PKI 和政府数字证书

政府和 PKI 专业技术

越来越多的世界各国政府积极转向公钥基础设施（PKI）和数字证书，其目的是：

• 国民身份证程序。
• 工作站和软件应用程序的单点登录（SSO）。
• 签名并加密的政府电子邮件。
• 通过数字签名对文档进行身份验证。
• 网上身份验证的公民身份，例如纳税。

国家数字身份证计划是一项全球性的工作。 根据一个 2016年世界银行报告，“大多数发展中国家都有某种形式的数字ID计划与特定功能相关联，并为一部分人口提供服务，但是只有少数几个国家的多功能计划可以覆盖整个人口。” 根据同一份报告，采用数字ID的原因因国家而异：“在高收入国家，数字ID是对过去运行良好的稳固，健壮的传统物理ID系统的升级，”而“低收入国家……通常缺乏健全的民事登记系统和实物ID，并且正在以数字方式构建其ID系统，从而超越了传统的实物系统。 无论哪种情况，很明显，全球趋势是创建新的国家数字ID系统或扩展现有系统。

在许多情况下，诸如此类的举措包括建立一个机构的立法，该机构的任务是制定和执行有关 公钥基础结构（PKI)，本地许可 证书颁发机构（CA） 提供数字证书，和/或发展政府管理的 PKI 和CA。 这些机构通常被冠以 信息和通信技术管理局 （或 ICT管理局）。 本文旨在为国家ICT机构和许可的CA的决策者提供他们需要回答的重要问题的信息，例如：

• 我们是否应该发展自己的内部 PKI，或与现有CA签订服务合同？
• 向我们的公民提供公众信任的证书的最快，最有效的方法是什么？

PKI，数字证书和CA：快速回顾

简而言之， 公钥基础结构（PKI) 用于管理成对的 公钥和私钥 并通过发行称为“电子文件”的方式将它们与诸如个人和组织之类的实体的身份绑定 数字证书。背后的数学 PKI 确保是否有证书 签 使用给定实体的私钥，拥有该对公钥的任何人都可以：

• 验证提供签名证书的实体是否拥有其相应的私钥 （真实性）.
• 信任证书的内容自最初生成以来没有被更改 （诚​​信）.
• 使用公用密钥加密只能用其关联的专用密钥解密的消息 （加密）.

通过启用真实性，完整性和加密， PKI 数字证书允许通过不安全的网络（例如Internet）进行安全通信。 维持 PKI 并管理数字证书的签发和吊销 认证中心（CA）.

公共信托与私人信托

尽管有许多数字证书应用程序，但最著名的用途是通过SSL /TLS 和HTTPS协议。 为了防止浏览器警告和错误消息，为面向公众的网站发行的数字证书必须由 公众信任的CA。 对于将证书与电子邮件客户端，桌面操作系统以及其他用于最终用户的软件一起使用，公共信任也是合乎需要的，这样用户或IT人员就不必手动将私有信任的证书添加到OS证书存储中。

定期对公共信任的CA进行严格审核，以确保其符合行业标准，例如 用于CA的WebTrust，以便包含在主要操作系统和软件供应商（例如Microsoft，Apple，Google和Mozilla）的公共信任库中。 CA可能要花费很多年才能纳入所有这些程序，并且必须对其进行定期，严格的审核以保持该状态。 相反，私人信任的CA不受这些标准的约束，但对于面向公众的应用程序则没有那么有用。

为什么政府应该朝着 PKI基于网络安全？

过去几年，政府公共记录和交易日益数字化，这引起了网络犯罪分子的窥探。 政府是巨额公共资金的保管者，而网络骗子已经表明，他们坚持尝试各种方法，使他们能够获得这些金钱奖励。 各州还拥有大量机密信息，一旦成功被黑客入侵，这些信息就会被用于勒索软件和勒索策略。  

来自的文章 安全杂志 声明“由于当地政府努力应对勒索软件和其他恶意事件，2018 年估计有 45 万次网络攻击在全球造成超过 XNUMX 亿美元的损失。” 

2018 年也是美国成为网络攻击造成经济损失最高的国家，损失超过 13.7 亿美元。 

或许国家应该不断改善其网络安全的核心原因之一是他们从将自己的福利委托给这些公共机构的公民那里收集了大量个人信息。

值得注意的政府网络攻击

第一个例子不是恶意攻击，而是安全研究员 Chris Vickery 在 2015 年进行的一次白帽黑客攻击。他发现了一个配置错误的数据库，该数据库将全国 191 亿选民的个人信息暴露给了互联网上的几乎任何人。 这些不受保护的信息包括选民的姓名、出生日期、地址和电话号码。 曾经是一名警官 采访 关于这次泄密，他表达了他对他的安全的担忧，因为犯罪分子随后能够获取有关他的信息。 

2019 年的 SolarWinds 攻击——被认为是针对美国政府的最令人震惊的基于互联网的间谍活动——使数千个政府网络容易受到网络攻击。 27 名美国检察官的电子邮件帐户遭到黑客入侵，有关政府调查和线人的敏感信息可能被泄露。 商务部和财政部官员的电子邮件帐户也遭到破坏。 

阿拉斯加州卫生与服务部 (DHSS) 于 2021 年 XNUMX 月遭到攻击，当时发现其网站易受黑客攻击，黑客可能会暴露无数个人的私人身份信息 (PII)，包括他们的电话号码、社会安全号码和财务信息。 此类敏感信息被盗的一个危险是，黑客可以利用这些信息来实施社会工程策略，例如致电银行并努力欺骗银行员工更改受害者的银行账户。 

去年 2.3 月，新罕布什尔州彼得伯勒镇官员使用一种称为商业电子邮件妥协 (BEC) 的策略成为社会工程黑客的受害者。 镇财政部门的官员收到了伪装的电子邮件，指示他们将公共服务款项转入另一个银行账户。 这种骗局策略在一个月内成功实施了两次，网络窃贼共窃取了 XNUMX 万美元。

政府 PKI 开发：内部与托管

一旦政府决定需要 PKI 为了向其公民发行证书（或一家本地公司寻求代表政府提供许可证的许可证），通常的首要思想是投资于独立基础设施的开发。 毕竟，可通过Windows Server，OpenSSL和EJBCA等软件以低成本或免费获得用于实现自签名CA的软件。 但是，乍一看，此选项面临许多潜在的交易难题，需要克服的成本：

• 获得公众信任以与桌面操作系统和软件（例如Web浏览器，电子邮件客户端和Office套件）无缝使用通常是一个漫长而艰巨的过程，并且不能保证成功实现和维持此状态。
• 寻找和雇用合格人员以安全有效地运营企业的成本 PKI 在全国范围内是相当可观的。
• 与建立和维护国家/地区网络相关的硬件和网络成本 PKI 可能大于最初的预期。 此外，尝试扩大规模 PKI （例如，为了覆盖更多的公民并提供额外的基本政府服务）可能会随着时间的流逝而需要更多的专业知识和基础架构。

随着数字技术及其相关的安全性需求与政府流程变得越来越交织在一起，越来越多的机构和公民充分利用数字证书，硬件，网络和人员成本都有望增长。 这些不断增加的成本可能是限制使用的因素 PKI 尽最大的潜力为一个国家及其公民服务。

托管优势 PKI

一些商业公共CA，包括 SSL.com，目前提供公共和私人托管的托管 PKI 作为一项服务，并为政府及其许可证持有者提供了绕过上述许多问题的潜力。 此外，通常保留这些CA的安全性和可靠性的行业标准 已经符合 PKI 国家信息通信技术主管部门发布的标准和准则。 通过选择托管 PKI 拥有声誉卓著的公共CA，政府可以期望找到：

• 有效的系统已经到位，用于证书颁发，生命周期维护和到期，以及即将到期的证书的自动通知。
• A PKI 已经在全球范围内成功运作。
• 接受经常性，详细审核的CA，其符合或超过国家ICT管理局制定的标准，并且必须与不断发展的行业标准和最佳实践保持一致。

在大多数情况下（尤其是对于发展中国家），与尝试开发本土解决方案相比，托管解决方案会更便宜，更易于实现且更安全。 PKI.

托管 PKI 来自SSL.com

对于全球的政府客户， SSL.com 提供以下世界一流的好处：

• 定制解决方案： SSL.com与世界各地的政府和被许可方合作，以优化智能身份证和其他应用程序的证书的生成，安装和生命周期。
• 品牌下属CA： 一个托管 下属CA （也称为 发行CASSL.com的）可以完全控制公共或私人信任证书的颁发和管理，而建立自己的根CA和 PKI 基础设施。 例如，获得许可代表政府颁发证书的本地CA可以立即实现 公众信任, 合规性及 品牌数字证书.
• 管理工具： SSL.com的在线管理工具使用户可以轻松地颁发大量证书并管理其生命周期。
• API：管理员可以使用SSL.com轻松地自动执行证书颁发和生命周期 SSL Web服务（SWS）API.

SSL.com 提供哪些特定服务来帮助应对政府机构面临的网络安全威胁？

SSL 证书

我们的 SSL 证书可以通过对公共用户上传的个人和敏感信息（包括他们的家庭地址、用户名和密码、社会安全号码和财务详细信息）进行加密来保护政府网站的安全。 我们使用行业标准的公钥加密，称为 2048+ 位 SHA2，黑客很难破解。 我们还提供通配符 SSL 证书，非常适合政府部门使用。 通配符 SSL 允许政府机构仅使用一个证书来保护其主网站及其分支网站/子域。 考虑到政府部门下设多个局，具有全方位的保护 PKI 证书大大降低了攻击者能够执行后门攻击的可能性。 点击 点击此处 在我们提供的多种 SSL 证书中进行选择，包括通配符。  

安全/多用途 Internet 邮件扩展 (S/MIME)

正如前面部分所讨论的，电子邮件一直是网络犯罪分子从政府机构窃取大量金钱和敏感数据的主要策略。 这是哪里 S/MIME 作为保护政府电子邮件系统和交易的强大防御工具。 使用 PKI 和非对称加密， S/MIME SSL.com 的证书允许政府机构确保其员工和官员之间电子邮件的真实性。 如果两个或多个政府部门或局进行沟通，则 S/MIME 证书还保证电子邮件确实来自真实来源，并且电子邮件在传输过程中受到保护，因为它们是加密的。 此外， S/MIME 也是对政府雇员和官员被黑客欺骗或粗心大意的强大威慑力，因为它创建了一个系统，在该系统中首先评估传入的电子邮件以查看它们是否使用加密密钥进行加密，以证明电子邮件来源的身份是合法的. 因此，无论诈骗电子邮件是否经过社会工程设计，看起来像是来自真实来源，都没有 S/MIME 证书会立即警告即使是最不精通技术的员工也不要取悦它。 去 这页 看看哪个 S/MIME SSL.com 的证书最适合您的需求。

电子签名者云签名

政府机构处理大量文件。 发送伪造的权威文件一直是黑客用来从政府机构窃取机密信息、金钱和用户数据的一种策略。 使用 PKI 加密和云技术，SSL.com 的 eSigner Express Web 应用程序允许公共办公室从任何连接互联网的设备安全地签署和验证文件。 在 Covid-19 大流行期间，此功能特别方便，许多办公室正在为其员工实施某种程度的远程工作。 云技术已被证明比硬件绑定的存储设备便宜得多。 因为 eSigner 是一个基于软件的存储系统，所以它还提供了几乎不受火灾、地震、洪水和物理盗窃等灾难影响的保护。

SSL.com 具有托管，品牌，公共或私人信任的所有必要工具 PKI 符合大多数国家ICT主管部门或其他IT监管机构的指南。 如果您想与我们联系以获取更多信息，让我们知道您的特定需求，或者让我们的工作人员审核并确认我们有能力遵守您的国家准则，请通过电子邮件与我们联系 Sales@SSL.com or Support@SSL.com，致电 +1 877-SSL-安全，或只需单击此页面右下方的聊天链接。