PKI en digitale certificaten voor de overheid

Een overzicht van PKI toepassingen en opties voor informatie- en communicatietechnologieën (ICT) -autoriteiten en door de overheid erkende certificeringsinstanties.

gerelateerde inhoud

Wil je blijven leren?

Abonneer u op de nieuwsbrief van SSL.com, blijf op de hoogte en veilig.

regeringen en PKI Technologie

Nationale overheden wereldwijd wenden zich steeds meer actief tot publieke sleutelinfrastructuur (PKI) en digitale certificaten voor:

  • Nationale ID-programma's.
  • Single sign-on (SSO) voor werkstations en softwaretoepassingen.
  • Ondertekende en versleutelde e-mail van de overheid.
  • Authenticatie van documenten door middel van digitale handtekeningen.
  • Authenticatie van de identiteit van burgers voor onlinediensten zoals belastingbetalingen.

Nationale digitale ID-programma's zijn een wereldwijd werk in uitvoering. Volgens een Wereldbankrapport 2016"De meeste ontwikkelingslanden hebben een of andere vorm van digitale ID-regeling die is gekoppeld aan specifieke functies en die een subgroep van de bevolking bedienen, maar slechts een paar hebben een multifunctioneel systeem dat de hele bevolking dekt." Volgens hetzelfde rapport verschillen de redenen voor het aannemen van digitale ID per land: "In landen met een hoog inkomen vertegenwoordigt digitale ID een upgrade van gevestigde, robuuste legacy fysieke ID-systemen die in het verleden redelijk goed hebben gewerkt", terwijl " lage-inkomenslanden… hebben vaak geen robuuste burgerregistratiesystemen en fysieke identiteitsbewijzen en bouwen hun identiteitssystemen op digitale basis, waarmee ze het meer traditionele fysieke systeem overstijgen. " In beide gevallen is het duidelijk dat de wereldwijde trend is gericht op het creëren van nieuwe nationale digitale ID-systemen of de uitbreiding van bestaande systemen.

Een paar voorbeelden onder vele wereldwijd:

  • Estland e-identiteitsprogramma biedt al zijn burgers een door de staat uitgegeven digitale identiteit die kan worden gebruikt voor digitale handtekeningen, maar ook voor stemmen en andere overheidsdiensten (waarvan 99% beschikbaar online). Estse staatsburgers hebben toegang tot deze diensten via een slimme ID-kaart die is afgegeven aan 98% van de Esten, maar ook via smartphones en andere mobiele apparaten.
  • Het Verenigde Arabische Emiraten (VAE) momenteel problemen slimme identiteitskaarten aan alle burgers. De elektronische chips in deze kaarten bevatten digitale certificaten voor identiteitsverificatie en digitale handtekeningen, samen met biometrische vingerafdrukgegevens. Deze identiteitskaart wordt gebruikt door burgers van de VAE om toegang te krijgen tot de de overgrote meerderheid van slimme overheidsdiensten in dat land.

In veel gevallen omvatten initiatieven zoals deze wetgeving om een ​​bureau op te richten dat belast is met het ontwikkelen en handhaven van nationale normen voor openbare sleutel infrastructuur (PKI), lokale licenties certificeringsinstanties (CA's) digitale certificaten te verstrekken en / of door de overheid beheerd te ontwikkelen PKI en CA's. Deze bureaus krijgen gewoonlijk de titel Autoriteit voor informatie- en communicatietechnologieën (of ICT autoriteit). Dit artikel is bedoeld om besluitvormers bij nationale ICT-autoriteiten en bevoegde CA's te voorzien van de informatie die ze nodig hebben om belangrijke vragen te beantwoorden, zoals:

  • Moeten we onze eigen interne ontwikkelen PKI, of de diensten van bestaande CA's contracteren?
  • Wat is de snelste en meest efficiënte manier om onze burgers vertrouwde certificaten aan te bieden?

PKI, Digitale certificaten en CA's: een snel overzicht

In een notendop, Infrastructuur met openbare sleutels (PKI) wordt gebruikt om paren van openbare en privésleutels en ze binden aan de identiteit van entiteiten, zoals personen en organisaties, door de uitgifte van opgeroepen elektronische documenten digitale certificaten.De wiskunde achter PKI zorg ervoor dat als een certificaat is Gesigneerd met de privésleutel van een bepaalde entiteit kan iedereen met de openbare sleutel van het paar:

  • Controleer of de entiteit die het ondertekende certificaat aanbiedt, in het bezit is van de bijbehorende persoonlijke sleutel (authenticiteit).
  • Vertrouw erop dat de inhoud van het certificaat niet is gewijzigd sinds het voor het eerst werd gegenereerd (integriteit).
  • Gebruik de openbare sleutel om een ​​bericht te versleutelen dat alleen kan worden ontsleuteld met de bijbehorende persoonlijke sleutel (encryptie).

Door authenticiteit, integriteit en codering mogelijk te maken, PKI en digitale certificaten maken veilige communicatie mogelijk via onveilige netwerken, zoals internet. Een organisatie die een PKI en beheert de uitgifte en intrekking van digitale certificaten staat bekend als een certificeringsinstantie (CA).

SSL.com biedt een breed scala aan SSL /TLS server certificaten voor HTTPS-websites.

VERGELIJK SSL /TLS CERTIFICATEN

Publiek versus particulier vertrouwen

Hoewel er veel toepassingen zijn voor digitale certificaten, is het meest bekende gebruik ervan voor veilig surfen op het web, mogelijk gemaakt door de SSL /TLS en HTTPS-protocollen. Om browserwaarschuwingen en foutmeldingen te voorkomen, moeten digitale certificaten die zijn uitgegeven voor openbare websites worden ondertekend door een publiekelijk vertrouwde CA. Openbaar vertrouwen is ook wenselijk als certificaten worden gebruikt met e-mailclients, desktopbesturingssystemen en andere software voor eindgebruikers, zodat gebruikers of IT-personeel niet handmatig vertrouwde certificaten hoeven toe te voegen aan OS-certificaatarchieven.

Openbaar vertrouwde CA's worden regelmatig en rigoureus gecontroleerd op naleving van industriestandaarden, zoals WebTrust voor CA's, om te worden opgenomen in de openbare trustwinkels van grote leveranciers van besturingssystemen en software, zoals Microsoft, Apple, Google en Mozilla. Het kan vele jaren duren voordat een BA in al deze programma's wordt opgenomen, en ze moeten regelmatig strenge audits ondergaan om die status te behouden. Daarentegen zijn privé vertrouwde CA's niet onderworpen aan deze normen, maar zijn ze niet zo nuttig voor openbare toepassingen.

Waarom zouden regeringen naar PKI-gebaseerde cyberbeveiliging?

De toenemende digitalisering van openbare registers en transacties van de overheid in de afgelopen jaren hebben de nieuwsgierige blikken van cybercriminelen gewekt. Overheden zijn de beheerders van enorme publieke fondsen en cybercriminelen hebben aangetoond volhardend te zijn in het uitproberen van verschillende methoden waarmee ze deze geldelijke beloningen zouden kunnen bemachtigen. Staten zijn ook in het bezit van enorme hoeveelheden geheime informatie die, nadat ze met succes zijn gehackt, zijn gebruikt voor ransomware en chantagetactieken.  

Een artikel uit Beveiliging Magazine zegt dat "naar schatting twee miljoen cyberaanvallen in 2018 resulteerden in meer dan $ 45 miljard aan verliezen wereldwijd, omdat lokale overheden moeite hadden om ransomware en andere kwaadaardige incidenten het hoofd te bieden.” 

Het jaar 2018 was ook de tijd waarin de VS het land werd dat de grootste financiële verliezen leed als gevolg van cyberaanvallen, met aantallen van meer dan $ 13.7 miljard. 

Misschien is een van de belangrijkste redenen waarom staten hun cyberbeveiliging voortdurend moeten verbeteren, dat ze veel persoonlijke informatie verzamelen van burgers die hun welzijn aan deze openbare instellingen toevertrouwen.

Opmerkelijke cyberaanvallen van de overheid

Dit eerste voorbeeld is geen kwaadwillende aanval, maar een white hat-hack uitgevoerd door beveiligingsonderzoeker Chris Vickery in 2015. Hij ontdekte een verkeerd geconfigureerde database die de persoonlijke informatie van 191 miljoen kiezers in het hele land aan praktisch iedereen op internet blootstelde. Tot die onbeschermde informatie behoren de naam, geboortedatum, adres en telefoonnummer van de kiezer. Een politieagent die geïnterviewd met betrekking tot dit lek sprak zijn bezorgdheid uit over zijn veiligheid omdat criminelen dan toegang konden krijgen tot informatie over hem. 

De SolarWinds-aanval van 2019, die wordt beschouwd als de meest alarmerende op internet gebaseerde spionage tegen de Amerikaanse regering, heeft duizenden overheidsnetwerken kwetsbaar gemaakt voor cyberaanvallen. De e-mailaccounts van 27 Amerikaanse aanklagers zijn gehackt en gevoelige informatie over overheidsonderzoeken en informanten is mogelijk gehackt. De e-mailaccounts van ambtenaren van de ministeries van Handel en Financiën werden ook geschonden. 

Het Alaska Department of Health and Services (DHSS) werd afgelopen mei 2021 getroffen toen zijn website kwetsbaar werd bevonden door hackers die vervolgens mogelijk de privé-identificerende informatie (PII) van talloze personen openbaar maakten, waaronder hun telefoonnummers, burgerservicenummers en financiële informatie. Een gevaar bij het stelen van dergelijke gevoelige informatie is dat de hackers deze kunnen gebruiken om social engineering-tactieken toe te passen, zoals het bellen van banken en het proberen om bankmedewerkers te misleiden om wijzigingen in de bankrekeningen van de slachtoffers te veroorzaken. 

De stadsambtenaren van Peterborough in New Hampshire werden afgelopen juli het slachtoffer van social engineering-hackers met behulp van een strategie genaamd Business Email Compromise (BEC). De ambtenaren van de financiële afdeling van de stad kregen verkapte e-mails met de opdracht om openbare dienstbetalingen naar een andere bankrekening door te sturen. Deze zwendeltactiek werd met succes twee keer in één maand geïmplementeerd en in totaal werd $ 2.3 miljoen gestolen door de cyberdieven.

Overheid PKI Ontwikkeling: intern versus gehost

Zodra een regering besluit dat ze een PKI om certificaten uit te geven aan zijn burgers (of een lokaal bedrijf zoekt licenties om namens de overheid certificaten aan te bieden), is een algemene eerste gedachte om te investeren in de ontwikkeling van een onafhankelijke infrastructuur. Software voor het implementeren van een zelfondertekende CA is immers goedkoop of gratis beschikbaar via software zoals Windows Server, OpenSSL en EJBCA. Op het tweede gezicht heeft deze optie echter meerdere potentiële dealbrekende uitdagingen en kosten die moeten worden overwonnen:

  • Het vertrouwen van het publiek winnen voor naadloos gebruik met desktopbesturingssystemen en software zoals webbrowsers, e-mailclients en kantoorsuites is doorgaans een lang en moeizaam proces en het is niet gegarandeerd dat deze status met succes wordt bereikt en gehandhaafd.
  • De kosten voor het vinden en in dienst nemen van gekwalificeerd personeel voor een veilige en effectieve werking PKI op nationaal niveau zijn aanzienlijk.
  • De hardware- en netwerkkosten verbonden aan het vestigen en onderhouden van een nationaal PKI kan groter zijn dan aanvankelijk verwacht. Bovendien probeert het te schalen PKI (om bijvoorbeeld meer burgers te bereiken en aanvullende essentiële overheidsdiensten mogelijk te maken) zal in de loop van de tijd waarschijnlijk extra expertise en infrastructuur vereisen.

Naarmate digitale technologie en de daarmee samenhangende beveiligingsbehoeften meer verweven raken met overheidsprocessen en steeds meer instanties en burgers volledig gebruik maken van digitale certificaten, kan worden verwacht dat de kosten voor hardware, netwerken en personeel zullen toenemen. Deze stijgende kosten kunnen een beperkende factor zijn bij het gebruik PKI om een ​​land en zijn burgers ten volle te dienen.

Voordelen van Hosted PKI

Sommige commerciële openbare CA's, waaronder SSL.com, momenteel openbaar en privé vertrouwd aanbod PKI als een service en bieden de mogelijkheid voor regeringen en hun licentiehouders om veel van de hierboven beschreven problemen te omzeilen. Bovendien zijn de industriestandaarden voor beveiliging en betrouwbaarheid waaraan deze CA's worden gehouden typisch al in overeenstemming met de PKI normen en richtlijnen opgesteld door de nationale ICT-autoriteiten. Door te kiezen voor een gehost PKI met een gerenommeerde openbare certificeringsinstantie kunnen overheden verwachten te vinden:

  • Effectieve systemen die al bestaan ​​voor certificaatuitgifte, levenscyclusonderhoud en -vervaldatum, samen met geautomatiseerde meldingen van naderende certificaatvervaldatum.
  • A PKI werkt al succesvol op wereldschaal.
  • Een certificeringsinstantie die wordt onderworpen aan frequente, gedetailleerde audits die voldoen aan de normen van de nationale ICT-autoriteit of deze overtreffen, en die op de hoogte moet blijven van de zich ontwikkelende industrienormen en best practices.

In de meeste gevallen - en vooral voor ontwikkelingslanden - zal de gehoste oplossing goedkoper, eenvoudiger te implementeren en veiliger blijken te zijn dan te proberen een zelfgekweekte oplossing te ontwikkelen PKI.

Hosted PKI van SSL.com

Voor onze overheidsklanten wereldwijd, SSL.com biedt de volgende voordelen van wereldklasse:

  • Maatwerk oplossingen: SSL.com werkt samen met overheden en licentiehouders over de hele wereld om de generatie, installatie en levenscycli van certificaten voor slimme ID-kaarten en andere toepassingen te optimaliseren.
  • Gemerkte ondergeschikte CA: Een gehost ondergeschikte CA (ook bekend als een afgevende CA) van SSL.com biedt volledige controle over de uitgifte en het beheer van publiekelijk of privé vertrouwde certificaten, tegen een fractie van de kosten van het opzetten van hun eigen root-CA en PKI infrastructuur. Een lokale CA die een vergunning heeft om namens de overheid certificaten af ​​te geven, kan dit bijvoorbeeld onmiddellijk bereiken vertrouwen van het publiek, naleving van de regelgeving en branded digitale certificaten.
  • Management tools: Met de online beheertools van SSL.com kunnen gebruikers eenvoudig grote hoeveelheden certificaten uitgeven en hun levenscyclus beheren.
  • API: Beheerders kunnen de uitgifte en levenscyclus van certificaten eenvoudig automatiseren met SSL.com's SSL-webservices (SWS) API.

Welke specifieke services biedt SSL.com die helpen bij het bestrijden van cyberbeveiligingsbedreigingen waarmee overheidsinstanties worden geconfronteerd?

SSL Certificaten

Onze SSL-certificaten kunnen overheidswebsites beveiligen door persoonlijke en gevoelige informatie te versleutelen die door openbare gebruikers is geüpload, inclusief hun thuisadressen, gebruikersnamen en wachtwoorden, burgerservicenummers en financiële gegevens. We gebruiken industriestandaard versleuteling met openbare sleutels, ook wel: 2048+ Bit SHA2 die heel erg moeilijk te doorbreken is door hackers. We bieden ook het Wildcard SSL-certificaat aan wat erg praktisch is voor overheidsinstellingen. De Wildcard SSL stelt een overheidsinstantie in staat om zowel hun hoofdwebsite als hun filiaalwebsites/subdomeinen te beschermen met slechts één certificaat. Aangezien overheidsdepartementen meerdere bureaus onder zich hebben, met een alomvattende beschermende, PKI certificaat vermindert de kans dat aanvallers achterdeuraanvallen kunnen uitvoeren aanzienlijk. Klik hier om te kiezen uit de verschillende soorten SSL-certificaten die we aanbieden, inclusief Wildcard.  

Veilige/multifunctionele e-mailextensies voor internet (S/MIME)

Zoals in de eerdere sectie is besproken, zijn e-mails een primaire strategie geweest die door cybercriminelen worden gebruikt bij het stelen van enorme hoeveelheden geld en gevoelige gegevens van overheidsinstanties. Dit is waar S/MIME komt binnen als een sterk defensief hulpmiddel bij het beschermen van e-mailsystemen en transacties van de overheid. Gebruik makend van PKI en asymmetrische encryptie, en S/MIME certificaat van SSL.com stelt een overheidsinstantie in staat om de authenticiteit van e-mails tussen haar werknemers en functionarissen te waarborgen. Als twee of meer overheidsdiensten of -bureaus communiceren, S/MIME certificaat biedt ook de zekerheid dat de e-mails echt afkomstig zijn van een authentieke bron en dat de e-mailberichten tijdens het transport worden beschermd omdat ze versleuteld zijn. Aanvullend, S/MIME is ook een sterk afschrikmiddel voor overheidsmedewerkers en -functionarissen om door hackers te worden misleid of onzorgvuldig te handelen, omdat het een systeem creëert waarin inkomende e-mails eerst worden geëvalueerd om te zien of ze zijn versleuteld met een cryptografische sleutel die bewijst dat de identiteit van de bron van de e-mail legitiem is . Dus het maakt niet uit of een scam-e-mail sociaal is ontworpen om eruit te zien alsof het afkomstig is van een authentieke bron, de afwezigheid van een S/MIME certificaat zal zelfs de minst technisch onderlegde werknemer onmiddellijk waarschuwen om zich er niet mee bezig te houden. Ga naar deze pagina om te zien welke S/MIME certificaat van SSL.com het beste past bij uw behoeften.

eSigner Cloud-ondertekening

Overheidsinstanties hebben veel te maken met documenten. Het verzenden van valse gezaghebbende documenten is een tactiek die door hackers wordt gebruikt om geheime informatie, geld en gebruikersgegevens van overheidsinstanties te stelen. Gebruik makend van PKI versleuteling en cloudtechnologie, de eSigner Express-webtoepassing van SSL.com stelt openbare kantoren in staat om veilig documenten te ondertekenen en te authenticeren vanaf elk apparaat met internetverbinding. Deze functie is met name handig tijdens deze Covid-19-pandemie, waar veel kantoren een bepaald niveau van werken op afstand voor hun werknemers implementeren. Het is bewezen dat cloudtechnologie veel goedkoper is dan hardwaregebonden opslagapparatuur. Omdat eSigner een op software gebaseerd opslagsysteem is, biedt het ook bescherming die vrijwel ongevoelig is voor calamiteiten zoals branden, aardbevingen en overstromingen en fysieke inbraak.

SSL.com heeft alle tools die nodig zijn voor gehoste, merkgebonden, openbare of privé vertrouwde PKI die voldoet aan de richtlijnen van de ICT-autoriteiten van de meeste landen of andere IT-regelgevende instanties. Als u contact met ons wilt opnemen voor meer informatie, om ons uw specifieke behoeften te laten weten, of om onze medewerkers te laten beoordelen en bevestigen dat we aan uw nationale richtlijnen kunnen voldoen, neem dan contact met ons op via e-mail op Sales@SSL.com or Support@SSL.com, bel + 1-SSL-SECURE, of klik gewoon op de chatlink rechts onderaan deze pagina.

Blijf geïnformeerd en veilig

SSL.com is een wereldleider op het gebied van cyberbeveiliging, PKI en digitale certificaten. Meld u aan om het laatste branchenieuws, tips en productaankondigingen te ontvangen van SSL.com.

We willen graag uw feedback

Vul onze enquête in en laat ons uw mening over uw recente aankoop weten.