PKI et certificats numériques pour le gouvernement

Gouvernements et PKI Technologies

De plus en plus, les gouvernements nationaux du monde entier se tournent activement vers les infrastructures à clé publique (PKI) et des certificats numériques aux fins:

  • Programmes nationaux d'identification.
  • Authentification unique (SSO) pour les postes de travail et les applications logicielles.
  • Courriel gouvernemental signé et chiffré.
  • Authentification des documents par signatures numériques.
  • Authentification de l'identité des citoyens pour les services en ligne tels que le paiement des impôts.

Les programmes nationaux d'identification numérique sont un travail en cours dans le monde entier. Selon un Rapport 2016 de la Banque mondiale, «La plupart des pays en développement ont une certaine forme de système d'identification numérique lié à des fonctions spécifiques et desservant un sous-ensemble de la population, mais seuls quelques-uns ont un système polyvalent qui couvre l'ensemble de la population.» Selon le même rapport, les raisons d'adopter une identification numérique varient selon les pays: «Dans les pays à revenu élevé, l'identification numérique représente une mise à niveau par rapport aux anciens systèmes d'identification physique bien établis et robustes qui ont fonctionné raisonnablement bien dans le passé», tandis que « les pays à faible revenu… manquent souvent de systèmes solides d'enregistrement des faits d'état civil et d'identifiants physiques et construisent leurs systèmes d'identité sur une base numérique, dépassant ainsi le système physique plus traditionnel. Dans les deux cas, il est clair que la tendance mondiale est à la création de nouveaux systèmes nationaux d'identification numérique ou à l'expansion des systèmes existants.

Quelques exemples parmi tant d'autres dans le monde:

  • Estonie programme d'identité électronique fournit à tous ses citoyens une identité numérique émise par l'État qui peut être utilisée pour les signatures numériques ainsi que pour les services de vote et autres services gouvernementaux (dont 99% sont disponible en ligne). Les citoyens estoniens peuvent accéder à ces services via une carte d'identité intelligente qui a été délivrée à 98% des Estoniens, ainsi que via des smartphones et d'autres appareils mobiles.
  • La Emirats Arabes Unis (EAU) émet actuellement cartes d'identité intelligentes à tous les citoyens. Les puces électroniques de ces cartes comprennent des certificats numériques pour l'authentification d'identité et les signatures numériques, ainsi que des données d'empreintes digitales biométriques. Cette carte d'identité est utilisée par les citoyens des EAU pour accéder au grande majorité des services gouvernementaux intelligents dans cette nation.

Dans de nombreux cas, des initiatives telles que celles-ci comprennent une législation visant à créer une agence chargée d'élaborer et d'appliquer les normes nationales de infrastructure à clé publique (PKI), licence locale autorités de certification (AC) pour fournir des certificats numériques et / ou développer des programmes gérés par le gouvernement PKI et CA. Ces agences portent généralement le titre Autorité des technologies de l'information et de la communication (ou Autorité des TIC). Cet article est destiné à fournir aux décideurs des autorités nationales des TIC et des autorités de certification agréées les informations dont ils ont besoin pour répondre à des questions importantes telles que:

  • Devrions-nous développer notre propre PKIou sous-traiter les services des autorités de certification existantes?
  • Quelle est la voie la plus rapide et la plus efficace pour offrir des certificats de confiance publique à nos citoyens?

PKI, Certificats numériques et autorités de certification: un examen rapide

En un mot, Infrastructure à clé publique (PKI) est utilisé pour gérer des paires de clés publiques et privées et les lier à l'identité des entités, telles que les personnes et les organisations, par la publication de documents électroniques appelés certificats numériques.Les mathématiques derrière PKI s'assurer que si un certificat est signé avec la clé privée d'une entité donnée, toute personne possédant la clé publique de la paire peut:

  • Vérifier que l'entité présentant le certificat signé est en possession de sa clé privée correspondante (authenticité).
  • Confiance que le contenu du certificat n'a pas été modifié depuis sa création initiale (intégrité).
  • Utilisez la clé publique pour crypter un message qui ne peut être décrypté qu'avec sa clé privée associée (chiffrement).

En activant l'authenticité, l'intégrité et le chiffrement, PKI et les certificats numériques permettent une communication sécurisée sur des réseaux non sécurisés, comme Internet. Une organisation qui maintient un PKI et gère la délivrance et la révocation des certificats numériques est connu comme un autorité de certification (CA).

SSL.com fournit une grande variété de SSL /TLS certificats de serveur pour les sites Web HTTPS.

COMPARER SSL /TLS CERTIFICATS

Confiance publique vs fiducie privée

Bien qu'il existe de nombreuses applications pour les certificats numériques, leur utilisation la plus connue est la navigation Web sécurisée, rendue possible grâce au SSL /TLS et les protocoles HTTPS. Afin d'éviter les avertissements et les messages d'erreur du navigateur, les certificats numériques émis pour les sites Web accessibles au public doivent être signés par un CA de confiance publique. La confiance du public est également souhaitable pour les certificats à utiliser avec les clients de messagerie, les systèmes d'exploitation de bureau et d'autres logiciels pour les utilisateurs finaux, afin que les utilisateurs ou le personnel informatique n'aient pas à ajouter manuellement des certificats de confiance privés aux magasins de certificats du système d'exploitation.

Les AC de confiance du public sont régulièrement et rigoureusement auditées pour vérifier leur conformité aux normes de l'industrie, telles que WebTrust pour les autorités de certification, afin d'être inclus dans les magasins de confiance publics des principaux fournisseurs de systèmes d'exploitation et de logiciels tels que Microsoft, Apple, Google et Mozilla. Il peut s'écouler plusieurs années avant qu'un CA soit inclus dans tous ces programmes, et il doit subir des audits réguliers et rigoureux afin de conserver ce statut. En revanche, les autorités de certification de confiance privée ne sont pas soumises à ces normes, mais ne sont pas aussi utiles pour les applications destinées au public.

Pourquoi les gouvernements devraient-ils s'orienter vers PKI-basée sur la cybersécurité ?

La numérisation croissante des dossiers publics et des transactions du gouvernement au cours des dernières années a enflammé les regards indiscrets des cybercriminels. Les gouvernements sont les gardiens d'énormes fonds publics et les cyber-escrocs se sont montrés persistants à essayer diverses méthodes qui pourraient leur permettre d'obtenir ces récompenses monétaires. Les États détiennent également de vastes quantités d'informations classifiées qui, après avoir été piratées avec succès, ont été utilisées pour des ransomwares et des tactiques de chantage.  

Un article de Magazine de sécurité stipule que "on estime que deux millions de cyberattaques en 2018 ont entraîné plus de 45 milliards de dollars de pertes dans le monde alors que les gouvernements locaux luttaient pour faire face aux ransomwares et autres incidents malveillants. 

L'année 2018 a également été le moment où les États-Unis sont devenus le pays qui a subi les pertes financières les plus élevées dues aux cyberattaques, avec des chiffres atteignant plus de 13.7 milliards de dollars. 

L'une des principales raisons pour lesquelles les États devraient améliorer continuellement leur cybersécurité est peut-être qu'ils collectent de nombreuses informations personnelles auprès des citoyens qui confient leur bien-être à ces institutions publiques.

Cyberattaques gouvernementales notables

Ce premier exemple n'est pas une attaque malveillante mais un piratage de chapeau blanc mené par le chercheur en sécurité Chris Vickery en 2015. Il a découvert une base de données mal configurée qui a exposé les informations personnelles de 191 millions d'électeurs dans tout le pays à pratiquement n'importe qui sur Internet. Parmi ces informations non protégées figurent le nom de l'électeur, sa date de naissance, son adresse et son numéro de téléphone. Un policier qui était interviewé concernant cette fuite a exprimé son inquiétude pour sa sécurité car les criminels ont alors pu accéder aux informations le concernant. 

L'attaque SolarWinds de 2019 - considérée comme l'espionnage sur Internet le plus alarmant mené contre le gouvernement américain - a laissé des milliers de réseaux gouvernementaux vulnérables aux cyberattaques. Les comptes de messagerie de 27 procureurs américains ont été piratés et des informations sensibles sur les enquêtes gouvernementales et les informateurs ont peut-être été compromises. Les comptes de messagerie de fonctionnaires des ministères du Commerce et du Trésor ont également été violés. 

Le ministère de la Santé et des Services de l'Alaska (DHSS) a été touché en mai 2021 lorsque son site Web a été jugé vulnérable par des pirates informatiques qui ont ensuite potentiellement exposé les informations d'identification privées (PII) d'innombrables personnes, y compris leurs numéros de téléphone, numéros de sécurité sociale et l'information financière. Un danger avec le vol d'informations aussi sensibles est que les pirates pourraient les utiliser pour employer des tactiques d'ingénierie sociale comme appeler des banques et travailler pour tromper les employés de banque en provoquant des changements dans les comptes bancaires des victimes. 

Les responsables de la ville de Peterborough dans le New Hampshire ont été victimes en juillet dernier de pirates informatiques utilisant une stratégie appelée Business Email Compromise (BEC). Les fonctionnaires appartenant au département des finances de la ville ont reçu des e-mails déguisés leur demandant de transférer les paiements du service public sur un autre compte bancaire. Cette tactique d'escroquerie a été mise en œuvre avec succès deux fois en un seul mois et un total de 2.3 millions de dollars a été volé par les cyber-voleurs.

Gouvernement PKI Développement: interne vs hébergé

Une fois qu'un gouvernement décide qu'il a besoin d'un PKI pour délivrer des certificats à ses citoyens (ou une entreprise locale cherche à obtenir des licences pour offrir des certificats au nom du gouvernement), une première pensée commune est d'investir dans le développement d'une infrastructure indépendante. Après tout, un logiciel permettant de mettre en œuvre une autorité de certification auto-signée est disponible à un coût faible ou gratuit via des logiciels tels que Windows Server, OpenSSL et EJBCA. Au deuxième coup d'œil, cependant, cette option présente de nombreux défis et coûts potentiellement décisifs à surmonter:

  • Obtenir la confiance du public pour une utilisation transparente avec les systèmes d'exploitation de bureau et les logiciels tels que les navigateurs Web, les clients de messagerie et les suites bureautiques est généralement un processus long et ardu, et la réussite et la maintenance de ce statut ne sont pas garanties.
  • Les coûts liés à la recherche et à l’emploi de personnel qualifié pour faire fonctionner un PKI à l'échelle nationale sont considérables.
  • Les coûts de matériel et de mise en réseau associés à l'établissement et au maintien d'un réseau national PKI peut être supérieur à ce qui était initialement prévu. En outre, les tentatives de mise à l'échelle PKI (par exemple, pour couvrir plus de citoyens et permettre des services gouvernementaux essentiels supplémentaires) nécessitera probablement une expertise et une infrastructure supplémentaires au fil du temps.

À mesure que la technologie numérique et ses besoins de sécurité associés deviennent plus étroitement liés aux processus gouvernementaux et que de plus en plus d'agences et de citoyens utilisent pleinement les certificats numériques, le matériel, les réseaux et les coûts de personnel devraient tous augmenter. Ces coûts croissants peuvent être un facteur limitant PKI à son plein potentiel pour servir une nation et ses citoyens.

Avantages de l'hébergement PKI

Certaines autorités de certification publiques commerciales, notamment SSL.com, offre actuellement hébergée de confiance publique et privée PKI en tant que service et offrent la possibilité aux gouvernements et à leurs titulaires de licence de contourner bon nombre des problèmes décrits ci-dessus. En outre, les normes de sécurité et de fiabilité auxquelles ces autorités de certification sont soumises sont généralement déjà conforme à la PKI normes et directives publiées par les autorités nationales des TIC. En choisissant un hébergé PKI avec une autorité de certification publique réputée, les gouvernements peuvent s'attendre à trouver:

  • Des systèmes efficaces déjà en place pour la délivrance de certificats, la maintenance du cycle de vie et l'expiration, ainsi que des notifications automatisées d'expiration imminente du certificat.
  • A PKI fonctionne déjà avec succès à l'échelle mondiale.
  • Une autorité de certification soumise à des audits fréquents et détaillés qui respectent ou dépassent les normes mises en place par l'autorité nationale des TIC et qui doit se tenir au courant de l'évolution des normes et des meilleures pratiques de l'industrie.

Dans la plupart des cas - et en particulier pour les pays en développement - la solution hébergée s'avérera moins coûteuse, plus simple à mettre en œuvre et plus sûre que de tenter de développer une PKI.

Hébergé PKI de SSL.com

Pour nos clients gouvernementaux dans le monde, SSL.com offre les avantages de classe mondiale suivants:

  • Solutions personnalisées: SSL.com collabore avec les gouvernements et les titulaires de licence du monde entier pour optimiser la génération, l'installation et les cycles de vie des certificats pour les cartes d'identité à puce et d'autres applications.
  • CA subordonnée de marque: Un hébergé CA subordonnée (également connu sous le nom d'un émission de l'AC) de SSL.com offre un contrôle complet sur l'émission et la gestion des certificats de confiance publique ou privée, à une fraction du coût de l'établissement de leur propre autorité de certification racine et PKI Infrastructure. Par exemple, une autorité de certification locale autorisée à émettre des certificats au nom du gouvernement peut immédiatement confiance publique, conformité réglementaireet certificats numériques de marque.
  • Outils de gestion: Les outils de gestion en ligne de SSL.com permettent aux utilisateurs d'émettre facilement des volumes élevés de certificats et de gérer leur cycle de vie.
  • API: Les administrateurs peuvent facilement automatiser l'émission et le cycle de vie des certificats avec SSL.com API des services Web SSL (SWS).

Quels services spécifiques SSL.com offre-t-il pour lutter contre les menaces de cybersécurité auxquelles sont confrontées les agences gouvernementales ?

illimité

Nos certificats SSL peuvent sécuriser les sites Web gouvernementaux en cryptant les informations personnelles et sensibles téléchargées sur eux par les utilisateurs publics, y compris leurs adresses personnelles, noms d'utilisateur et mots de passe, numéros de sécurité sociale et informations financières. Nous utilisons un cryptage à clé publique standard de l'industrie appelé 2048+ Bit SHA2 qui est très très difficile à violer par les pirates. Nous proposons également le certificat SSL Wildcard qui est très pratique à utiliser pour les administrations. Le SSL Wildcard permet à une agence gouvernementale de protéger son site Web principal ainsi que ses sites Web/sous-domaines de succursale avec un seul certificat. Considérant que les départements gouvernementaux ont plusieurs bureaux sous eux, ayant une protection globale PKI certificat réduit considérablement la probabilité que les attaquants soient en mesure d'exécuter des attaques de porte dérobée. Cliquez sur ici de choisir parmi les multiples types de certificats SSL que nous proposons, dont Wildcard.  

Extensions de messagerie Internet sécurisées/polyvalentes (S/MIME)

Comme indiqué dans la section précédente, les e-mails ont été la principale stratégie utilisée par les cybercriminels pour voler d'énormes sommes d'argent et des données sensibles aux agences gouvernementales. C'est ici que S/MIME se présente comme un puissant outil défensif pour protéger les systèmes de messagerie et les transactions du gouvernement. À l'aide de PKI et le cryptage asymétrique, un S/MIME Le certificat SSL.com permet à un organisme gouvernemental de garantir l'authenticité des e-mails de ses employés et fonctionnaires. Si au moins deux ministères ou bureaux du gouvernement communiquent, le S/MIME Le certificat fournit également l'assurance que les e-mails proviennent réellement d'une source authentique et que les e-mails sont protégés pendant leur transit car ils sont cryptés. En outre, S/MIME est également un moyen de dissuasion puissant pour les employés et les fonctionnaires du gouvernement d'être trompés par des pirates informatiques ou d'agir avec négligence, car il crée un système dans lequel les e-mails entrants sont d'abord évalués pour voir s'ils sont cryptés avec une clé cryptographique qui prouve que l'identité de la source de l'e-mail est légitime . Ainsi, peu importe si un e-mail frauduleux a été conçu socialement pour donner l'impression qu'il provient d'une source authentique, l'absence d'un S/MIME certificat avertira rapidement même l'employé le moins féru de technologie de ne pas le divertir. Aller à cette page pour voir lequel S/MIME certificat de SSL.com correspond le mieux à vos besoins.

Signature Cloud eSigner

Les agences gouvernementales traitent de nombreux documents. L'envoi de faux documents faisant autorité a été l'une des tactiques utilisées par les pirates pour voler des informations classifiées, de l'argent et des données utilisateur aux agences gouvernementales. À l'aide de PKI technologie de cryptage et de cloud, l'application Web eSigner Express de SSL.com permet aux bureaux publics de signer et d'authentifier en toute sécurité des documents à partir de n'importe quel appareil connecté à Internet. Cette fonctionnalité est particulièrement utile pendant cette pandémie de Covid-19 où de nombreux bureaux mettent en œuvre un certain niveau de travail à distance pour leurs employés. La technologie cloud s'est avérée beaucoup moins chère que les équipements de stockage liés au matériel. Étant donné que eSigner est un système de stockage logiciel, il offre également une protection pratiquement insensible aux catastrophes telles que les incendies, les tremblements de terre, les inondations et les cambriolages physiques.

SSL.com dispose de tous les outils nécessaires pour héberger, marque, confiance publique ou privée PKI qui satisfait aux directives des autorités TIC de la plupart des pays ou d'autres organismes de réglementation informatique. Si vous souhaitez nous contacter pour plus d'informations, pour nous faire part de vos besoins spécifiques, ou pour que notre personnel examine et confirme notre capacité à nous conformer à vos directives nationales, veuillez nous contacter par e-mail à Sales@SSL.com or Support@SSL.com, appel +1-SSL-SÉCURISÉou cliquez simplement sur le lien de discussion en bas à droite de cette page.

Abonnez-vous à la newsletter SSL.com

Ne manquez pas les nouveaux articles et mises à jour de SSL.com

Restez informé et en sécurité

SSL.com est un leader mondial de la cybersécurité, PKI et les certificats numériques. Inscrivez-vous pour recevoir les dernières nouvelles de l'industrie, des conseils et des annonces de produits de SSL.com.

Nous aimerions recevoir vos commentaires

Répondez à notre enquête et faites-nous part de votre avis sur votre récent achat.