en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

PKI en digitale certificaten voor de overheid

Einführung

Nationale overheden wereldwijd wenden zich steeds meer actief tot publieke sleutelinfrastructuur (PKI) en digitale certificaten voor:

  • Nationale ID-programma's.
  • Single sign-on (SSO) voor werkstations en softwaretoepassingen.
  • Ondertekende en versleutelde e-mail van de overheid.
  • Authenticatie van documenten door middel van digitale handtekeningen.
  • Authenticatie van de identiteit van burgers voor onlinediensten zoals belastingbetalingen.

Nationale digitale ID-programma's zijn een wereldwijd werk in uitvoering. Volgens een Wereldbankrapport 2016"De meeste ontwikkelingslanden hebben een of andere vorm van digitale ID-regeling die is gekoppeld aan specifieke functies en die een subgroep van de bevolking bedienen, maar slechts een paar hebben een multifunctioneel systeem dat de hele bevolking dekt." Volgens hetzelfde rapport verschillen de redenen voor het aannemen van digitale ID per land: "In landen met een hoog inkomen vertegenwoordigt digitale ID een upgrade van gevestigde, robuuste legacy fysieke ID-systemen die in het verleden redelijk goed hebben gewerkt", terwijl " lage-inkomenslanden… hebben vaak geen robuuste burgerregistratiesystemen en fysieke identiteitsbewijzen en bouwen hun identiteitssystemen op digitale basis, waarmee ze het meer traditionele fysieke systeem overstijgen. " In beide gevallen is het duidelijk dat de wereldwijde trend is gericht op het creëren van nieuwe nationale digitale ID-systemen of de uitbreiding van bestaande systemen.

Een paar voorbeelden onder vele wereldwijd:

  • Estland e-identiteitsprogramma biedt al zijn burgers een door de staat uitgegeven digitale identiteit die kan worden gebruikt voor digitale handtekeningen, maar ook voor stemmen en andere overheidsdiensten (waarvan 99% beschikbaar online). Estse staatsburgers hebben toegang tot deze diensten via een slimme ID-kaart die is afgegeven aan 98% van de Esten, maar ook via smartphones en andere mobiele apparaten.
  • Het Verenigde Arabische Emiraten (VAE) momenteel problemen slimme identiteitskaarten aan alle burgers. De elektronische chips in deze kaarten bevatten digitale certificaten voor identiteitsverificatie en digitale handtekeningen, samen met biometrische vingerafdrukgegevens. Deze identiteitskaart wordt gebruikt door burgers van de VAE om toegang te krijgen tot de de overgrote meerderheid van slimme overheidsdiensten in dat land.

In veel gevallen omvatten initiatieven zoals deze wetgeving om een ​​bureau op te richten dat belast is met het ontwikkelen en handhaven van nationale normen voor openbare sleutel infrastructuur (PKI), lokale licenties certificeringsinstanties (CA's) digitale certificaten te verstrekken en / of door de overheid beheerd te ontwikkelen PKI en CA's. Deze bureaus krijgen gewoonlijk de titel Autoriteit voor informatie- en communicatietechnologieën (of ICT autoriteit). Dit artikel is bedoeld om besluitvormers bij nationale ICT-autoriteiten en bevoegde CA's te voorzien van de informatie die ze nodig hebben om belangrijke vragen te beantwoorden, zoals:

  • Moeten we onze eigen interne ontwikkelen PKI, of de diensten van bestaande CA's contracteren?
  • Wat is de snelste en meest efficiënte manier om onze burgers vertrouwde certificaten aan te bieden?

PKI, Digitale certificaten en CA's: een snel overzicht

In een notendop, Infrastructuur met openbare sleutels (PKI) wordt gebruikt om paren van openbare en privésleutels en ze binden aan de identiteit van entiteiten, zoals personen en organisaties, door de uitgifte van opgeroepen elektronische documenten digitale certificaten.De wiskunde achter PKI zorg ervoor dat als een certificaat is ondertekend met de privésleutel van een bepaalde entiteit kan iedereen met de openbare sleutel van het paar:

  • Controleer of de entiteit die het ondertekende certificaat aanbiedt, in het bezit is van de bijbehorende persoonlijke sleutel (authenticiteit).
  • Vertrouw erop dat de inhoud van het certificaat niet is gewijzigd sinds het voor het eerst werd gegenereerd (integriteit).
  • Gebruik de openbare sleutel om een ​​bericht te versleutelen dat alleen kan worden ontsleuteld met de bijbehorende persoonlijke sleutel (encryptie).

Door authenticiteit, integriteit en codering mogelijk te maken, PKI en digitale certificaten maken veilige communicatie mogelijk via onveilige netwerken, zoals internet. Een organisatie die een PKI en beheert de uitgifte en intrekking van digitale certificaten staat bekend als een certificeringsinstantie (CA).

Publiek versus particulier vertrouwen

Hoewel er veel toepassingen zijn voor digitale certificaten, is het meest bekende gebruik ervan voor veilig surfen op het web, mogelijk gemaakt door de SSL /TLS en HTTPS-protocollen. Om browserwaarschuwingen en foutmeldingen te voorkomen, moeten digitale certificaten die zijn uitgegeven voor openbare websites worden ondertekend door een publiekelijk vertrouwde CA. Openbaar vertrouwen is ook wenselijk als certificaten worden gebruikt met e-mailclients, desktopbesturingssystemen en andere software voor eindgebruikers, zodat gebruikers of IT-personeel niet handmatig vertrouwde certificaten hoeven toe te voegen aan OS-certificaatarchieven.

Openbaar vertrouwde CA's worden regelmatig en rigoureus gecontroleerd op naleving van industriestandaarden, zoals WebTrust voor CA's, om te worden opgenomen in de openbare trustwinkels van grote leveranciers van besturingssystemen en software, zoals Microsoft, Apple, Google en Mozilla. Het kan vele jaren duren voordat een BA in al deze programma's wordt opgenomen, en ze moeten regelmatig strenge audits ondergaan om die status te behouden. Daarentegen zijn privé vertrouwde CA's niet onderworpen aan deze normen, maar zijn ze niet zo nuttig voor openbare toepassingen.

Overheid PKI Ontwikkeling: intern versus gehost

Zodra een regering besluit dat ze een PKI om certificaten uit te geven aan zijn burgers (of een lokaal bedrijf zoekt licenties om namens de overheid certificaten aan te bieden), is een algemene eerste gedachte om te investeren in de ontwikkeling van een onafhankelijke infrastructuur. Software voor het implementeren van een zelfondertekende CA is immers goedkoop of gratis beschikbaar via software zoals Windows Server, OpenSSL en EJBCA. Op het tweede gezicht heeft deze optie echter meerdere potentiële dealbrekende uitdagingen en kosten die moeten worden overwonnen:

  • Het vertrouwen van het publiek winnen voor naadloos gebruik met desktopbesturingssystemen en software zoals webbrowsers, e-mailclients en kantoorsuites is doorgaans een lang en moeizaam proces en het is niet gegarandeerd dat deze status met succes wordt bereikt en gehandhaafd.
  • De kosten voor het vinden en in dienst nemen van gekwalificeerd personeel voor een veilige en effectieve werking PKI op nationaal niveau zijn aanzienlijk.
  • De hardware- en netwerkkosten verbonden aan het vestigen en onderhouden van een nationaal PKI kan groter zijn dan aanvankelijk verwacht. Bovendien probeert het te schalen PKI (om bijvoorbeeld meer burgers te bereiken en aanvullende essentiële overheidsdiensten mogelijk te maken) zal in de loop van de tijd waarschijnlijk extra expertise en infrastructuur vereisen.

Naarmate digitale technologie en de daarmee samenhangende beveiligingsbehoeften meer verweven raken met overheidsprocessen en steeds meer instanties en burgers volledig gebruik maken van digitale certificaten, kan worden verwacht dat de kosten voor hardware, netwerken en personeel zullen toenemen. Deze stijgende kosten kunnen een beperkende factor zijn bij het gebruik PKI om een ​​land en zijn burgers ten volle te dienen.

Voordelen van Hosted PKI

Sommige commerciële openbare CA's, waaronder SSL.com, momenteel openbaar en privé vertrouwd aanbod PKI als een service en bieden de mogelijkheid voor regeringen en hun licentiehouders om veel van de hierboven beschreven problemen te omzeilen. Bovendien zijn de industriestandaarden voor beveiliging en betrouwbaarheid waaraan deze CA's worden gehouden typisch al in overeenstemming met de PKI normen en richtlijnen opgesteld door de nationale ICT-autoriteiten. Door te kiezen voor een gehost PKI met een gerenommeerde openbare certificeringsinstantie kunnen overheden verwachten te vinden:

  • Effectieve systemen die al bestaan ​​voor certificaatuitgifte, levenscyclusonderhoud en -vervaldatum, samen met geautomatiseerde meldingen van naderende certificaatvervaldatum.
  • A PKI werkt al succesvol op wereldschaal.
  • Een certificeringsinstantie die wordt onderworpen aan frequente, gedetailleerde audits die voldoen aan de normen van de nationale ICT-autoriteit of deze overtreffen, en die op de hoogte moet blijven van de zich ontwikkelende industrienormen en best practices.

In de meeste gevallen - en vooral voor ontwikkelingslanden - zal de gehoste oplossing goedkoper, eenvoudiger te implementeren en veiliger blijken te zijn dan te proberen een zelfgekweekte oplossing te ontwikkelen PKI.

Hosted PKI van SSL.com

Voor onze overheidsklanten wereldwijd, SSL.com biedt de volgende voordelen van wereldklasse:

  • Maatwerk oplossingen: SSL.com werkt samen met overheden en licentiehouders over de hele wereld om de generatie, installatie en levenscycli van certificaten voor slimme ID-kaarten en andere toepassingen te optimaliseren.
  • Gemerkte ondergeschikte CA: Een gehost ondergeschikte CA (ook bekend als een afgevende CA) van SSL.com biedt volledige controle over de uitgifte en het beheer van publiekelijk of privé vertrouwde certificaten, tegen een fractie van de kosten van het opzetten van hun eigen root-CA en PKI infrastructuur. Een lokale CA die een vergunning heeft om namens de overheid certificaten af ​​te geven, kan dit bijvoorbeeld onmiddellijk bereiken vertrouwen van het publiek, naleving van de regelgevingen branded digitale certificaten.
  • Management tools: Met de online beheertools van SSL.com kunnen gebruikers eenvoudig grote hoeveelheden certificaten uitgeven en hun levenscyclus beheren.
  • API: Beheerders kunnen de uitgifte en levenscyclus van certificaten eenvoudig automatiseren met SSL.com's SSL-webservices (SWS) API.

SSL.com heeft alle tools die nodig zijn voor gehoste, merkgebonden, openbare of privé vertrouwde PKI die voldoet aan de richtlijnen van de ICT-autoriteiten van de meeste landen of andere IT-regelgevende instanties. Als u contact met ons wilt opnemen voor meer informatie, om ons uw specifieke behoeften te laten weten, of om onze medewerkers te laten beoordelen en bevestigen dat we aan uw nationale richtlijnen kunnen voldoen, neem dan contact met ons op via e-mail op Sales@SSL.com or Support@SSL.com, bel + 1-SSL-SECURE, of klik gewoon op de chatlink rechts onderaan deze pagina.

 

Gerelateerde artikelen

Abonneer u op de nieuwsbrief van SSL.com

Wat is SSL /TLS?

Video afspelen

Abonneer u op de nieuwsbrief van SSL.com

Mis geen nieuwe artikelen en updates van SSL.com