ID ein Upgrade von etablierten, robusten älteren physischen ID-Systemen dar, die in der Vergangenheit recht gut funktioniert haben“, während „ In Ländern mit niedrigem Einkommen… fehlen häufig robuste zivile Registrierungssysteme und physische Ausweise. Sie bauen ihre ID-Systeme auf digitaler Basis auf und überspringen damit das traditionellere physisch basierte System. “ In beiden Fällen ist klar, dass der globale Trend zur Schaffung neuer nationaler digitaler ID-Systeme oder zur Erweiterung bestehender Systeme geht.
- Estland E-Identity-Programm bietet allen Bürgern eine staatlich ausgestellte digitale Identität, die für digitale Signaturen sowie für Abstimmungen und andere staatliche Dienste verwendet werden kann (99% davon) Online verfügbar). Die estnischen Bürger können auf diese Dienste über einen Smart-ID-Ausweis zugreifen, der 98% der Esten ausgestellt wurde, sowie über Smartphones und andere mobile Geräte.
- Der Vereinigte Arabische Emirate (VAE) aktuelle Ausgaben intelligente Ausweise an alle Bürger. Die elektronischen Chips in diesen Karten enthalten digitale Zertifikate für die Identitätsauthentifizierung und digitale Signaturen sowie biometrische Fingerabdruckdaten. Dieser Personalausweis wird von Bürgern der VAE verwendet, um Zugang zu erhalten überwiegende Mehrheit der intelligenten Regierungsdienste in dieser Nation.
In vielen Fällen umfassen Initiativen wie diese Rechtsvorschriften zur Schaffung einer Agentur, die mit der Entwicklung und Durchsetzung nationaler Standards für beauftragt ist Infrastruktur mit öffentlichem Schlüssel (PKI), lokale Lizenzierung Zertifizierungsstellen (CAs) Bereitstellung digitaler Zertifikate und / oder Entwicklung staatlicher Zertifikate PKI und CAs. Diese Agenturen erhalten üblicherweise den Titel Behörde für Informations- und Kommunikationstechnologien (oder IKT-Behörde). Dieser Artikel soll Entscheidungsträgern bei nationalen IKT-Behörden und lizenzierten Zertifizierungsstellen die Informationen liefern, die sie zur Beantwortung wichtiger Fragen benötigen, z.
- Sollten wir unser eigenes internes entwickeln PKIoder die Dienste bestehender Zertifizierungsstellen in Auftrag geben?
- Was ist der schnellste und effizienteste Weg, um unseren Bürgern öffentlich vertrauenswürdige Zertifikate anzubieten?
PKI, Digitale Zertifikate und Zertifizierungsstellen: Ein kurzer Überblick
In einer Nussschale, Infrastruktur für öffentliche Schlüssel (PKI) wird verwendet, um Paare von zu verwalten öffentliche und private Schlüssel und binden sie an die Identität von Unternehmen wie Personen und Organisationen, indem sie elektronische Dokumente herausgeben, die aufgerufen werden digitale ZertifikateDie Mathematik dahinter PKI Stellen Sie sicher, dass, wenn ein Zertifikat ist unterzeichnet Mit dem privaten Schlüssel einer bestimmten Entität kann jeder mit dem öffentlichen Schlüssel des Paares:
- Stellen Sie sicher, dass die Entität, die das signierte Zertifikat vorlegt, über den entsprechenden privaten Schlüssel verfügt (Authentizität).
- Vertrauen Sie darauf, dass der Inhalt des Zertifikats seit seiner ersten Generierung nicht geändert wurde (Integrität).
- Verwenden Sie den öffentlichen Schlüssel, um eine Nachricht zu verschlüsseln, die nur mit dem zugehörigen privaten Schlüssel entschlüsselt werden kann (Verschlüsselung).
Durch die Aktivierung von Authentizität, Integrität und Verschlüsselung PKI Digitale Zertifikate ermöglichen eine sichere Kommunikation über unsichere Netzwerke wie das Internet. Eine Organisation, die a PKI und verwaltet die Ausstellung und den Widerruf von digitalen Zertifikaten ist bekannt als Zertifizierungsstelle (CA).
SSL.com bietet eine Vielzahl von SSL /TLS Serverzertifikate für HTTPS-Websites.
Öffentliches vs. privates Vertrauen
Obwohl es viele Anwendungen für digitale Zertifikate gibt, ist ihre bekannteste Verwendung das sichere Surfen im Internet, das über SSL / ermöglicht wird.TLS und HTTPS-Protokolle. Um Browserwarnungen und Fehlermeldungen zu vermeiden, müssen für öffentlich zugängliche Websites ausgestellte digitale Zertifikate von a signiert werden öffentlich vertrauenswürdige Zertifizierungsstelle. Öffentliches Vertrauen ist auch für Zertifikate wünschenswert, die mit E-Mail-Clients, Desktop-Betriebssystemen und anderer Software für Endbenutzer verwendet werden sollen, damit Benutzer oder IT-Mitarbeiter keine privat vertrauenswürdigen Zertifikate manuell zu OS-Zertifikatspeichern hinzufügen müssen.
Öffentlich vertrauenswürdige Zertifizierungsstellen werden regelmäßig und streng auf die Einhaltung von Industriestandards geprüft, z WebTrust für Zertifizierungsstellen, um in die öffentlichen Trust Stores der wichtigsten Anbieter von Betriebssystemen und Software wie Microsoft, Apple, Google und Mozilla aufgenommen zu werden. Es kann viele Jahre dauern, bis eine Zertifizierungsstelle in all diese Programme aufgenommen wird, und sie müssen regelmäßigen, strengen Audits unterzogen werden, um diesen Status aufrechtzuerhalten. Im Gegensatz dazu unterliegen privat vertrauenswürdige Zertifizierungsstellen nicht diesen Standards, sind jedoch für öffentlich zugängliche Anwendungen nicht so nützlich.
Warum sollten sich Regierungen auf PKI-basierte Cybersicherheit?
Die zunehmende Digitalisierung der öffentlichen Aufzeichnungen und Transaktionen der Regierung in den letzten Jahren hat die neugierigen Blicke von Cyberkriminellen geweckt. Regierungen sind die Hüter riesiger öffentlicher Gelder, und Cyber-Gauner haben bewiesen, dass sie beharrlich verschiedene Methoden ausprobieren, die es ihnen ermöglichen könnten, an diese monetären Belohnungen zu gelangen. Staaten besitzen auch riesige Mengen an Verschlusssachen, die nach erfolgreichem Hacken für Ransomware- und Erpressungstaktiken verwendet wurden.
Ein Artikel von Sicherheitsmagazin besagt, dass "Schätzungsweise zwei Millionen Cyberangriffe im Jahr 2018 führten zu Verlusten von mehr als 45 Milliarden US-Dollar weltweit, da lokale Regierungen mit Ransomware und anderen böswilligen Vorfällen zu kämpfen hatten.“
Das Jahr 2018 war auch die Zeit, in der die USA mit mehr als 13.7 Milliarden US-Dollar das Land mit den höchsten finanziellen Verlusten durch Cyberangriffe wurden.
Einer der zentralen Gründe, warum Staaten ihre Cybersicherheit kontinuierlich verbessern sollten, ist vielleicht, dass sie viele personenbezogene Daten von Bürgern sammeln, die diesen öffentlichen Einrichtungen ihr Wohlergehen anvertrauen.
Bemerkenswerte Cyberangriffe der Regierung
Dieses erste Beispiel ist kein böswilliger Angriff, sondern ein White-Hat-Hack, der 2015 vom Sicherheitsforscher Chris Vickery durchgeführt wurde. Er entdeckte eine falsch konfigurierte Datenbank, die die persönlichen Daten von 191 Millionen Wählern im ganzen Land praktisch jedem im Internet offenlegte. Zu diesen ungeschützten Informationen gehören der Name, das Geburtsdatum, die Adresse und die Telefonnummer des Wählers. Ein Polizist, der Interview in Bezug auf dieses Leck äußerte seine Besorgnis um seine Sicherheit, da Kriminelle dann auf Informationen über ihn zugreifen konnten.
Der SolarWinds-Angriff von 2019 – der als die alarmierendste internetbasierte Spionage gegen die US-Regierung gilt – machte Tausende von Regierungsnetzwerken anfällig für Cyberangriffe. Die E-Mail-Konten von 27 US-Staatsanwälten wurden gehackt und sensible Informationen über staatliche Ermittlungen und Informanten möglicherweise kompromittiert. Auch die E-Mail-Konten von Beamten des Handels- und Finanzministeriums wurden geknackt.
Das Alaska Department of Health and Services (DHSS) wurde im Mai 2021 getroffen, als seine Website von Hackern als angreifbar befunden wurde, die dann möglicherweise die privaten Identifizierungsinformationen (PII) unzähliger Personen preisgaben, einschließlich ihrer Telefonnummern, Sozialversicherungsnummern usw Finanzinformation. Eine Gefahr beim Diebstahl solch sensibler Informationen besteht darin, dass die Hacker diese nutzen könnten, um Social-Engineering-Taktiken wie das Anrufen von Banken und die Täuschung von Bankmitarbeitern zu nutzen, um Änderungen auf den Bankkonten der Opfer herbeizuführen.
Die Stadtbeamten von Peterborough in New Hampshire wurden im vergangenen Juli von Social-Engineering-Hackern mit einer Strategie namens Business Email Compromise (BEC) schikaniert. Die Beamten des Finanzamts der Stadt erhielten getarnte E-Mails mit der Anweisung, Zahlungen des öffentlichen Dienstes auf ein anderes Bankkonto zu überweisen. Diese Betrugstaktik wurde zweimal in einem einzigen Monat erfolgreich umgesetzt und insgesamt 2.3 Millionen US-Dollar wurden von den Cyber-Dieben gestohlen.
Regierung PKI Entwicklung: intern vs. gehostet
Sobald eine Regierung entscheidet, dass sie eine braucht PKI Um seinen Bürgern Zertifikate auszustellen (oder ein lokales Unternehmen beantragt die Lizenzierung, Zertifikate im Auftrag der Regierung anzubieten), besteht ein allgemeiner erster Gedanke darin, in die Entwicklung einer unabhängigen Infrastruktur zu investieren. Schließlich ist Software zur Implementierung einer selbstsignierten Zertifizierungsstelle über Software wie Windows Server, OpenSSL und EJBCA kostengünstig oder kostenlos erhältlich. Auf den zweiten Blick hat diese Option jedoch mehrere potenziell geschäftsbrechende Herausforderungen und Kosten zu bewältigen:
- Das Erreichen des Vertrauens der Öffentlichkeit für die nahtlose Verwendung mit Desktop-Betriebssystemen und -Software wie Webbrowsern, E-Mail-Clients und Office-Suiten ist in der Regel ein langer und mühsamer Prozess, und das erfolgreiche Erreichen und Aufrechterhalten dieses Status kann nicht garantiert werden.
- Die Kosten für die Suche und Beschäftigung von qualifiziertem Personal für einen sicheren und effektiven Betrieb a PKI auf nationaler Ebene sind beträchtlich.
- Die Hardware- und Netzwerkkosten, die mit der Einrichtung und Wartung eines Staatsangehörigen verbunden sind PKI kann größer sein als ursprünglich erwartet. Darüber hinaus Versuche zu skalieren PKI (Zum Beispiel, um mehr Bürger abzudecken und zusätzliche wesentliche Regierungsdienste zu ermöglichen) wird wahrscheinlich im Laufe der Zeit zusätzliches Fachwissen und zusätzliche Infrastruktur erforderlich sein.
Da die digitale Technologie und die damit verbundenen Sicherheitsanforderungen immer stärker mit Regierungsprozessen verflochten sind und immer mehr Behörden und Bürger digitale Zertifikate in vollem Umfang nutzen, ist mit steigenden Kosten für Hardware, Netzwerk und Personal zu rechnen. Diese steigenden Kosten können ein begrenzender Faktor für die Verwendung sein PKI in vollem Umfang, um einer Nation und ihren Bürgern zu dienen.
Vorteile von Hosted PKI
Einige kommerzielle öffentliche Zertifizierungsstellen, einschließlich SSL.com, derzeit öffentlich und privat gehostetes Angebot PKI als Dienstleistung und bieten den Regierungen und ihren Lizenznehmern das Potenzial, viele der oben beschriebenen Probleme zu umgehen. Darüber hinaus gelten in der Regel die Industriestandards für Sicherheit und Zuverlässigkeit, an die sich diese Zertifizierungsstellen halten bereits in Übereinstimmung mit dem PKI Standards und Richtlinien der nationalen IKT-Behörden. Durch Auswahl eines gehosteten PKI Mit einer seriösen öffentlichen Zertifizierungsstelle können die Regierungen Folgendes erwarten:
- Wirksame Systeme für die Ausstellung von Zertifikaten, die Wartung und den Ablauf des Lebenszyklus sowie automatisierte Benachrichtigungen über den bevorstehenden Ablauf von Zertifikaten.
- A PKI weltweit bereits erfolgreich tätig.
- Eine Zertifizierungsstelle, die häufigen, detaillierten Audits unterzogen wird, die den von der IKT-Behörde des Landes festgelegten Standards entsprechen oder diese übertreffen, und die sich über die sich weiterentwickelnden Industriestandards und Best Practices auf dem Laufenden halten muss.
In den meisten Fällen - und insbesondere für Entwicklungsländer - ist die gehostete Lösung kostengünstiger, einfacher zu implementieren und sicherer als der Versuch, eine selbst entwickelte Lösung zu entwickeln PKI.
Hosted PKI von SSL.com
Für unsere Regierungskunden weltweit SSL.com bietet die folgenden Weltklasse-Vorteile:
- Kundenspezifische Lösungen: SSL.com arbeitet mit Regierungen und Lizenznehmern weltweit zusammen, um die Generierung, Installation und den Lebenszyklus von Zertifikaten für Smart ID-Karten und andere Anwendungen zu optimieren.
- Untergeordnete Zertifizierungsstelle der Marke: Ein gehosteter untergeordnete CA (auch bekannt als CA ausstellen) von SSL.com bietet vollständige Kontrolle über die Ausstellung und Verwaltung von öffentlich oder privat vertrauenswürdigen Zertifikaten zu einem Bruchteil der Kosten für die Einrichtung einer eigenen Stammzertifizierungsstelle und PKI Infrastruktur. Beispielsweise kann eine lokale Zertifizierungsstelle, die für die Ausstellung von Zertifikaten im Auftrag der Regierung lizenziert ist, dies sofort erreichen das Vertrauen der Öffentlichkeit, Einhaltung gesetzlicher Vorschriften und digitale Markenzertifikate.
- Management-Tools: Mit den Online-Verwaltungstools von SSL.com können Benutzer problemlos große Mengen an Zertifikaten ausstellen und ihren Lebenszyklus verwalten.
- API: Administratoren können die Ausstellung und den Lebenszyklus von Zertifikaten mit SSL.com problemlos automatisieren API für SSL-Webdienste (SWS).
Welche spezifischen Dienste bietet SSL.com an, um Cybersicherheitsbedrohungen zu bekämpfen, denen Regierungsbehörden ausgesetzt sind?
SSL Certificates
Unsere SSL-Zertifikate können behördliche Websites schützen, indem sie persönliche und vertrauliche Informationen verschlüsseln, die von öffentlichen Benutzern hochgeladen werden, einschließlich ihrer Privatadressen, Benutzernamen und Passwörter, Sozialversicherungsnummern und Finanzdaten. Wir verwenden die Industriestandard-Verschlüsselung mit öffentlichem Schlüssel, die als . bezeichnet wird 2048+ Bit SHA2, das von Hackern sehr, sehr schwer zu knacken ist. Wir bieten auch das Wildcard-SSL-Zertifikat an, das für Behörden sehr praktisch ist. Das Wildcard-SSL ermöglicht es einer Regierungsbehörde, ihre Hauptwebsite sowie ihre Filialwebsites/Subdomains mit nur einem Zertifikat zu schützen. In Anbetracht der Tatsache, dass Regierungsabteilungen mehrere Büros unter sich haben, die einen umfassenden Schutz haben PKI Zertifikat verringert die Wahrscheinlichkeit, dass Angreifer Backdoor-Angriffe ausführen können, erheblich. Klicken Hier unter den verschiedenen Arten von SSL-Zertifikaten zu wählen, die wir anbieten, einschließlich Wildcard.
Sichere/Mehrzweck-Internet-Mail-Erweiterungen (S/MIME)
Wie im vorherigen Abschnitt erläutert, waren E-Mails eine der Hauptstrategien von Cyberkriminellen, um riesige Geldbeträge und sensible Daten von Regierungsbehörden zu stehlen. Das ist wo S/MIME ist ein starkes defensives Werkzeug zum Schutz von E-Mail-Systemen und -Transaktionen der Regierung. Verwenden von PKI und asymmetrische Verschlüsselung, und S/MIME Zertifikat von SSL.com ermöglicht es einer Regierungsbehörde, die Authentizität von E-Mails bei ihren Mitarbeitern und Beamten sicherzustellen. Wenn zwei oder mehr Regierungsabteilungen oder Ämter kommunizieren, S/MIME Zertifikat bietet auch die Gewissheit, dass die E-Mails wirklich aus einer authentischen Quelle stammen und dass die E-Mail-Nachrichten während der Übertragung geschützt sind, da sie verschlüsselt sind. Zusätzlich, S/MIME ist auch eine starke Abschreckung für Regierungsangestellte und Beamte davor, von Hackern getäuscht zu werden oder unvorsichtig zu handeln, da es ein System schafft, bei dem eingehende E-Mails zuerst ausgewertet werden, um zu sehen, ob sie mit einem kryptografischen Schlüssel verschlüsselt sind, der beweist, dass die Identität der E-Mail-Quelle legitim ist . Unabhängig davon, ob eine betrügerische E-Mail sozial entwickelt wurde, um so auszusehen, als käme sie aus einer authentischen Quelle, das Fehlen einer S/MIME Zertifikat wird selbst den am wenigsten technisch versierten Mitarbeiter umgehend davor warnen, es zu unterhalten. Gehe zu diese Seite um zu sehen, welche S/MIME Zertifikat von SSL.com Ihren Anforderungen am besten entspricht.
eSigner Cloud-Signierung
Behörden beschäftigen sich mit vielen Dokumenten. Das Versenden gefälschter maßgeblicher Dokumente ist eine Taktik von Hackern, um geheime Informationen, Geld und Benutzerdaten von Regierungsbehörden zu stehlen. Verwenden von PKI Verschlüsselung und Cloud-Technologie ermöglicht die eSigner Express-Webanwendung von SSL.com öffentlichen Ämtern, Dokumente von jedem mit dem Internet verbundenen Gerät sicher zu signieren und zu authentifizieren. Diese Funktion ist während dieser Covid-19-Pandemie besonders zweckmäßig, da viele Büros ein gewisses Maß an Remote-Arbeit für ihre Mitarbeiter implementieren. Cloud-Technologie hat sich als viel billiger als hardwaregebundene Speichergeräte erwiesen. Da es sich bei eSigner um ein softwarebasiertes Speichersystem handelt, bietet es auch einen praktisch unempfindlichen Schutz vor Katastrophen wie Bränden, Erdbeben und Überschwemmungen sowie physischen Einbrüchen.
SSL.com verfügt über alle Tools, die für gehostete, gebrandete, öffentlich oder privat vertrauenswürdige Personen erforderlich sind PKI Dies entspricht den Richtlinien der IKT-Behörden der meisten Länder oder anderer IT-Aufsichtsbehörden. Wenn Sie uns kontaktieren möchten, um weitere Informationen zu erhalten, uns Ihre spezifischen Bedürfnisse mitzuteilen oder unsere Mitarbeiter unsere Fähigkeit zur Einhaltung Ihrer nationalen Richtlinien überprüfen und bestätigen zu lassen, kontaktieren Sie uns bitte per E-Mail unter Sales@SSL.com or Support@SSL.com, Anruf +1 877-SSL-SICHERoder klicken Sie einfach auf den Chat-Link unten rechts auf dieser Seite.
SSL.com bietet eine Vielzahl von SSL /TLS Serverzertifikate für HTTPS-Websites, einschließlich: