PKI och digitala certifikat för regeringen

En översikt av PKI applikationer och alternativ för informations- och kommunikationsteknologimyndigheter (ICT) myndigheter och myndigheter med licens av staten.

Relaterat innehåll

Vill du fortsätta lära dig?

Prenumerera på SSL.coms nyhetsbrev, håll dig informerad och säker.

Regeringar och PKI Teknologi

I ökande grad vänder sig nationella regeringar över hela världen aktivt till offentlig nyckelinfrastruktur (PKI) och digitala certifikat för syften:

  • Nationella ID-program.
  • Enkel inloggning (SSO) för arbetsstationer och programvaruapplikationer.
  • Undertecknad och krypterad regeringsmail.
  • Verifiering av dokument genom digitala signaturer.
  • Autentisering av medborgarnas identitet för onlinetjänster som skattebetalning.

Nationella digitala ID-program är ett globalt pågående arbete. Enligt a Världsbankens rapport 2016, "De flesta utvecklingsländer har någon form av digitalt ID-system kopplat till specifika funktioner och betjänar en delmängd av befolkningen, men endast ett fåtal har ett multifunktionssystem som täcker hela befolkningen." Enligt samma rapport varierar skälen för att anta digitalt ID beroende på land: "I höginkomstländer representerar digitalt ID en uppgradering från väletablerade, robusta äldre fysiska ID-system som har fungerat ganska bra tidigare", medan " låginkomstländer ... saknar ofta robusta civila registreringssystem och fysiska ID och bygger sina ID-system på en digital basis och hoppar över det mer traditionella fysiskt baserade systemet. ” I båda fallen är det uppenbart att den globala trenden går mot skapandet av nya nationella digitala ID-system eller utvidgningen av befintliga system.

Bara några exempel bland många över hela världen:

  • Estlands e-identitetsprogram ger alla sina medborgare en statlig digital identitet som kan användas för digitala signaturer samt röstning och andra statliga tjänster (99% av dessa är tillgängliga online). Estniska medborgare kan få åtkomst till dessa tjänster via ett smart ID-kort som har utfärdats till 98% av estländarna, liksom via smartphones och andra mobila enheter.
  • Smakämnen Förenade Arabemiraten (UAE) för närvarande utfärdar smarta identitetskort till alla medborgare. De elektroniska chips på dessa kort inkluderar digitala certifikat för identitetsverifiering och digitala signaturer, tillsammans med biometriska fingeravtrycksdata. Detta ID-kort används av UAE-medborgare för att komma åt stora majoriteten av smarta statliga tjänster i den nationen.

I många fall inkluderar sådana initiativ lagstiftning för att skapa en byrå som har till uppgift att utveckla och upprätthålla nationella standarder för infrastruktur för allmän nyckel (PKI), licensiering lokal certifikatmyndigheter (CA) att tillhandahålla digitala certifikat och / eller utveckla regeringsstyrning PKI och CA. Dessa byråer ges ofta titeln Information och kommunikationsteknologimyndighet (eller IKT-myndighet). Denna artikel är avsedd att förse beslutsfattare vid nationella IKT-myndigheter och licensierade myndigheter med information de behöver för att svara på viktiga frågor som:

  • Bör vi utveckla vår egen interna PKI, eller anlita tjänster från befintliga CA?
  • Vad är den snabbaste och mest effektiva vägen till att erbjuda offentligt betrodda certifikat till våra medborgare?

PKI, Digitala certifikat och CA: en snabb recension

I ett nötskal, Infrastruktur för offentlig nyckel (PKI) används för att hantera par av offentliga och privata nycklar och binda dem till identitet hos enheter, till exempel personer och organisationer, genom utfärdande av elektroniska dokument som kallas digitala certifikat. Matematiken bakom PKI se till att om ett certifikat är det signerad med en given enhets privata nyckel kan alla med den offentliga nyckeln från paret:

  • Kontrollera att enheten som presenterar det signerade certifikatet har sin motsvarande privata nyckel (äkthet).
  • Lita på att innehållet i certifikatet inte har ändrats sedan det ursprungligen genererades (integritet).
  • Använd den offentliga nyckeln för att kryptera ett meddelande som bara kan dekrypteras med den tillhörande privata nyckeln (Kryptering).

Genom att aktivera äkthet, integritet och kryptering, PKI och digitala certifikat tillåter säker kommunikation över osäkra nätverk, till exempel Internet. En organisation som upprätthåller en PKI och hanterar utfärdande och återkallelse av digitala certifikat kallas en certifikatutfärdare (CA).

SSL.com erbjuder ett brett utbud av SSL /TLS servercertifikat för HTTPS-webbplatser.

JÄMFÖR SSL /TLS INTYG

Offentligt mot privat förtroende

Även om det finns många applikationer för digitala certifikat, är deras mest kända användning för säker surfning, möjliggjort genom SSL /TLS och HTTPS-protokoll. För att förhindra webbläsarvarningar och felmeddelanden måste digitala certifikat utfärdat för webbplatser som är vända mot allmänheten undertecknas av en offentligt betrodda CA. Allmänhetens förtroende är också önskvärt för att certifikat kan användas med e-postklienter, stationära operativsystem och annan mjukvara för slutanvändare, så att användare eller IT-personal inte måste behöva lägga till privat betrodda certifikat i OS-certifikatbutiker.

Offentligt betrodda CA: er granskas regelbundet och noggrant för att de uppfyller branschstandarder, t.ex. WebTrust för CAs, för att inkluderas i de offentliga förtroendebutikerna hos större operativsystem och mjukvaruleverantörer som Microsoft, Apple, Google och Mozilla. Det kan ta många år för en CA att få inkluderas i alla dessa program, och de måste genomgå regelbundna, noggranna granskningar för att bibehålla den statusen. Däremot omfattas inte privat betrodda certifikatutfärdare av dessa standarder, men är inte lika användbara för offentliga applikationer.

Varför ska regeringar gå mot PKI-baserad cybersäkerhet?

Den ökande digitaliseringen av offentliga register och transaktioner under de senaste åren har tänt cyberkriminella nyfikna ögon. Regeringar är innehavare av enorma offentliga medel och cyberskurkar har visat sig vara ihärdiga när det gäller att prova olika metoder som kan tillåta dem att få tag i dessa monetära belöningar. Stater är också innehavare av stora mängder hemligstämplad information som, efter att ha blivit hackad framgångsrikt, har använts för ransomware och utpressningstaktik.  

En artikel från Säkerhetstidningen stater som "uppskattningsvis två miljoner cyberattacker under 2018 resulterade i mer än 45 miljarder dollar i förluster över hela världen när lokala myndigheter kämpade för att hantera ransomware och andra skadliga incidenter.” 

År 2018 var också tiden då USA blev det land som fick de högsta ekonomiska förlusterna på grund av cyberattacker, med siffror som nådde mer än 13.7 miljarder dollar. 

En av de centrala anledningarna till varför stater ständigt borde förbättra sin cybersäkerhet är att de samlar in mycket personlig information från medborgare som anförtror deras välfärd till dessa offentliga institutioner.

Anmärkningsvärda statliga cyberattacker

Det här första exemplet är inte en illvillig attack utan ett white hat hack utfört av säkerhetsforskaren Chris Vickery redan 2015. Han upptäckte en felkonfigurerad databas som exponerade personlig information från 191 miljoner väljare över hela landet för praktiskt taget vem som helst på internet. Bland de oskyddade uppgifterna finns väljarens namn, födelsedatum, adress och telefonnummer. En polis som var intervjuades angående denna läcka uttryckte sin oro för hans säkerhet eftersom brottslingar då kunde få tillgång till information om honom. 

SolarWinds-attacken 2019 – som anses vara det mest alarmerande internetbaserade spionaget mot den amerikanska regeringen – gjorde tusentals statliga nätverk sårbara för cyberattacker. E-postkonton för 27 amerikanska åklagare hackades och känslig information om statliga utredningar och informatörer äventyrades möjligen. E-postkonton för tjänstemän inom handels- och finansdepartementen bröts också. 

Alaska Department of Health and Services (DHSS) drabbades i maj 2021 när dess webbplats visade sig vara sårbar av hackare som sedan potentiellt avslöjade den privata identifieringsinformationen (PII) för otaliga individer, inklusive deras telefonnummer, personnummer och finansiell information. En fara med att sådan känslig information blir stulen är att hackarna kan använda dessa för att använda sociala ingenjörstaktiker som att ringa upp banker och arbeta för att lura bankanställda att orsaka förändringar i offrens bankkonton. 

Stadens tjänstemän i Peterborough i New Hampshire utsattes för offer i juli förra året av sociala ingenjörshackare som använde en strategi som kallas Business Email Compromise (BEC). Tjänstemännen som tillhörde stadens finansavdelning skickades med förtäckta e-postmeddelanden som instruerade dem att vidarebefordra public service-betalningar till ett annat bankkonto. Denna bedrägeritaktik implementerades framgångsrikt två gånger under en enda månad och totalt 2.3 miljoner dollar stals av cybertjuvarna.

Regeringen PKI Utveckling: Internt mot värd

När en regering beslutar att den behöver en PKI att utfärda certifikat till sina medborgare (eller ett lokalt företag söker licens för att erbjuda certifikat på regeringens vägnar), är en vanlig första tanke att investera i utvecklingen av en oberoende infrastruktur. När allt kommer omkring är programvara för implementering av en självsignerad CA tillgänglig till låg eller ingen kostnad via programvara som Windows Server, OpenSSL och EJBCA. Vid en andra anblick har detta alternativ dock flera potentiellt utmanande utmaningar och kostnader att lösa:

  • Att uppnå allmänhetens förtroende för sömlös användning med stationära operativsystem och mjukvara som webbläsare, e-postklienter och kontorssviter är vanligtvis en lång, svår process och framgångsrik uppnåelse och underhåll av denna status garanteras inte.
  • Kostnaderna för att hitta och anställa kvalificerad personal för att säkert och effektivt driva en PKI i nationell skala är betydande.
  • Maskinvarukostnaderna och nätverkskostnaderna för att upprätta och upprätthålla en nationell PKI kan vara större än ursprungligen förväntat. Dessutom försök att skala PKI (till exempel för att täcka fler medborgare och möjliggöra ytterligare viktiga statliga tjänster) kommer troligtvis att kräva ytterligare expertis och infrastruktur över tid.

När digital teknik och dess tillhörande säkerhetsbehov blir mer sammanflätade med statliga processer och fler byråer och medborgare utnyttjar digitala certifikat fullt ut, kan alla hårkostnader, nätverk och personalkostnader förväntas växa. Dessa expanderande kostnader kan vara en begränsande faktor vid användning PKI till dess fulla potential att tjäna en nation och dess medborgare.

Fördelar med värd PKI

Vissa kommersiella allmänna CA, inklusive SSL.com, för närvarande erbjuds värd för offentligt och privat betrodda PKI som en tjänst och erbjuder möjligheter för regeringar och deras licensinnehavare att kringgå många av de frågor som anges ovan. Dessutom är branschstandarderna för säkerhet och tillförlitlighet som dessa CA tillhör normalt redan överensstämmer med PKI standarder och riktlinjer utfärdade av nationella IKT-myndigheter. Genom att välja en värd PKI med en ansedd offentlig CA kan regeringar förvänta sig att hitta:

  • Effektiva system som redan finns för certifikatutfärdande, livscykelunderhåll och utgång, tillsammans med automatiserade aviseringar om det förestående certifikatets utgång.
  • A PKI fungerar redan framgångsrikt i global skala.
  • En CA som är föremål för frekventa, detaljerade revisioner som uppfyller eller överträffar de standarder som införts av landets IKT-myndighet och är skyldiga att hålla sig à jour med utvecklande industristandarder och bästa praxis.

I de flesta fall - och speciellt för utvecklingsländer - kommer värdlösningen att vara billigare, enklare att genomföra och säkrare än att försöka utveckla en hemodling PKI.

värd PKI från SSL.com

För våra regeringskunder globalt, SSL.com erbjuder följande fördelar i världsklass:

  • Anpassade lösningar: SSL.com samarbetar med myndigheter och licensinnehavare över hela världen för att optimera generering, installation och livscykler av certifikat för smarta ID-kort och andra applikationer.
  • Underordnad CA: En värd underordnad CA (även känd som en emitterar CA) från SSL.com erbjuder fullständig kontroll över utfärdande och hantering av offentligt eller privat betrodda certifikat, till en bråkdel av kostnaden för att upprätta sin egen root CA och PKI infrastruktur. Till exempel kan en lokal CA-licens som utfärdar certifikat på regeringens vägnar omedelbart uppnå allmänhetens förtroende, regelefterlevnadoch märkesvaror digitala certifikat.
  • Hanteringsverktyg: SSL.com: s onlinehanteringsverktyg gör det möjligt för användare att enkelt utfärda stora mängder certifikat och hantera deras livscykel.
  • API: Administratörer kan enkelt automatisera certifikatutfärdande och livscykel med SSL.com SSL Web Services (SWS) API.

Vilka specifika tjänster erbjuder SSL.com som hjälper till att bekämpa cybersäkerhetshot som statliga myndigheter står inför?

SSL-certifikat

Våra SSL-certifikat kan säkra statliga webbplatser genom att kryptera personlig och känslig information som laddas upp på dem av offentliga användare, inklusive deras hemadresser, användarnamn och lösenord, personnummer och ekonomiska detaljer. Vi använder branschstandard för offentlig nyckelkryptering som kallas 2048+ Bit SHA2 som är väldigt mycket svår att bryta av hackare. Vi erbjuder också Wildcard SSL-certifikatet som är mycket praktiskt att använda för statliga kontor. Wildcard SSL tillåter en statlig myndighet att skydda sin huvudwebbplats såväl som sina filialwebbplatser/underdomäner med bara ett certifikat. Med tanke på att statliga myndigheter har flera byråer under sig, med ett omfattande skydd PKI certifikat minskar avsevärt sannolikheten för att angripare ska kunna utföra bakdörrsattacker. Klick här. att välja bland de flera typer av SSL-certifikat som vi erbjuder, inklusive Wildcard.  

Säkra/Mångsidiga Internet Mail Extensions (S/MIME)

Som diskuterats i det tidigare avsnittet har e-postmeddelanden varit en primär strategi som används av cyberbrottslingar för att stjäla enorma summor pengar och känslig data från statliga myndigheter. Det är här S/MIME kommer in som ett starkt defensivt verktyg för att skydda statliga e -postsystem och transaktioner. Använder sig av PKI och asymmetrisk kryptering, en S/MIME certifikat från SSL.com tillåter en statlig myndighet att säkerställa äktheten av e-postmeddelanden bland sina anställda och tjänstemän. Om två eller flera statliga departement eller byråer kommunicerar, S/MIME certifikatet ger också garantin för att e-postmeddelandena verkligen kommer från en autentisk källa och att e-postmeddelandena är skyddade under överföring eftersom de är krypterade. Dessutom, S/MIME är också ett starkt avskräckande för statligt anställda och tjänstemän från att bli lurade av hackare eller agera vårdslöst eftersom det skapar ett system där inkommande e-postmeddelanden först utvärderas för att se om de är krypterade med en kryptografisk nyckel som bevisar att identiteten för e-postkällans källa är legitim . Så oavsett om ett bedrägerimail har blivit socialt utformat för att se ut som om det kommer från en autentisk källa, frånvaron av en S/MIME certifikatet kommer omedelbart att varna även den minst tekniskt kunniga medarbetaren att inte underhålla det. Gå till denna sida för att se vilken S/MIME certifikat från SSL.com passar dina behov bäst.

eSigner Cloud Signering

Statliga myndigheter hanterar många dokument. Att skicka falska auktoritativa dokument har varit en taktik som använts av hackare för att stjäla hemligstämplad information, pengar och användardata från statliga myndigheter. Använder sig av PKI kryptering och molnteknik, SSL.com:s eSigner Express webbapplikation tillåter offentliga kontor att säkert signera och autentisera dokument från vilken internetansluten enhet som helst. Denna funktion är särskilt användbar under denna Covid-19-pandemi där många kontor implementerar en viss nivå av distansarbete för sina anställda. Molnteknik har visat sig vara mycket billigare än hårdvarubunden lagringsutrustning. Eftersom eSigner är ett mjukvarubaserat lagringssystem erbjuder det också skydd som är praktiskt taget ogenomträngligt från katastrofer som bränder, jordbävningar och översvämningar och fysiska inbrott.

SSL.com har alla verktyg som behövs för värd, varumärke, offentligt eller privat PKI som uppfyller riktlinjerna från de flesta länders IKT-myndigheter eller andra IT-tillsynsorgan. Om du vill kontakta oss för mer information, för att informera oss om dina specifika behov eller om att vår personal ska granska och bekräfta vår förmåga att följa dina nationella riktlinjer, vänligen kontakta oss via e-post på Sales@SSL.com or Support@SSL.com, ring upp +1 877-SSL-SÄKER, eller bara klicka på chattlänken längst ner till höger på denna sida.

Håll dig informerad och säker

SSL.com är en global ledare inom cybersäkerhet, PKI och digitala certifikat. Registrera dig för att få de senaste branschnyheterna, tipsen och produktmeddelanden från SSL.com.

Vi vill gärna ha din feedback

Följ vår undersökning och låt oss veta vad du tycker om ditt senaste köp.