PKI y certificados digitales para el gobierno

Una visión general de PKI aplicaciones y opciones para Autoridades de Tecnologías de Información y Comunicación (TIC) y AC con licencia gubernamental.

Más información

¿Quieres seguir aprendiendo?

Suscríbase al boletín de SSL.com, manténgase informado y seguro.

Gobiernos y PKI Tecnología

Cada vez más, los gobiernos nacionales de todo el mundo están recurriendo activamente a la infraestructura de clave públicaPKI) y certificados digitales a efectos de:

  • Programas de identificación nacional.
  • Inicio de sesión único (SSO) para estaciones de trabajo y aplicaciones de software.
  • Correo electrónico gubernamental firmado y encriptado.
  • Autenticación de documentos a través de firmas digitales.
  • Autenticación de las identidades de los ciudadanos para servicios en línea como el pago de impuestos.

Los programas nacionales de identificación digital son un trabajo en progreso a nivel mundial. De acuerdo a un Informe del Banco Mundial 2016, "La mayoría de los países en desarrollo tienen algún tipo de esquema de identificación digital vinculado a funciones específicas y que atienden a un subconjunto de la población, pero solo unos pocos tienen un esquema multipropósito que cubre a toda la población". Según el mismo informe, las razones para adoptar la identificación digital varían según la nación: "En los países de ingresos altos, la identificación digital representa una actualización de los sólidos sistemas de identificación física heredados y bien establecidos que han funcionado razonablemente bien en el pasado", mientras que " los países de bajos ingresos ... a menudo carecen de sistemas sólidos de registro civil e identificaciones físicas, y están construyendo sus sistemas de identificación sobre una base digital, superando el sistema físico más tradicional ". En cualquier caso, está claro que la tendencia global es hacia la creación de nuevos sistemas nacionales de identificación digital o la expansión de los sistemas existentes.

Solo algunos ejemplos entre muchos en todo el mundo:

  • Estonia programa de identidad electrónica proporciona a todos sus ciudadanos una identidad digital emitida por el estado que se puede utilizar para firmas digitales, así como para votar y otros servicios gubernamentales (99% de los cuales son disponible en linea) Los ciudadanos estonios pueden acceder a estos servicios a través de una tarjeta de identificación inteligente que se ha emitido al 98% de los estonios, así como a través de teléfonos inteligentes y otros dispositivos móviles.
  • El Emiratos Árabes Unidos (EAU) problemas actuales tarjetas de identidad inteligentes a todos los ciudadanos. Los chips electrónicos en estas tarjetas incluyen certificados digitales para autenticación de identidad y firmas digitales, junto con datos biométricos de huellas digitales. Los ciudadanos de los EAU utilizan esta tarjeta de identificación para acceder a gran mayoría de servicios gubernamentales inteligentes en esa nación

En muchos casos, iniciativas como estas incluyen legislación para crear una agencia encargada de desarrollar y hacer cumplir las normas nacionales para Infraestructura de Clave Pública (PKI), licencia local autoridades de certificación (CA) para proporcionar certificados digitales, y / o desarrollar administraciones gubernamentales PKI y CAs. Estas agencias comúnmente reciben el título Autoridad de Tecnologías de Información y Comunicación (o Autoridad de TIC) Este artículo está destinado a proporcionar a los responsables de la toma de decisiones de las autoridades nacionales de TIC y las AC con licencia la información que necesitan para responder preguntas importantes como:

  • ¿Deberíamos desarrollar nuestro propio interno PKIo contratar los servicios de las AC existentes?
  • ¿Cuál es la ruta más rápida y eficiente para ofrecer certificados de confianza pública a nuestros ciudadanos?

PKI, Certificados digitales y AC: una revisión rápida

En una palabra, Infraestructura de Clave Pública (PKI) se utiliza para administrar pares de claves públicas y privadas y vincularlos a las identidades de entidades, como personas y organizaciones, mediante la emisión de documentos electrónicos llamados Certificados digitalesLas matemáticas detrás PKI asegúrese de que si un certificado es firmado con la clave privada de una entidad determinada, cualquier persona con la clave pública del par puede:

  • Verifique que la entidad que presenta el certificado firmado esté en posesión de su clave privada correspondiente (autenticidad).
  • Confíe en que el contenido del certificado no se ha modificado desde que se generó inicialmente (integridad).
  • Use la clave pública para cifrar un mensaje que solo se puede descifrar con su clave privada asociada (cifrado).

Al permitir autenticidad, integridad y cifrado, PKI y los certificados digitales permiten una comunicación segura a través de redes inseguras, como Internet. Una organización que mantiene un PKI y gestiona la emisión y revocación de certificados digitales se conoce como autoridad de certificación (CA).

SSL.com proporciona una amplia variedad de SSL /TLS certificados de servidor para sitios web HTTPS.

COMPARAR SSL /TLS CERTIFICADOS

Confianza pública versus privada

Aunque existen muchas aplicaciones para certificados digitales, su uso más conocido es para la navegación web segura, hecho posible a través de SSL /TLS y protocolos HTTPS. Para evitar advertencias del navegador y mensajes de error, los certificados digitales emitidos para sitios web públicos deben estar firmados por un CA de confianza pública. La confianza pública también es deseable para los certificados que se utilizarán con clientes de correo electrónico, sistemas operativos de escritorio y otro software para usuarios finales, para que los usuarios o el personal de TI no tengan que agregar manualmente certificados de confianza privada a los almacenes de certificados del sistema operativo.

Las CA de confianza pública son auditadas de forma regular y rigurosa para verificar el cumplimiento de los estándares de la industria, como WebTrust para CA, con el fin de ser incluido en las tiendas públicas de confianza de los principales proveedores de software y sistemas operativos como Microsoft, Apple, Google y Mozilla. Una CA puede tardar muchos años en lograr su inclusión en todos estos programas, y deben someterse a auditorías rigurosas y periódicas para mantener ese estado. Por el contrario, las CA de confianza privada no están sujetas a estos estándares, pero no son tan útiles para las aplicaciones de cara al público.

¿Por qué los gobiernos deberían avanzar hacia PKI-basada en ciberseguridad?

La creciente digitalización de los registros y transacciones públicos del gobierno en los últimos años ha encendido las miradas indiscretas de los ciberdelincuentes. Los gobiernos son los guardianes de enormes fondos públicos y los delincuentes cibernéticos han demostrado ser persistentes en probar varios métodos que podrían permitirles hacerse con estas recompensas monetarias. Los estados también poseen una gran cantidad de información clasificada que, tras ser pirateada con éxito, se ha utilizado para ransomware y tácticas de chantaje.  

Un artículo de Revista de seguridad Establece que "se estima que dos millones de ciberataques en 2018 resultaron en más de $ 45 mil millones en pérdidas en todo el mundo mientras los gobiernos locales luchaban para hacer frente al ransomware y otros incidentes maliciosos ". 

El año 2018 también fue el momento en que EE. UU. Se convirtió en el país que recibió las mayores pérdidas financieras debido a los ataques cibernéticos, con cifras que superaron los $ 13.7 mil millones. 

Quizás una de las razones centrales por las que los estados deberían mejorar continuamente su ciberseguridad es que recopilan mucha información personal de los ciudadanos que confían su bienestar a estas instituciones públicas.

Ciberataques gubernamentales notables

Este primer ejemplo no es un ataque malicioso sino un truco de sombrero blanco realizado por el investigador de seguridad Chris Vickery en 2015. Descubrió una base de datos mal configurada que expuso la información personal de 191 millones de votantes en todo el país a prácticamente cualquier persona en Internet. Entre esa información no protegida se incluyen el nombre del votante, la fecha de nacimiento, la dirección y el número de teléfono. Un oficial de policía que estaba entrevistados Con respecto a esta filtración expresó su preocupación por su seguridad porque los delincuentes pudieron acceder a información sobre él. 

El ataque SolarWinds de 2019, considerado el espionaje en Internet más alarmante realizado contra el gobierno de EE. UU., Dejó a miles de redes gubernamentales vulnerables a los ataques cibernéticos. Las cuentas de correo electrónico de 27 fiscales estadounidenses fueron pirateadas y posiblemente se comprometió información confidencial sobre las investigaciones del gobierno y los informantes. También se violaron las cuentas de correo electrónico de funcionarios de los Departamentos de Comercio y Hacienda. 

El Departamento de Salud y Servicios de Alaska (DHSS) fue atacado en mayo de 2021 cuando los piratas informáticos descubrieron que su sitio web era vulnerable y luego expusieron potencialmente la información de identificación privada (PII) de innumerables personas, incluidos sus números de teléfono, números de seguro social y información financiera. Un peligro con el robo de información tan sensible es que los piratas informáticos podrían usarlos para emplear tácticas de ingeniería social, como llamar a los bancos y trabajar para engañar a los empleados bancarios para que provoquen cambios en las cuentas bancarias de las víctimas. 

Los funcionarios de la ciudad de Peterborough en New Hampshire fueron victimizados en julio pasado por piratas informáticos de ingeniería social utilizando una estrategia llamada Business Email Compromise (BEC). Los funcionarios pertenecientes al departamento de finanzas de la ciudad fueron enviados con correos electrónicos disfrazados indicándoles que remitieran los pagos del servicio público a otra cuenta bancaria. Esta táctica de estafa se implementó con éxito dos veces en un solo mes y los ladrones cibernéticos robaron un total de $ 2.3 millones.

Gobierno PKI Desarrollo: interno vs. alojado

Una vez que un gobierno decide que necesita un PKI Para emitir certificados a sus ciudadanos (o una empresa local busca una licencia para ofrecer certificados en nombre del gobierno), un primer pensamiento común es invertir en el desarrollo de una infraestructura independiente. Después de todo, el software para implementar una CA autofirmada está disponible a bajo costo o sin costo a través de software como Windows Server, OpenSSL y EJBCA. Sin embargo, a segunda vista, esta opción tiene múltiples desafíos y costos que potencialmente pueden romper el trato y que superar:

  • Lograr la confianza pública para un uso perfecto con sistemas operativos de escritorio y software como navegadores web, clientes de correo electrónico y suites de oficina suele ser un proceso largo y arduo, y no se garantiza el logro y mantenimiento exitoso de este estado.
  • Los costos de encontrar y emplear personal calificado para operar de manera segura y efectiva un PKI a escala nacional son considerables.
  • Los costos de hardware y redes asociados con el establecimiento y mantenimiento de una red nacional. PKI puede ser mayor de lo inicialmente esperado. Además, los intentos de escalar PKI (por ejemplo, para cubrir a más ciudadanos y habilitar servicios gubernamentales esenciales adicionales) probablemente requerirá experiencia e infraestructura adicionales con el tiempo.

A medida que la tecnología digital y sus necesidades de seguridad asociadas se entrelazan más con los procesos gubernamentales y más agencias y ciudadanos hacen un uso completo de los certificados digitales, el hardware, las redes y los costos de personal, todos pueden aumentar. Estos costos en expansión pueden ser un factor limitante en el uso PKI a su máximo potencial para servir a una nación y a sus ciudadanos.

Ventajas de Hosted PKI

Algunas AC públicas comerciales, incluidas SSL.com, actualmente ofrecen alojamiento de confianza pública y privada PKI como un servicio y ofrecen el potencial para que los gobiernos y sus licenciatarios eviten muchos de los problemas detallados anteriormente. Además, los estándares de seguridad y confiabilidad de la industria a los que se aplican estas AC son típicamente ya en cumplimiento de la PKI Normas y directrices emitidas por las autoridades nacionales de TIC. Al elegir un servidor PKI Con una CA pública acreditada, los gobiernos pueden esperar encontrar:

  • Ya existen sistemas eficaces para la emisión de certificados, el mantenimiento del ciclo de vida y la expiración, junto con notificaciones automáticas de la expiración inminente del certificado.
  • A PKI ya opera con éxito a escala global.
  • Una CA que está sujeta a auditorías frecuentes y detalladas que cumplen o superan los estándares establecidos por la Autoridad de TIC de la nación, y que debe mantenerse al día con los estándares y mejores prácticas de la industria en evolución.

En la mayoría de los casos, y especialmente para las naciones en desarrollo, se encontrará que la solución alojada es menos costosa, más sencilla de implementar y más segura que intentar desarrollar un producto local. PKI.

Alojado PKI de SSL.com

Para nuestros clientes gubernamentales a nivel mundial, SSL.com ofrece los siguientes beneficios de clase mundial:

  • Soluciones personalizadas: SSL.com colabora con gobiernos y licenciatarios de todo el mundo para optimizar la generación, instalación y ciclos de vida de certificados para tarjetas de identificación inteligentes y otras aplicaciones.
  • Marca subordinada CA: Un alojado CA subordinada (también conocido como emisor de CA) de SSL.com ofrece un control completo sobre la emisión y administración de certificados de confianza pública o privada, a una fracción del costo de establecer su propia CA raíz y PKI infraestructura. Por ejemplo, una CA local con licencia para emitir certificados en nombre del gobierno puede lograr de inmediato confianza pública, cumplimiento regulatorioy certificados digitales de marca.
  • Herramientas administrativas: Las herramientas de administración en línea de SSL.com permiten a los usuarios emitir fácilmente grandes volúmenes de certificados y administrar su ciclo de vida.
  • API: Los administradores pueden automatizar fácilmente la emisión de certificados y el ciclo de vida con SSL.com API de servicios web SSL (SWS).

¿Qué servicios específicos ofrece SSL.com que ayudan a combatir las amenazas de ciberseguridad que enfrentan las agencias gubernamentales?

Certificados SSL

Nuestros certificados SSL pueden proteger los sitios web gubernamentales al cifrar la información personal y confidencial cargada en ellos por usuarios públicos, incluidas sus direcciones de casa, nombres de usuario y contraseñas, números de seguridad social y detalles financieros. Utilizamos el cifrado de clave pública estándar de la industria denominado 2048+ Bit SHA2 que es muy muy difícil de violar por los piratas informáticos. También ofrecemos el certificado SSL Wildcard que es muy práctico de usar para oficinas gubernamentales. El SSL comodín permite a una agencia gubernamental proteger su sitio web principal, así como los sitios web / subdominios de sus sucursales con un solo certificado. Teniendo en cuenta que los departamentos gubernamentales tienen múltiples oficinas debajo de ellos, con una protección integral PKI El certificado reduce en gran medida la probabilidad de que los atacantes puedan ejecutar ataques de puerta trasera. Hacer clic aquí para elegir entre los múltiples tipos de certificados SSL que ofrecemos, incluido el comodín.  

Extensiones seguras / multipropósito de correo de Internet (S/MIME)

Como se discutió en la sección anterior, los correos electrónicos han sido una estrategia principal utilizada por los ciberdelincuentes para robar grandes cantidades de dinero y datos confidenciales de las agencias gubernamentales. Aquí es donde S/MIME se presenta como una sólida herramienta defensiva para proteger los sistemas y transacciones de correo electrónico del gobierno. Utilizando PKI y cifrado asimétrico, un S/MIME El certificado de SSL.com permite a una agencia gubernamental garantizar la autenticidad de los correos electrónicos entre sus empleados y funcionarios. Si dos o más departamentos u oficinas gubernamentales se están comunicando, el S/MIME El certificado también proporciona la seguridad de que los correos electrónicos realmente provienen de una fuente auténtica y que los mensajes de correo electrónico están protegidos mientras están en tránsito porque están encriptados. Adicionalmente, S/MIME También es un fuerte impedimento para que los empleados y funcionarios gubernamentales sean engañados por piratas informáticos o actúen descuidadamente porque crea un sistema en el que los correos electrónicos entrantes se evalúan primero para ver si están encriptados con una clave criptográfica que demuestra que la identidad de la fuente del correo electrónico es legítima. . Entonces, no importa si un correo electrónico fraudulento ha sido diseñado socialmente para que parezca que proviene de una fuente auténtica, la ausencia de un S/MIME El certificado advertirá de inmediato, incluso al empleado menos experto en tecnología, que no lo entretenga. Ir a esta página para ver cual S/MIME certificado de SSL.com que mejor se adapta a sus necesidades.

Firma de eSigner en la nube

Las agencias gubernamentales se ocupan de muchos documentos. El envío de documentos autorizados falsos ha sido una táctica utilizada por los piratas informáticos para robar información clasificada, dinero y datos de usuarios de las agencias gubernamentales. Utilizando PKI cifrado y tecnología en la nube, la aplicación web eSigner Express de SSL.com permite a las oficinas públicas firmar y autenticar documentos de forma segura desde cualquier dispositivo conectado a Internet. Esta característica es particularmente conveniente durante esta pandemia de Covid-19 donde muchas oficinas están implementando algún nivel de trabajo remoto para sus empleados. Se ha demostrado que la tecnología en la nube es mucho más barata que los equipos de almacenamiento vinculados al hardware. Debido a que eSigner es un sistema de almacenamiento basado en software, también ofrece protección que es prácticamente impermeable a calamidades como incendios, terremotos e inundaciones y robos físicos.

SSL.com tiene todas las herramientas necesarias para la confianza alojada, de marca, pública o privada PKI que satisfaga las pautas de la mayoría de las autoridades de TIC de los países u otros organismos reguladores de TI. Si desea comunicarse con nosotros para obtener más información, para informarnos sobre sus necesidades específicas o para que nuestro personal revise y confirme nuestra capacidad de cumplir con sus pautas nacionales, contáctenos por correo electrónico a Sales@SSL.com or Support@SSL.com, llamada + 1-SSL-SEGURO, o simplemente haga clic en el enlace de chat en la parte inferior derecha de esta página.

Manténgase informado y seguro

SSL.com es líder mundial en ciberseguridad, PKI y certificados digitales. Regístrese para recibir las últimas noticias, consejos y anuncios de productos de la industria de SSL.com.

Nos encantaría recibir tus comentarios

Responda nuestra encuesta y háganos saber lo que piensa sobre su compra reciente.