PKI oraz certyfikaty cyfrowe dla rządu

Przegląd PKI aplikacje i opcje dla organów ds. technologii informacyjnych i komunikacyjnych (ICT) oraz licencjonowanych przez rząd CA.

Related Content

Chcesz dalej się uczyć?

Zapisz się do newslettera SSL.com, bądź na bieżąco i bezpiecznie.

Rządy i PKI Technologia

Coraz częściej rządy krajowe na całym świecie aktywnie zwracają się do infrastruktury klucza publicznego (PKI) oraz certyfikaty cyfrowe na potrzeby:

  • Krajowe programy identyfikacyjne.
  • Pojedyncze logowanie (SSO) dla stacji roboczych i aplikacji.
  • Podpisany i zaszyfrowany rządowy adres e-mail.
  • Uwierzytelnianie dokumentów za pomocą podpisów cyfrowych.
  • Uwierzytelnianie tożsamości obywateli w przypadku usług online, takich jak płacenie podatków.

Krajowe programy identyfikacji cyfrowej są w toku na całym świecie. Według Raport Banku Światowego 2016, „Większość krajów rozwijających się ma jakąś formę schematu identyfikacji cyfrowej powiązanej z określonymi funkcjami i obsługującej podgrupę populacji, ale tylko nieliczne mają uniwersalny schemat obejmujący całą populację”. Według tego samego raportu powody przyjęcia identyfikatora cyfrowego różnią się w zależności od kraju: „W krajach o wysokim dochodzie identyfikacja cyfrowa stanowi ulepszenie dobrze ugruntowanych, solidnych starszych systemów identyfikacji fizycznej, które działały dość dobrze w przeszłości”, natomiast „ kraje o niskich dochodach… często brakuje solidnych systemów rejestracji ludności i fizycznych identyfikatorów i budują swoje systemy identyfikacyjne na bazie cyfrowej, przeskakując bardziej tradycyjny system fizyczny ”. W obu przypadkach oczywiste jest, że globalnym trendem jest tworzenie nowych krajowych systemów identyfikacji cyfrowej lub rozbudowa istniejących systemów.

Kilka przykładów spośród wielu na całym świecie:

  • Estonii program e-tożsamości zapewnia wszystkim swoim obywatelom cyfrową tożsamość wydaną przez państwo, której można używać do podpisów cyfrowych, a także do głosowania i innych usług rządowych (z których 99% to dostępny online). Obywatele Estonii mogą uzyskać dostęp do tych usług za pomocą inteligentnego dowodu osobistego wydanego 98% Estończyków, a także smartfonów i innych urządzeń mobilnych.
  • Opona Zjednoczone Emiraty Arabskie (ZEA) obecnie problemy inteligentne dowody osobiste dla wszystkich obywateli. Chipy elektroniczne w tych kartach obejmują certyfikaty cyfrowe do uwierzytelniania tożsamości i podpisy cyfrowe, a także biometryczne dane daktyloskopijne. Ta karta identyfikacyjna jest używana przez obywateli ZEA w celu uzyskania dostępu do zdecydowana większość inteligentnych usług rządowych w tym narodzie.

W wielu przypadkach inicjatywy takie jak te obejmują ustawodawstwo mające na celu stworzenie agencji, której zadaniem będzie opracowanie i egzekwowanie krajowych standardów infrastruktura klucza publicznego (PKI), licencjonowanie lokalne urzędy certyfikacji dostarczać certyfikaty cyfrowe i / lub opracowywać programy rządowe PKI i urzędy certyfikacji. Agencje te często otrzymują tytuł Urząd ds. Technologii Informacyjnych i Komunikacyjnych (lub Urząd ds. ICT). Ten artykuł ma na celu dostarczenie decydentom z krajowych organów ds. ICT i licencjonowanych urzędów certyfikacji informacji potrzebnych do udzielenia odpowiedzi na ważne pytania, takie jak:

  • Czy powinniśmy rozwijać własne wewnętrzne PKIlub zlecić usługi istniejącym CA?
  • Jaka jest najszybsza i najbardziej wydajna droga do oferowania obywatelom certyfikatów zaufanych publicznie?

PKI, Certyfikaty cyfrowe i urzędy certyfikacji: szybki przegląd

W skrócie, Infrastruktura klucza publicznego (PKI) służy do zarządzania parami klucze publiczne i prywatne i wiązać je z tożsamością podmiotów, takich jak osoby i organizacje, poprzez wydawanie dokumentów elektronicznych o nazwie certyfikaty cyfrowe. Matematyka za nami PKI upewnij się, że jeśli certyfikat jest podpisana z kluczem prywatnym danego podmiotu każda osoba posiadająca klucz publiczny z pary może:

  • Sprawdź, czy podmiot przedstawiający podpisany certyfikat jest w posiadaniu odpowiedniego klucza prywatnego (autentyczność).
  • Ufaj, że treść certyfikatu nie została zmieniona od czasu jego początkowego wygenerowania (integralność).
  • Użyj klucza publicznego, aby zaszyfrować wiadomość, którą można odszyfrować tylko przy pomocy powiązanego klucza prywatnego (szyfrowanie).

Włączając autentyczność, integralność i szyfrowanie, PKI zaś certyfikaty cyfrowe umożliwiają bezpieczną komunikację w niepewnych sieciach, takich jak Internet. Organizacja, która utrzymuje PKI i zarządza wydawaniem i odwoływaniem certyfikatów cyfrowych jest znany jako plik urząd certyfikacji (CA).

SSL.com zapewnia szeroką gamę domen SSL /TLS certyfikaty serwera dla witryn HTTPS.

PORÓWNAJ SSL /TLS CERTYFIKATY

Zaufanie publiczne a prywatne

Chociaż istnieje wiele aplikacji dla certyfikatów cyfrowych, ich najbardziej znanym zastosowaniem jest bezpieczne przeglądanie sieci, możliwe dzięki protokołowi SSL /TLS i protokoły HTTPS. Aby zapobiec ostrzeżeniom przeglądarki i komunikatom o błędach, certyfikaty cyfrowe wydane dla publicznych witryn internetowych muszą być podpisane przez publicznie zaufany urząd certyfikacji. Zaufanie publiczne jest również pożądane, aby certyfikaty były używane z klientami poczty e-mail, komputerowymi systemami operacyjnymi i innym oprogramowaniem dla użytkowników końcowych, aby użytkownicy lub pracownicy IT nie musieli ręcznie dodawać prywatnych zaufanych certyfikatów do magazynów certyfikatów systemu operacyjnego.

Publicznie zaufane urzędy certyfikacji są regularnie i rygorystycznie kontrolowane pod kątem zgodności ze standardami branżowymi, takimi jak WebTrust dla urzędów certyfikacji, aby znaleźć się w publicznych magazynach zaufania głównych dostawców systemów operacyjnych i oprogramowania, takich jak Microsoft, Apple, Google i Mozilla. Włączenie właściwego organu do wszystkich tych programów może zająć wiele lat i muszą one przechodzić regularne, rygorystyczne audyty, aby utrzymać ten status. Natomiast urzędy certyfikacji, którym ufają prywatni, nie podlegają tym standardom, ale nie są tak przydatne w przypadku aplikacji publicznych.

Dlaczego rządy powinny zmierzać w kierunku? PKIoparte na cyberbezpieczeństwie?

Rosnąca cyfryzacja publicznych rejestrów i transakcji rządowych w ciągu ostatnich kilku lat rozpaliła wścibskie spojrzenia cyberprzestępców. Rządy są posiadaczami ogromnych funduszy publicznych, a cyberprzestępcy wykazali się wytrwałością w wypróbowywaniu różnych metod, które mogłyby pozwolić im na zdobycie tych nagród pieniężnych. Państwa są również posiadaczami ogromnych ilości tajnych informacji, które po udanym zhakowaniu zostały wykorzystane do ransomware i taktyk szantażu.  

Artykuł z Magazyn bezpieczeństwa stwierdza, że ​​"Szacuje się, że dwa miliony cyberataków w 2018 r. przyniosły ponad 45 miliardów dolarów strat na całym świecie, ponieważ samorządy lokalne zmagały się z oprogramowaniem ransomware i innymi złośliwymi incydentami”. 

Rok 2018 to również czas, w którym Stany Zjednoczone stały się krajem, który poniósł największe straty finansowe w wyniku cyberataków, z liczbami przekraczającymi 13.7 miliarda dolarów. 

Być może jednym z głównych powodów, dla których państwa powinny stale poprawiać swoje cyberbezpieczeństwo, jest to, że zbierają wiele danych osobowych od obywateli, którzy powierzają swoje dobro tym instytucjom publicznym.

Znane rządowe cyberataki

Ten pierwszy przykład nie jest złośliwym atakiem, ale włamaniem przeprowadzonym przez badacza bezpieczeństwa Chrisa Vickery'ego w 2015 roku. Odkrył on źle skonfigurowaną bazę danych, która ujawniła dane osobowe 191 milionów wyborców w całym kraju praktycznie każdemu w Internecie. Wśród tych niechronionych informacji znajdują się imię i nazwisko wyborcy, data urodzenia, adres i numer telefonu. Funkcjonariusz policji, który był… wywiad w związku z tym wyciekiem wyraził troskę o swoje bezpieczeństwo, ponieważ przestępcy mogli wtedy uzyskać dostęp do informacji o nim. 

Atak SolarWinds z 2019 r. – uważany za najbardziej alarmujące szpiegostwo internetowe przeprowadzone przeciwko rządowi USA – pozostawił tysiące sieci rządowych podatnych na cyberataki. Włamano się na konta e-mail 27 prokuratorów amerykańskich, a poufne informacje dotyczące dochodzeń rządowych i informatorów prawdopodobnie zostały naruszone. Konta e-mail urzędników w departamentach handlu i skarbu również zostały naruszone. 

Departament Zdrowia i Usług Alaski (DHSS) został uderzony w maju 2021 roku, gdy jego strona internetowa została uznana za podatną na ataki hakerów, którzy następnie potencjalnie ujawnili prywatne dane identyfikacyjne (PII) niezliczonych osób, w tym ich numery telefonów, numery ubezpieczenia społecznego i Informacje finansowe. Jednym z niebezpieczeństw związanych z kradzieżą tak poufnych informacji jest to, że hakerzy mogą wykorzystać je do zastosowania taktyk socjotechnicznych, takich jak wywoływanie banków i oszukiwanie pracowników banków w celu wprowadzenia zmian na kontach bankowych ofiar. 

Urzędnicy miejscy Peterborough w New Hampshire byli prześladowani w lipcu zeszłego roku przez hakerów socjotechnicznych stosujących strategię o nazwie Business Email Compromise (BEC). Urzędnicy należący do miejskiego departamentu finansów zostali wysłani z zamaskowanymi e-mailami instruującymi ich, aby przekazywać płatności za usługi publiczne na inne konto bankowe. Ta taktyka oszustwa została pomyślnie wdrożona dwa razy w ciągu jednego miesiąca, a cyberzłodzieje ukradli łącznie 2.3 miliona dolarów.

Rząd PKI Rozwój: wewnętrzny vs. hostowany

Gdy rząd zdecyduje, że potrzebuje pliku PKI aby wydawać certyfikaty swoim obywatelom (lub lokalna firma stara się o licencję, aby oferować certyfikaty w imieniu rządu), najczęściej pierwszą myślą jest zainwestowanie w rozwój niezależnej infrastruktury. W końcu oprogramowanie do wdrażania samopodpisanego urzędu certyfikacji jest dostępne za niewielką opłatą lub bezpłatnie za pośrednictwem oprogramowania takiego jak Windows Server, OpenSSL i EJBCA. Jednak na drugi rzut oka ta opcja wiąże się z wieloma potencjalnie przełomowymi wyzwaniami i kosztami do pokonania:

  • Osiągnięcie zaufania publicznego do bezproblemowego użytkowania z komputerowymi systemami operacyjnymi i oprogramowaniem, takim jak przeglądarki internetowe, klienci poczty e-mail i pakiety biurowe, jest zwykle długim, żmudnym procesem, a pomyślne osiągnięcie i utrzymanie tego statusu nie jest gwarantowane.
  • Koszty znalezienia i zatrudnienia wykwalifikowanego personelu do bezpiecznego i skutecznego działania PKI w skali krajowej są znaczne.
  • Koszty sprzętu i sieci związane z ustanowieniem i utrzymaniem kraju PKI może być większa niż początkowo oczekiwano. Ponadto próby skalowania PKI (na przykład, aby objąć większą liczbę obywateli i umożliwić dodatkowe podstawowe usługi rządowe) z czasem będzie prawdopodobnie wymagać dodatkowej wiedzy fachowej i infrastruktury.

W miarę jak technologia cyfrowa i związane z nią potrzeby w zakresie bezpieczeństwa stają się coraz bardziej powiązane z procesami rządowymi, a coraz więcej agencji i obywateli w pełni korzysta z certyfikatów cyfrowych, można oczekiwać wzrostu kosztów sprzętu, sieci i personelu. Te rosnące koszty mogą być czynnikiem ograniczającym użycie PKI w pełni wykorzystując potencjał narodu i jego obywateli.

Zalety hostingu PKI

Niektóre komercyjne publiczne urzędy certyfikacji, w tym SSL.com, obecnie oferta hostowana publicznie i prywatnie zaufana PKI jako usługa, oferując rządom i ich licencjobiorcom możliwość obejścia wielu wyżej wymienionych problemów. Ponadto zazwyczaj obowiązują standardy branżowe dotyczące bezpieczeństwa i niezawodności, które są przestrzegane przez te CA już zgodnie z PKI standardy i wytyczne wydane przez krajowe władze ICT. Wybierając hostowanego PKI z renomowanym publicznym CA rządy mogą oczekiwać:

  • Skuteczne systemy już wdrożone do wydawania certyfikatów, utrzymania ich cyklu życia i wygaśnięcia, wraz z automatycznymi powiadomieniami o zbliżającym się wygaśnięciu certyfikatu.
  • A PKI już z powodzeniem działa w skali globalnej.
  • CA, który podlega częstym, szczegółowym audytom, które spełniają lub przewyższają standardy wprowadzone przez krajowy Urząd ds. TIK i muszą być na bieżąco z ewoluującymi standardami branżowymi i najlepszymi praktykami.

W większości przypadków - a zwłaszcza w krajach rozwijających się - rozwiązanie hostowane okaże się tańsze, prostsze w implementacji i bezpieczniejsze niż próba stworzenia własnego PKI.

Hosted PKI z SSL.com

Dla naszych klientów rządowych na całym świecie, SSL.com oferuje następujące światowej klasy korzyści:

  • Rozwiązania niestandardowe: SSL.com współpracuje z rządami i licencjobiorcami na całym świecie, aby zoptymalizować generowanie, instalację i cykl życia certyfikatów dla inteligentnych kart identyfikacyjnych i innych aplikacji.
  • Markowy podrzędny urząd certyfikacji: Hostowany podrzędny urząd certyfikacji (znany również jako wystawiający CA) z SSL.com oferuje pełną kontrolę nad wydawaniem i zarządzaniem publicznie lub prywatnie zaufanymi certyfikatami, za ułamek kosztów ustanowienia własnego głównego urzędu certyfikacji i PKI infrastruktura. Na przykład lokalny ośrodek certyfikacji, który ma licencję na wydawanie certyfikatów w imieniu rządu, może to osiągnąć natychmiast zaufania publicznego, zgodność z przepisami, markowe certyfikaty cyfrowe.
  • Narzędzia do zarządzania: Narzędzia do zarządzania online SSL.com pozwalają użytkownikom łatwo wydawać duże ilości certyfikatów i zarządzać ich cyklem życia.
  • API: Administratorzy mogą łatwo zautomatyzować wydawanie certyfikatów i ich cykl życia dzięki SSL.com Interfejs API SSL Web Services (SWS).

Jakie konkretne usługi oferuje SSL.com, które pomagają zwalczać zagrożenia cyberbezpieczeństwa, z którymi borykają się agencje rządowe?

Certyfikaty SSL

Nasze certyfikaty SSL mogą zabezpieczać witryny rządowe, szyfrując dane osobowe i poufne przesyłane na nie przez użytkowników publicznych, w tym ich adresy domowe, nazwy użytkowników i hasła, numery ubezpieczenia społecznego i dane finansowe. Używamy standardowego w branży szyfrowania klucza publicznego, zwanego 2048+ bitów SHA2, które są bardzo trudne do złamania przez hakerów. Oferujemy również certyfikat SSL Wildcard, który jest bardzo praktyczny w użyciu dla urzędów. Wildcard SSL pozwala agencji rządowej chronić swoją główną witrynę internetową, a także witryny/subdomeny oddziałów za pomocą tylko jednego certyfikatu. Biorąc pod uwagę, że departamenty rządowe mają pod sobą wiele biur, mających wszechstronną ochronę PKI certyfikat znacznie zmniejsza prawdopodobieństwo, że napastnicy będą w stanie wykonać ataki backdoorem. Kliknij tutaj do wyboru spośród wielu oferowanych przez nas typów certyfikatów SSL, w tym Wildcard.  

Bezpieczne/wielofunkcyjne rozszerzenia poczty internetowej (S/MIME)

Jak omówiono we wcześniejszej sekcji, e-maile są główną strategią stosowaną przez cyberprzestępców do kradzieży ogromnych ilości pieniędzy i poufnych danych z agencji rządowych. To jest gdzie S/MIME jest silnym narzędziem defensywnym w ochronie rządowych systemów i transakcji e-mail. Za pomocą PKI i szyfrowanie asymetryczne, an S/MIME Certyfikat SSL.com umożliwia agencji rządowej zapewnienie autentyczności wiadomości e-mail wśród jej pracowników i urzędników. Jeśli co najmniej dwa departamenty lub biura rządowe komunikują się, S/MIME Certyfikat zapewnia również pewność, że wiadomości e-mail naprawdę pochodzą z autentycznego źródła i że wiadomości e-mail są chronione podczas przesyłania, ponieważ są zaszyfrowane. Dodatkowo, S/MIME jest również silnym środkiem odstraszającym pracowników i urzędników państwowych przed oszukiwaniem przez hakerów lub nieostrożnym działaniem, ponieważ tworzy system, w którym przychodzące wiadomości e-mail są najpierw oceniane pod kątem ich zaszyfrowania za pomocą klucza kryptograficznego, który dowodzi, że tożsamość źródła wiadomości e-mail jest legalna . Tak więc bez względu na to, czy scam e-mail został opracowany społecznie tak, aby wyglądał, jakby pochodził z autentycznego źródła, brak S/MIME certyfikat natychmiast ostrzeże nawet najmniej obeznanego technicznie pracownika, aby go nie zabawiał. Iść do tutaj aby zobaczyć które S/MIME Certyfikat SSL.com najlepiej odpowiada Twoim potrzebom.

Podpisywanie eSigner w chmurze

Agencje rządowe zajmują się wieloma dokumentami. Wysyłanie fałszywych, wiarygodnych dokumentów to jedna z taktyk stosowanych przez hakerów do kradzieży tajnych informacji, pieniędzy i danych użytkowników z agencji rządowych. Za pomocą PKI szyfrowanie i technologia chmury, aplikacja internetowa eSigner Express firmy SSL.com umożliwia urzędom publicznym bezpieczne podpisywanie i uwierzytelnianie dokumentów z dowolnego urządzenia podłączonego do Internetu. Ta funkcja jest szczególnie przydatna podczas pandemii Covid-19, kiedy wiele biur wdraża pewien poziom pracy zdalnej dla swoich pracowników. Technologia chmury okazała się znacznie tańsza niż sprzęt do przechowywania danych. Ponieważ eSigner to system pamięci masowej oparty na oprogramowaniu, zapewnia również ochronę, która jest praktycznie odporna na katastrofy, takie jak pożary, trzęsienia ziemi i powodzie oraz fizyczne włamania.

SSL.com ma wszystkie narzędzia niezbędne do hostingu, marki, zaufania publicznego lub prywatnego PKI który spełnia wytyczne władz ICT większości krajów lub innych organów regulacyjnych IT. Jeśli chcesz się z nami skontaktować, aby uzyskać więcej informacji, poinformować nas o swoich konkretnych potrzebach lub poprosić nasz personel o sprawdzenie i potwierdzenie naszej zdolności do przestrzegania krajowych wytycznych, skontaktuj się z nami pod adresem Sales@SSL.com or Support@SSL.com, połączenie +1 877-SSL-BEZPIECZNYlub po prostu kliknij link czatu w prawym dolnym rogu tej strony.

Bądź na bieżąco i bezpiecznie

SSL.com jest światowym liderem w dziedzinie cyberbezpieczeństwa, PKI i certyfikaty cyfrowe. Zarejestruj się, aby otrzymywać najnowsze wiadomości branżowe, wskazówki i ogłoszenia o produktach od SSL.com.

Będziemy wdzięczni za Twoją opinię

Weź udział w naszej ankiecie i daj nam znać, co myślisz o swoim ostatnim zakupie.