Krypteringstjänster Ladok-Inkubatordagar 02-03/4 BTH Joakim Nyberg ITS Umeå universitet
Projektet Informationssäkerhet och möjligheten till att enkelt kryptera information har blivit en allt mer viktig fråga för många lärosäten. Projektet skall utreda olika krypteringstjänster för att garantera integritet och sekretess.
Projekt mål Identifiera de behov som finns av krypteringstjänster Utred funktionsbehov av sådana tjänster Genomför en genomlysning av marknaden och titta på lämpliga produkter. Ta fram för och nackdelar. Ta fram rekommendationer på produkter Utred möjligheten att ta fram en central tjänst på lärosäten eller centralt för svenska lärosäten. Titta på säkerhetsnivå i tjänsterna.
Referensgruppen Medlem Hugo Landgren David Heed Johannes Hassmund Magnus Persson Per Hörnblad Torbjörn Wictorin Lärosäte Chalmers Örebro universitet Linköpings universitet Lunds universitet Umeå universitet Uppsala universitet
Tidplan Aktiviteter 2013 Jan Feb Mar Apr Maj Jun Aug Sept Okt Nov Dec Informations in läsning Kartläggning ang. kryptering vid svenska lärosätten Dokumentation kartläggning Behovsanalys på lärosäten Sammanställning behovsanalys Skapa en referensgrupp Skapa teknisk kontaktlista (råd/stöd) Ladok-SUNET inkubator dag, Genomlysning av marknaden nationellt och internationellt Genomlysning av tekniska verktyg Proof of Concept Rekommendationer/Rapport
Var står projektet idag!
Kartläggning på börjad Enkät utskick till IT-chef på svenska lärosäten 50% lärosäten svarade på enkäten Målet med enkäten var att få en första bild vad vill vi!
Vem ska vi skydda data ifrån?
Central Nyckelhantering
Vilka lagringstjänster bör stödjas
Flera användarområden (Nivåer) En grundnivå Diskkryptering En avancerad grundnivå Grundnivå E-post Lokal filkryptering En tjänstenivå Krypterad lagring (Moln, Backup, Fileserver, mm) Rikets säkerhet
Några produkter/tjänster som vi tittar på just nu!
Diskkryptering Microsoft BitLocker Endast Windows (Pro, Enterprise) Ultimate versionerna Bäst med TPM (Trusted Platform Module) Tillhandahåller kontroller att tidigt boot fil integritet har upprätthållits, skyddar mot t.ex. med boot sektor virus rootkits. Active Directory Domain Services för remote lagra recovery nycklar. BitLocker To Go
Yubikey NEO och OpenPGP Yubikey NEO har JavaCard och en inaktiverad OpenPGP applet Aktiverar OpenPGP applet Skapar ett nyckelpar PGP-program används Kleopatra i GPG4Win
TrueCrypt Versioner för Windows, Mac OS X och Linux Stöd för hårdvaruaccelererad AES-kryptering med Intels processorer
BoxCryptor Boxcryptor tillhör en familj av krypteringsprogram för molnlagring. krypteringen av enskilda filer i samband med att de synkroniseras med molnet Företagspaket ger möjligheten att aktivera masternycklar (vid förlust) Vid gratisversionen av Boxcryptor är filnamnen fortfarande är läsbara Går även att använda på mobila enheter. (lagrar sina nycklar i ett konto hos Boxcryptor)
KSU - Krypto för Skyddsvärda Uppgifter Nationellt godkänt kryptosystem av försvarsmakten KSU system är avsedda att användas för skydd av information som omfattas av sekretess enligt offentlighets- och sekretesslagen. Utbildning Roller: Kryptoansvarig Kryptoadministratör Nyckelansvarig Användare
TERENA Certificate Service (TCS) (E-post)
Krypterad USB-disk Aegis Padlock Fortress - USB 3.0 - FIPS 140-2 Aegis Padlock DT - USB 3.0 Desktop Drive Aegis Secure Key - USB 2.0 Flash Drive - FIPS 140-2 - 256-bit Military Grade AES-XTS Hardware Encryption - Fungerar med de flesta operativsystem som Windows, Mac och Linux - Efter 20 misslyckade försök måste disken fabriksåterställas, partitioneras och omformateras - Self Destruct Password
Nyckelhantering En mycket viktig del av krypteringshanteringen Ofta har man en nyckelserver som utför de olika operationerna Generering, lagring, användning och ersättning av kryptografiska nycklar En bra hantering att använda en extern hårdvarumodul (HSM) för masternycklarna från nyckelhanterings servern Tyvärr så tenderar dom att vara rätt så dyra Gemensam nyckelserver alternativt ta fram lösningar som respektive lärosäte själva kan implementera
Nyckelservrar - KMS En nyckelserver, eller Key Management Server, har som uppgift att hålla reda på kryptografiska nycklar: Skapa nycklar Backup av nycklar Aktivering av nycklar Inaktivering av nycklar Rotering av nycklar Distribution av nycklar Radering av nycklar Ofta kan de även hantera policys, rollbaserad auktorisation mm.
HSM (Hardware Security Module) Genom att lagra huvudnycklarna i en HSM kan man skydda dessa från kopiering och stöld. Genom att låta HSM sköta de kryptografiska operationerna behöver inte KMS ha tillgång till själva huvudnyckeln. För att låsa upp HSM kan man ex.vis använda ett tangentbord anslutet till en separat port.
Cryptech - internationellt projekt En öppen plattform för säkerhetsmoduler Under 2014 ska en första prototyp till HSM tas fram Funktionalitet som kommer att finnas i slutet av 2014 är bla RSA (nyckelgenerering, kryptering/dektyptering, signering/verifiering) Mer info: http://secworks.se/
Viktig! Krypteringspolicy före tekniken (rutiner) Vad ska krypteras (ska och får) Vilken teknik ska användas Nyckelhantering
Viktig! A.10.1 Kryptografiska säkerhetsåtgärder (27001:2014) A.10.1.1 Regler för användning av kryptografiska säkerhetsåtgärder Säkerhetsåtgärd Regler för användning av kryptografiska säkerhetsåtgärder för skydd av information ska utvecklas och införas.
Viktig! A.10.1 Kryptografiska säkerhetsåtgärder (27001:2014) A.10.1.2 Nyckelhantering Säkerhetsåtgärd Regler för användning, skydd och giltighetstid för kryptografiska nycklar för deras hela livscykel ska utvecklas och införas.
Frågor?