Governi e PKI Tecnologia
Sempre più i governi nazionali di tutto il mondo si stanno attivamente rivolgendo a infrastrutture a chiave pubblica (PKI) e certificati digitali ai fini di:
- Programmi di identificazione nazionale.
- Single Sign-On (SSO) per workstation e applicazioni software.
- Email governativa firmata e crittografata.
- Autenticazione di documenti tramite firme digitali.
- Autenticazione delle identità dei cittadini per servizi online come il pagamento delle tasse.
I programmi nazionali di identificazione digitale sono in corso di elaborazione in tutto il mondo. Secondo a Rapporto della Banca mondiale 2016, "La maggior parte dei paesi in via di sviluppo ha una qualche forma di schema di identificazione digitale legato a funzioni specifiche e al servizio di un sottoinsieme della popolazione, ma solo pochi hanno uno schema multiuso che copre l'intera popolazione". Secondo lo stesso rapporto, i motivi per l'adozione dell'ID digitale variano a seconda della nazione: "Nei paesi ad alto reddito, l'ID digitale rappresenta un aggiornamento rispetto a sistemi di identificazione fisica legacy consolidati e robusti che hanno funzionato abbastanza bene in passato", mentre " Paesi a basso reddito ... spesso mancano di robusti sistemi di registrazione civile e documenti di identità fisici e stanno costruendo i loro sistemi di identificazione su base digitale, superando il più tradizionale sistema basato sulla fisica. In entrambi i casi, è chiaro che la tendenza globale è verso la creazione di nuovi sistemi nazionali di identificazione digitale o l'espansione di sistemi esistenti.
- L'Estonia programma di identità elettronica fornisce a tutti i suoi cittadini un'identità digitale emessa dallo stato che può essere utilizzata per le firme digitali, nonché per il voto e altri servizi governativi (il 99% dei quali sono disponibile online). I cittadini estoni possono accedere a questi servizi tramite una carta d'identità intelligente rilasciata al 98% degli estoni, nonché tramite smartphone e altri dispositivi mobili.
- La Emirati Arabi Uniti (UAE) attualmente pubblica carte d'identità intelligenti a tutti i cittadini. I chip elettronici in queste schede includono certificati digitali per l'autenticazione dell'identità e le firme digitali, insieme ai dati biometrici dell'impronta digitale. Questa carta d'identità è utilizzata dai cittadini degli Emirati Arabi Uniti per accedere a vasta maggioranza di servizi governativi intelligenti in quella nazione.
In molti casi, iniziative come queste includono la legislazione per la creazione di un'agenzia incaricata di sviluppare e far rispettare le norme nazionali infrastruttura a chiave pubblica (PKI), licenze locali autorità di certificazione (CA) fornire certificati digitali e / o sviluppo gestito dal governo PKI e CAs. A queste agenzie viene comunemente assegnato il titolo Autorità per le tecnologie dell'informazione e della comunicazione (o Autorità ICT). Questo articolo ha lo scopo di fornire ai decisori delle autorità nazionali ICT e delle autorità di certificazione le informazioni di cui hanno bisogno per rispondere a domande importanti come:
- Dovremmo sviluppare il nostro interno PKIo contrarre i servizi di CA esistenti?
- Qual è la strada più veloce ed efficiente per offrire certificati di fiducia pubblica ai nostri cittadini?
PKI, Certificati digitali e CA: una rapida rassegna
In poche parole, Infrastruttura a chiave pubblica (PKI) è usato per gestire coppie di chiavi pubbliche e private e vincolarli alle identità di entità, come persone e organizzazioni, mediante l'emissione di documenti elettronici chiamati certificati digitali.La matematica dietro PKI assicurarsi che se un certificato è firmato con la chiave privata di una determinata entità, chiunque disponga della chiave pubblica della coppia può:
- Verificare che l'entità che presenta il certificato firmato sia in possesso della chiave privata corrispondente (autenticità).
- Fidati del fatto che il contenuto del certificato non è stato modificato da quando è stato inizialmente generato (integrità).
- Utilizzare la chiave pubblica per crittografare un messaggio che può essere decrittografato solo con la chiave privata associata (Crittografia).
Abilitando autenticità, integrità e crittografia, PKI e i certificati digitali consentono comunicazioni sicure su reti non sicure, come Internet. Un'organizzazione che mantiene a PKI e gestisce il rilascio e la revoca dei certificati digitali è noto come a autorità di certificazione (CA).
SSL.com fornisce un'ampia varietà di file SSL /TLS certificati del server per i siti Web HTTPS.
Trust pubblico vs. privato
Sebbene esistano molte applicazioni per i certificati digitali, il loro utilizzo più noto è per la navigazione web sicura, resa possibile tramite SSL /TLS e protocolli HTTPS. Al fine di prevenire avvisi e messaggi di errore del browser, i certificati digitali emessi per i siti Web rivolti al pubblico devono essere firmati da un CA di fiducia pubblica. La fiducia del pubblico è anche auspicabile per l'uso dei certificati con client di posta elettronica, sistemi operativi desktop e altri software per gli utenti finali, in modo che gli utenti o il personale IT non debbano aggiungere manualmente certificati di fiducia privati agli archivi di certificati del sistema operativo.
Le autorità di certificazione pubblicamente affidabili vengono regolarmente e rigorosamente controllate per verificarne la conformità con gli standard del settore, ad esempio WebTrust per le autorità di certificazione, al fine di essere incluso nei negozi fiduciari pubblici dei principali fornitori di sistemi operativi e software come Microsoft, Apple, Google e Mozilla. Possono essere necessari molti anni prima che una CA ottenga l'inclusione in tutti questi programmi e devono sottoporsi a controlli regolari e rigorosi per mantenere tale stato. Al contrario, le CA private attendibili non sono soggette a questi standard, ma non sono così utili per le applicazioni rivolte al pubblico.
Perché i governi dovrebbero orientarsi verso PKIbasata sulla sicurezza informatica?
La crescente digitalizzazione dei registri e delle transazioni pubbliche governative negli ultimi anni ha acceso gli occhi indiscreti dei criminali informatici. I governi sono i detentori di enormi fondi pubblici e i criminali informatici hanno dimostrato di essere persistenti nel provare vari metodi che potrebbero consentire loro di ottenere queste ricompense monetarie. Gli Stati sono anche detentori di grandi quantità di informazioni classificate che, dopo essere state hackerate con successo, sono state utilizzate per ransomware e tattiche di ricatto.
Un articolo di Rivista sulla sicurezza afferma che "circa due milioni di attacchi informatici nel 2018 hanno provocato perdite per oltre 45 miliardi di dollari in tutto il mondo, poiché i governi locali hanno lottato per far fronte a ransomware e altri incidenti dannosi".
L'anno 2018 è stato anche il periodo in cui gli Stati Uniti sono diventati il paese che ha subito le maggiori perdite finanziarie a causa di attacchi informatici, con numeri che hanno superato i 13.7 miliardi di dollari.
Forse uno dei motivi principali per cui gli stati dovrebbero migliorare continuamente la loro sicurezza informatica è che raccolgono molte informazioni personali dai cittadini che affidano il loro benessere a queste istituzioni pubbliche.
Notevoli attacchi informatici del governo
Questo primo esempio non è un attacco dannoso, ma un hack del cappello bianco condotto dal ricercatore di sicurezza Chris Vickery nel 2015. Ha scoperto un database mal configurato che ha esposto le informazioni personali di 191 milioni di elettori in tutto il paese praticamente a chiunque su Internet. Tra le informazioni non protette figurano il nome, la data di nascita, l'indirizzo e il numero di telefono dell'elettore. Un ufficiale di polizia che era intervistato riguardo a questa fuga di notizie ha espresso la sua preoccupazione per la sua sicurezza perché i criminali sono stati quindi in grado di accedere alle informazioni su di lui.
L'attacco SolarWinds del 2019, considerato il più allarmante spionaggio basato su Internet condotto contro il governo degli Stati Uniti, ha lasciato migliaia di reti governative vulnerabili agli attacchi informatici. Gli account di posta elettronica di 27 pubblici ministeri statunitensi sono stati violati e le informazioni sensibili sulle indagini e gli informatori del governo potrebbero essere state compromesse. Anche gli account di posta elettronica dei funzionari dei dipartimenti del commercio e del tesoro sono stati violati.
Il Dipartimento della salute e dei servizi dell'Alaska (DHSS) è stato colpito lo scorso maggio 2021 quando il suo sito Web è stato ritenuto vulnerabile dagli hacker che hanno quindi potenzialmente esposto le informazioni di identificazione privata (PII) di innumerevoli persone, inclusi i loro numeri di telefono, numeri di previdenza sociale e informazioni finanziarie. Un pericolo con informazioni così sensibili che vengono rubate è che gli hacker potrebbero usarle per impiegare tattiche di ingegneria sociale come chiamare le banche e lavorare per ingannare i dipendenti della banca e causare cambiamenti nei conti bancari delle vittime.
I funzionari della città di Peterborough, nel New Hampshire, sono stati vittime lo scorso luglio di hacker di ingegneria sociale che utilizzavano una strategia chiamata Business Email Compromise (BEC). I funzionari appartenenti al dipartimento delle finanze della città sono stati inviati con e-mail mascherate che ordinavano loro di inoltrare i pagamenti del servizio pubblico a un altro conto bancario. Questa tattica di truffa è stata implementata con successo due volte in un solo mese e un totale di $ 2.3 milioni è stato rubato dai ladri informatici.
Enti Pubblici PKI Sviluppo: interno vs. ospitato
Una volta che un governo decide che ha bisogno di un PKI per rilasciare certificati ai propri cittadini (o un'azienda locale cerca la licenza per offrire certificati per conto del governo), un primo pensiero comune è investire nello sviluppo di un'infrastruttura indipendente. Dopo tutto, il software per l'implementazione di una CA autofirmata è disponibile a un costo basso o gratuito tramite software come Windows Server, OpenSSL e EJBCA. A un secondo sguardo, tuttavia, questa opzione presenta molteplici sfide e costi potenzialmente irrisori da superare:
- Raggiungere la fiducia del pubblico per un uso senza interruzioni con sistemi operativi desktop e software come browser Web, client di posta elettronica e suite per ufficio è in genere un processo lungo e arduo e non è garantito il raggiungimento e il mantenimento di questo stato.
- I costi di ricerca e impiego di personale qualificato per operare in modo sicuro ed efficace a PKI a livello nazionale sono notevoli.
- I costi di hardware e di rete associati alla creazione e al mantenimento di un cittadino PKI potrebbe essere maggiore di quanto inizialmente previsto. Inoltre, tenta di ridimensionare PKI (ad esempio, per coprire un numero maggiore di cittadini e consentire ulteriori servizi pubblici essenziali) richiederà probabilmente nel tempo competenze e infrastrutture aggiuntive.
Man mano che la tecnologia digitale e le sue esigenze di sicurezza associate si intrecciano con i processi governativi e sempre più agenzie e cittadini fanno pieno uso di certificati digitali, hardware, rete e costi del personale che potrebbero aumentare. Questi costi in espansione possono essere un fattore limitante sull'utilizzo PKI al massimo delle sue potenzialità per servire una nazione e i suoi cittadini.
Vantaggi di Hosted PKI
Alcune CA pubbliche commerciali, tra cui SSL.com, attualmente offrono hosting attendibile pubblicamente e privatamente PKI come servizio e offrire ai governi e ai loro licenziatari il potenziale per aggirare molte delle problematiche sopra descritte. Inoltre, gli standard di settore per la sicurezza e l'affidabilità a cui sono affidate queste CA sono in genere già in conformità con il PKI norme e linee guida emesse dalle autorità nazionali ICT. Scegliendo un hosted PKI con una CA pubblica affidabile, i governi possono aspettarsi di trovare:
- Sistemi efficaci già in atto per l'emissione di certificati, la manutenzione del ciclo di vita e la scadenza, insieme a notifiche automatiche di imminente scadenza del certificato.
- A PKI già funzionante con successo su scala globale.
- Una CA che è soggetta a controlli frequenti e dettagliati che soddisfano o superano gli standard messi in atto dall'autorità nazionale per le TIC ed è tenuta a rimanere al passo con l'evoluzione degli standard di settore e delle migliori pratiche.
Nella maggior parte dei casi - e specialmente per i paesi in via di sviluppo - la soluzione ospitata sarà meno costosa, più semplice da implementare e più sicura rispetto al tentativo di sviluppare una casa PKI.
Hosted PKI da SSL.com
Per i nostri clienti governativi a livello globale, SSL.com offre i seguenti vantaggi di livello mondiale:
- Soluzioni personalizzate: SSL.com collabora con governi e licenziatari in tutto il mondo per ottimizzare la generazione, l'installazione e il ciclo di vita dei certificati per carte d'identità intelligenti e altre applicazioni.
- CA subordinata con marchio: A ospitato CA subordinata (noto anche come un CA emittente) da SSL.com offre il controllo completo sull'emissione e la gestione di certificati attendibili pubblicamente o privatamente, a una frazione del costo di creazione della propria CA radice e PKI infrastruttura. Ad esempio, un'autorità di certificazione locale autorizzata a rilasciare certificati per conto del governo può ottenere immediatamente fiducia pubblica, conformità normativae certificati digitali di marca.
- Strumenti di gestione: Gli strumenti di gestione online di SSL.com consentono agli utenti di emettere facilmente grandi volumi di certificati e di gestirne il ciclo di vita.
- API: Gli amministratori possono automatizzare facilmente l'emissione e il ciclo di vita dei certificati con SSL.com API SSL Web Services (SWS).
Quali servizi specifici offre SSL.com che aiutano a combattere le minacce alla sicurezza informatica affrontate dalle agenzie governative?
Certificati SSL
I nostri certificati SSL possono proteggere i siti Web governativi crittografando le informazioni personali e sensibili caricate su di essi dagli utenti pubblici, inclusi indirizzi di casa, nomi utente e password, numeri di previdenza sociale e dettagli finanziari. Utilizziamo la crittografia a chiave pubblica standard del settore denominata 2048+ Bit SHA2 che è molto molto difficile da violare dagli hacker. Offriamo anche il certificato SSL Wildcard che è molto pratico da usare per gli uffici governativi. Il Wildcard SSL consente a un'agenzia governativa di proteggere il proprio sito Web principale e i propri siti Web/sottodomini di filiale con un solo certificato. Considerando che i dipartimenti governativi hanno più uffici sotto di loro, con una protezione completa PKI certificato riduce notevolmente la probabilità che gli aggressori siano in grado di eseguire attacchi backdoor. Clic qui per scegliere tra i molteplici tipi di certificati SSL che offriamo, incluso Wildcard.
Estensioni di posta Internet sicure/multiuso (S/MIME)
Come discusso nella sezione precedente, le e-mail sono state una strategia primaria utilizzata dai criminali informatici per rubare enormi quantità di denaro e dati sensibili dalle agenzie governative. Qui è dove S/MIME si presenta come un forte strumento difensivo nella protezione dei sistemi e delle transazioni di posta elettronica del governo. Usando PKI e crittografia asimmetrica, an S/MIME certificato da SSL.com consente a un'agenzia governativa di garantire l'autenticità delle e-mail tra i suoi dipendenti e funzionari. Se due o più dipartimenti o uffici governativi stanno comunicando, il S/MIME Il certificato fornisce inoltre la garanzia che le e-mail provengano realmente da una fonte autentica e che i messaggi e-mail siano protetti durante il transito perché crittografati. Inoltre, S/MIME è anche un forte deterrente per dipendenti e funzionari governativi dall'essere ingannati dagli hacker o dall'agire negligente perché crea un sistema in cui le e-mail in arrivo vengono prima valutate per vedere se sono crittografate con una chiave crittografica che dimostra che l'identità della fonte dell'e-mail è legittima . Quindi, non importa se un'e-mail truffa è stata socialmente progettata per sembrare proveniente da una fonte autentica, l'assenza di un S/MIME certificato avviserà prontamente anche il dipendente meno esperto di tecnologia di non intrattenerlo. Vai a questa pagina per vedere quale S/MIME certificato da SSL.com più adatto alle tue esigenze.
Firma su cloud di eSigner
Le agenzie governative si occupano di molti documenti. L'invio di documenti autorevoli falsi è stata una tattica utilizzata dagli hacker per rubare informazioni riservate, denaro e dati degli utenti dalle agenzie governative. Usando PKI crittografia e tecnologia cloud, l'applicazione web eSigner Express di SSL.com consente agli uffici pubblici di firmare e autenticare in modo sicuro i documenti da qualsiasi dispositivo connesso a Internet. Questa funzione è particolarmente utile durante questa pandemia di Covid-19 in cui molti uffici stanno implementando un certo livello di lavoro a distanza per i propri dipendenti. È stato dimostrato che la tecnologia cloud è molto più economica delle apparecchiature di archiviazione legate all'hardware. Poiché eSigner è un sistema di archiviazione basato su software, offre anche una protezione praticamente impermeabile da calamità come incendi, terremoti, inondazioni e furto con scasso.
SSL.com ha tutti gli strumenti necessari per essere ospitato, con marchio, pubblicamente o privatamente attendibile PKI che soddisfa le linee guida delle autorità ICT della maggior parte dei paesi o di altri organismi di regolamentazione IT. Se desideri contattarci per ulteriori informazioni, per farci conoscere le tue esigenze specifiche o per far esaminare il nostro personale e confermare la nostra capacità di rispettare le tue linee guida nazionali, ti preghiamo di contattarci via e-mail all'indirizzo Sales@SSL.com or Support@SSL.com, chiama + 1-SSL-SICUROo fai semplicemente clic sul link della chat in basso a destra in questa pagina.
SSL.com fornisce un'ampia varietà di file SSL /TLS certificati del server per i siti web HTTPS, inclusi: