Governos e PKI Tecnologia
Cada vez mais, os governos nacionais do mundo todo estão se voltando ativamente para a infraestrutura de chave pública (PKI) e certificados digitais para os seguintes fins:
- Programas de identificação nacional.
- Logon único (SSO) para estações de trabalho e aplicativos de software.
- Email do governo assinado e criptografado.
- Autenticação de documentos através de assinaturas digitais.
- Autenticação de identidades de cidadãos para serviços online, como pagamento de impostos.
Os programas nacionais de identificação digital são um trabalho em andamento em todo o mundo. De acordo com um Relatório do Banco Mundial de 2016, “A maioria dos países em desenvolvimento tem algum tipo de esquema de identificação digital vinculado a funções específicas e atendendo a um subconjunto da população, mas apenas alguns têm um esquema multiuso que cobre toda a população.” De acordo com o mesmo relatório, as razões para adotar a identificação digital variam de acordo com o país: “Em países de alta renda, a identificação digital representa uma atualização de sistemas de identificação física legados robustos e bem estabelecidos que funcionaram razoavelmente bem no passado”, enquanto “ países de baixa renda ... muitas vezes carecem de sistemas robustos de registro civil e identidades físicas e estão construindo seus sistemas de identificação em uma base digital, ultrapassando o sistema mais tradicional de base física. ” Em ambos os casos, fica claro que a tendência global é a criação de novos sistemas nacionais de identificação digital ou a expansão dos sistemas existentes.
- Da Estônia programa de identidade eletrônica fornece a todos os cidadãos uma identidade digital emitida pelo estado que pode ser usada para assinaturas digitais, bem como para votação e outros serviços governamentais (99% dos quais são disponível online) Os cidadãos estonianos podem acessar esses serviços por meio de um cartão de identificação inteligente emitido para 98% dos estonianos, bem como por smartphones e outros dispositivos móveis.
- O Emirados Árabes Unidos (EAU) questões atualmente cartões de identidade inteligentes para todos os cidadãos. Os chips eletrônicos desses cartões incluem certificados digitais para autenticação de identidade e assinaturas digitais, além de dados biométricos de impressão digital. Este cartão de identificação é usado pelos cidadãos dos Emirados Árabes Unidos para acessar o grande maioria dos serviços governamentais inteligentes nessa nação.
Em muitos casos, iniciativas como essas incluem legislação para criar uma agência encarregada de desenvolver e aplicar normas nacionais para infraestrutura de chave pública (PKI)licenciando local autoridades de certificação (CAs) fornecer certificados digitais e / ou desenvolver programas administrados pelo governo PKI e CAs. Essas agências geralmente recebem o título Autoridade de Tecnologias de Informação e Comunicação (ou Autoridade TIC) Este artigo pretende fornecer aos tomadores de decisão nas autoridades nacionais de TIC e CAs licenciadas as informações necessárias para responder a perguntas importantes, como:
- Devemos desenvolver nosso próprio PKIou contratar os serviços de autoridades de certificação existentes?
- Qual é a rota mais rápida e eficiente para oferecer certificados publicamente confiáveis aos nossos cidadãos?
PKI, Certificados digitais e autoridades de certificação: uma revisão rápida
Em poucas palavras, Infra-estrutura de chave pública (PKI) é usado para gerenciar pares de chaves públicas e privadas e vinculá-los às identidades de entidades, como pessoas e organizações, através da emissão de documentos eletrônicos chamados certificados digitais.A matemática por trás PKI verifique se um certificado é assinado com a chave privada de uma determinada entidade, qualquer pessoa com a chave pública do par pode:
- Verifique se a entidade que apresenta o certificado assinado está na posse de sua chave privada correspondente (autenticidade).
- Confie que o conteúdo do certificado não foi alterado desde que foi gerado inicialmente (integridade).
- Use a chave pública para criptografar uma mensagem que só pode ser descriptografada com sua chave privada associada (criptografia).
Ao habilitar a autenticidade, a integridade e a criptografia, PKI e certificados digitais permitem comunicação segura através de redes inseguras, como a Internet. Uma organização que mantém um PKI e gerencia a emissão e revogação de certificados digitais é conhecido como autoridade de certificação (CA).
SSL.com oferece uma grande variedade de SSL /TLS certificados de servidor para sites HTTPS.
Confiança pública vs. privada
Embora existam muitos aplicativos para certificados digitais, seu uso mais conhecido é para navegação segura na web, possibilitada por meio do SSL /TLS protocolos HTTPS. Para evitar avisos do navegador e mensagens de erro, os certificados digitais emitidos para sites públicos devem ser assinados por um CA publicamente confiável. A confiança pública também é desejável para que os certificados sejam usados com clientes de email, sistemas operacionais de desktop e outros softwares para usuários finais, para que os usuários ou a equipe de TI não precisem adicionar manualmente certificados confiáveis privados aos armazenamentos de certificados do SO.
As CAs de confiança pública são auditadas regular e rigorosamente quanto à conformidade com os padrões do setor, como WebTrust para CAs, para serem incluídos nas lojas de confiança públicas dos principais fornecedores de sistemas operacionais e software, como Microsoft, Apple, Google e Mozilla. Pode levar muitos anos para que um CA seja incluído em todos esses programas, e eles devem passar por auditorias regulares e rigorosas para manter esse status. Em contraste, as CAs de confiança privada não estão sujeitas a esses padrões, mas não são tão úteis para aplicativos voltados ao público.
Por que os governos deveriam se mover em direção a PKIcibersegurança baseada em
A crescente digitalização de registros públicos e transações do governo nos últimos anos despertou os olhares curiosos dos cibercriminosos. Os governos são os detentores de enormes fundos públicos e os cibercriminosos têm demonstrado persistência em experimentar vários métodos que podem permitir-lhes obter essas recompensas monetárias. Os estados também são detentores de grandes quantidades de informações classificadas que, após serem hackeadas com sucesso, foram usadas para ransomware e táticas de chantagem.
Um artigo de Revista de segurança afirma que "cerca de dois milhões de ataques cibernéticos em 2018 resultaram em mais de US $ 45 bilhões em perdas em todo o mundo, à medida que os governos locais lutavam para lidar com ransomware e outros incidentes maliciosos ”.
O ano de 2018 também foi o momento em que os EUA se tornaram o país que recebeu as maiores perdas financeiras devido a ataques cibernéticos, com números chegando a mais de US $ 13.7 bilhões.
Talvez um dos principais motivos pelos quais os estados devam melhorar continuamente sua segurança cibernética é que eles coletam muitas informações pessoais de cidadãos que confiam seu bem-estar a essas instituições públicas.
Ataques cibernéticos do governo notáveis
Este primeiro exemplo não é um ataque malicioso, mas um hack de chapéu branco conduzido pelo pesquisador de segurança Chris Vickery em 2015. Ele descobriu um banco de dados mal configurado que expôs as informações pessoais de 191 milhões de eleitores em todo o país para praticamente qualquer pessoa na internet. Entre as informações desprotegidas estão o nome do eleitor, data de nascimento, endereço e número de telefone. Um policial que era entrevistado em relação a este vazamento expressou sua preocupação com sua segurança porque os criminosos foram capazes de acessar informações sobre ele.
O ataque SolarWinds de 2019 - considerado a espionagem baseada na Internet mais alarmante realizada contra o governo dos EUA - deixou milhares de redes governamentais vulneráveis a ataques cibernéticos. As contas de e-mail de 27 promotores dos EUA foram hackeadas e informações confidenciais sobre investigações do governo e informantes foram possivelmente comprometidas. As contas de e-mail de funcionários dos Departamentos de Comércio e Tesouro também foram violadas.
O Departamento de Saúde e Serviços do Alasca (DHSS) foi atingido em maio de 2021, quando seu site foi considerado vulnerável por hackers que, em seguida, potencialmente expuseram as informações de identificação privada (PII) de incontáveis indivíduos, incluindo seus números de telefone, números de previdência social e informação financeira. Um perigo do roubo de informações confidenciais é que os hackers podem usá-las para empregar táticas de engenharia social, como ligar para bancos e tentar enganar os funcionários do banco para que causem alterações nas contas bancárias das vítimas.
Os funcionários da cidade de Peterborough em New Hampshire foram vítimas em julho passado por hackers de engenharia social usando uma estratégia chamada Business Email Compromise (BEC). Os funcionários pertencentes ao departamento financeiro da cidade foram enviados com e-mails disfarçados instruindo-os a encaminhar pagamentos de serviços públicos para outra conta bancária. Essa tática de golpe foi implementada com sucesso duas vezes em um único mês e um total de US $ 2.3 milhões foram roubados pelos ladrões cibernéticos.
Governo PKI Desenvolvimento: Interno vs. Hospedado
Uma vez que o governo decida que precisa de um PKI para emitir certificados para seus cidadãos (ou uma empresa local busca licenciamento para oferecer certificados em nome do governo), um primeiro pensamento comum é investir no desenvolvimento de uma infraestrutura independente. Afinal, o software para implementar uma CA autoassinada está disponível a baixo ou nenhum custo por meio de softwares como Windows Server, OpenSSL e EJBCA. À primeira vista, no entanto, esta opção tem vários desafios e custos potencialmente decisivos para superar:
- Conseguir a confiança do público para uso contínuo com sistemas operacionais e softwares de desktop, como navegadores da Web, clientes de email e suítes de escritório, geralmente é um processo longo e árduo, e não é garantida a obtenção e manutenção bem-sucedidas desse status.
- Os custos de encontrar e empregar pessoal qualificado para operar de maneira segura e eficaz PKI em escala nacional são consideráveis.
- Os custos de hardware e rede associados ao estabelecimento e manutenção de um sistema nacional PKI pode ser maior que o inicialmente esperado. Além disso, tentativas de escalar PKI (por exemplo, para abranger mais cidadãos e permitir serviços governamentais essenciais adicionais) provavelmente exigirão experiência e infraestrutura adicionais ao longo do tempo.
À medida que a tecnologia digital e suas necessidades de segurança associadas se tornam mais entrelaçadas com os processos governamentais, mais agências e cidadãos fazem uso total de certificados digitais, hardware, rede e custos de pessoal. Esses custos em expansão podem ser um fator limitante no uso de PKI todo o seu potencial para servir uma nação e seus cidadãos.
Vantagens do Hosted PKI
Algumas CAs comerciais públicas, incluindo SSL.com, atualmente oferece hospedagem pública e privada confiável PKI como um serviço e ofereça o potencial para os governos e seus licenciados contornarem muitos dos problemas detalhados acima. Além disso, os padrões do setor de segurança e confiabilidade nos quais essas CAs são mantidas são tipicamente já em conformidade com o PKI normas e diretrizes emitidas pelas autoridades nacionais de TIC. Ao escolher um host PKI com uma CA pública respeitável, os governos podem esperar encontrar:
- Sistemas eficazes já implantados para emissão de certificados, manutenção do ciclo de vida e expiração, juntamente com notificações automatizadas de expiração iminente do certificado.
- A PKI já operando com sucesso em escala global.
- Um CA que está sujeito a auditorias frequentes e detalhadas que atendem ou excedem os padrões estabelecidos pela autoridade de TIC do país e deve estar atualizado com os padrões e melhores práticas em evolução do setor.
Na maioria dos casos - e especialmente para os países em desenvolvimento -, a solução hospedada será menos dispendiosa, mais simples de implementar e mais segura do que tentar desenvolver um ambiente doméstico. PKI.
Hospedado PKI de SSL.com
Para nossos clientes governamentais em todo o mundo, SSL.com oferece os seguintes benefícios de classe mundial:
- Soluções personalizadas: SSL.com colabora com governos e licenciados em todo o mundo para otimizar a geração, instalação e ciclos de vida de certificados para cartões de identificação inteligentes e outros aplicativos.
- CA subordinada com marca: Um hospedado autoridade de certificação subordinada (também conhecido como CA de emissão) da SSL.com oferece controle completo sobre a emissão e gerenciamento de certificados públicos ou privados confiáveis, a uma fração do custo de estabelecer sua própria CA raiz e PKI a infraestrutura. Por exemplo, uma CA local licenciada para emitir certificados em nome do governo pode obter imediatamente confiança publica, conformidade regulatória e certificados digitais de marca.
- Ferramentas de gerenciamento: As ferramentas de gerenciamento online do SSL.com permitem que os usuários emitam facilmente grandes volumes de certificados e gerenciem seu ciclo de vida.
- API: Os administradores podem automatizar facilmente a emissão de certificados e o ciclo de vida com SSL.com API SSL Web Services (SWS).
Quais serviços específicos o SSL.com oferece para ajudar a combater as ameaças à segurança cibernética enfrentadas por agências governamentais?
Certificados SSL
Nossos certificados SSL podem proteger sites do governo criptografando informações pessoais e confidenciais carregadas neles por usuários públicos, incluindo seus endereços residenciais, nomes de usuário e senhas, números de previdência social e detalhes financeiros. Usamos criptografia de chave pública padrão da indústria, conhecida como 2048+ Bit SHA2 que é muito difícil de violar por hackers. Também oferecemos o certificado SSL Wildcard, que é muito prático para uso em escritórios governamentais. O Wildcard SSL permite que uma agência governamental proteja seu site principal, bem como seus sites / subdomínios de filiais, com apenas um certificado. Considerando que os departamentos governamentais têm vários departamentos sob eles, tendo uma proteção abrangente PKI O certificado diminui muito a probabilidade de invasores serem capazes de executar ataques de backdoor. Clique aqui para escolher entre os vários tipos de certificados SSL que oferecemos, incluindo Wildcard.
Extensões de correio da Internet seguras / multifuncionais (S/MIME)
Conforme discutido na seção anterior, os e-mails têm sido a principal estratégia usada pelos cibercriminosos para roubar grandes quantias de dinheiro e dados confidenciais de agências governamentais. Aqui é onde S/MIME vem como uma forte ferramenta defensiva na proteção de sistemas e transações de e-mail do governo. Usando PKI e criptografia assimétrica, um S/MIME O certificado SSL.com permite que uma agência governamental garanta a autenticidade dos e-mails entre seus funcionários e oficiais. Se dois ou mais departamentos ou agências governamentais estiverem se comunicando, o S/MIME O certificado também fornece a garantia de que os e-mails realmente vêm de uma fonte autêntica e que as mensagens de e-mail estão protegidas durante o trânsito porque são criptografadas. Adicionalmente, S/MIME também é um forte impedimento para que funcionários e oficiais do governo sejam enganados por hackers ou atuem de forma descuidada, pois cria um sistema em que os e-mails recebidos são avaliados primeiro para ver se estão criptografados com uma chave criptográfica que prova que a identidade da fonte do e-mail é legítima . Portanto, não importa se um e-mail fraudulento foi socialmente projetado para parecer que vem de uma fonte autêntica, a ausência de um S/MIME O certificado avisará prontamente até mesmo o funcionário com menos experiência em tecnologia para não entretê-lo. Vamos para esta página para ver qual S/MIME O certificado SSL.com é o que melhor atende às suas necessidades.
Assinatura em nuvem eSigner
As agências governamentais lidam com muitos documentos. O envio de documentos falsos com autoridade tem sido uma tática usada por hackers para roubar informações confidenciais, dinheiro e dados de usuários de agências governamentais. Usando PKI criptografia e tecnologia de nuvem, o aplicativo da web eSigner Express da SSL.com permite que escritórios públicos assinem e autentiquem documentos com segurança a partir de qualquer dispositivo conectado à Internet. Esse recurso é particularmente útil durante esta pandemia Covid-19, onde muitos escritórios estão implementando algum nível de trabalho remoto para seus funcionários. A tecnologia em nuvem provou ser muito mais barata do que o equipamento de armazenamento vinculado ao hardware. Como o eSigner é um sistema de armazenamento baseado em software, ele também oferece proteção virtualmente imune a calamidades como incêndios, terremotos, inundações e roubos físicos.
SSL.com tem todas as ferramentas necessárias para hospedagem, marca, confiança pública ou privada PKI que satisfaça as diretrizes das autoridades de TIC da maioria dos países ou de outros órgãos reguladores de TI. Se desejar entrar em contato conosco para obter mais informações, para nos informar suas necessidades específicas ou para que nossa equipe analise e confirme nossa capacidade de cumprir com suas diretrizes nacionais, entre em contato conosco por e-mail em Sales@SSL.com or Support@SSL.com, ligar +1 877-SSL-SEGUROou clique no link de bate-papo no canto inferior direito desta página.
SSL.com oferece uma grande variedade de SSL /TLS certificados de servidor para sites HTTPS, incluindo: