Krypteringstjänster LADOK + SUNET Inkubator dagarna GU, Göteborg, 6-7 oktober 2014 Joakim Nyberg ITS Umeå universitet
Projekt mål Identifiera de behov som finns av krypteringstjänster Utred funktionsbehov av sådana tjänster Genomför en genomlysning av marknaden och titta på lämpliga produkter. Ta fram för och nackdelar. Ta fram rekommendationer på produkter Utred möjligheten att ta fram en central tjänst på lärosäten eller centralt för svenska lärosäten. Titta på säkerhetsnivå i tjänsterna.
Tidplan
Var står projektet idag! Kartläggning och behov på lärosätena (15 svarade) Utvärdering av olika produkter/tekniker Kurir CheckPoint Utvärdering av nyckelhantering Krypterings Policy
Microsoft BitLocker (Diskkryptering Windows ) Yubikey NEO och OpenPGP (filkryptering, PGP-program används Kleopatra i GPG4Win) TruCrypt Boxcryptor (krypteringsprogram för molnlagring, enskilda filer vid sync) ecryptfs (fil och folderkryptering Linux ) AxCrypt (Fil och folderkryptering) FilCrypto (filkryptering) - KSU Kurir (Fil och folderkryptering) - KSU TCS (Terrena) E-post (mail) CheckPoint (Central krypteringstjänst) Krypterade diskar och USB enheter
KURIR KURIR Ny version av FileCrypto som ej ännu är leveransgodkänd (KSU) av FMV Symmetriskt blockkrypto AES-256 bit
KSU -Krypto för Skyddsvärda Uppgifter Nationellt godkänt kryptosystem som är granskat av FMV KSU system är avsedda att användas för skydd av information som omfattas av sekretess enligt offentlighets-och sekretesslagen.
Installation av KURIR
Installation av KURIR
Installation av KURIR
Installation av KURIR
Installation av KURIR
Vid första uppstart
Vid första uppstart
Skapa en nyckel
Skapa en nyckel
Kryptera en fil
Kryptera en fil
Kryptera en fil
Kryptera en fil
Kryptera en fil
Skapa en Keystore
Skapa en Keystore
Skapa en Keystore
Skapa en nyckel i Keystore
Skapa en nyckel i Keystore
Skapa en nyckel i Keystore
Exportera nyckeln
Exportera nyckeln
Exportera nyckeln
Logg
Erase
Time out!
Check Point Software Blade Architecture Programvarublad kan snabbt aktiveras och konfigureras i en lösning baserad på specifika affärsbehov SECURITY GATEWAY SOFTWARE BLADES ENDPOINT SOFTWARE BLADES SECURITY MANAGEMENT SOFTWARE BLADES
ENDPOINT SOFTWARE BLADES Full Disk Encryption Media Encryption
Secure Mobile Documents kryptera dokumenten istället för att kryptera lagring eller transmissionsmedia. I lösning går det även att signera dokumenten, sätta vattenstämplar, tidsspann då dokumentet ska vara tillgängligt ex under viss projekttid Stödjer Windows, Mac OS X, ios and Android Krypterar automatiskt utan användarhantering (centralt)
Krypterade enheter
Nyckelhantering Om man har information som är krypterad på en server, ex.vis filer, databaser etc, så finns det alltid en nyckel någonstans för att komma åt denna information. Hanteringen av dessa nycklar är ofta ett bekymmer.
Nyckelhantering (enligt MSB) Ett nyckelhanteringssystem bör finnas för att stödja organisationens användning av krypteringsteknik. Risk: Utan nyckelhantering ökar risken för att krypteringslösningar inte fungerar (oskyddad eller otillgänglig information). Det finns också en risk för förfalskning av digital signatur genom att ersätta användarens publika nyckel.
Manuell Hantering manuell nyckelhantering måste nyckeln förvaras säkert. ex.vis på ett USB-minne som förvaras i ett kassaskåp. Varje gång servern eller processen startas om måste man mata in nyckeln. Om användaren tappar bort nyckeln är informationen oåtkomlig om ingen backup av nyckeln finns
Nyckeln förvarad på servern Vanligt är att nyckeln finns lagrad på servern så att processen och servern kan startas om utan manuellt ingripande. Om någon hackar sig in i datorn är risken stor att både databasen och nycklarna stjäls Nyckeln kan också återfinnas i backuper som ofta hanteras av annan personal.
Nyckelhanteringsserver Med en nyckelhanteringsserver (KMS) så lagrar man nycklarna i denna. KMS kan bl.a. generera, lagra, rotera och revokera nycklar. En KMS kan ofta även hantera olika policys ex.vis lösenords komplexitet mm.
Nyckelhanteringsserver Det stora problemet med nyckelservrar är skyddet av nycklarna. Enligt NIST SP 800-57 har man tre val för att skydda huvudnycklarna: Använd HSM Lås in nycklarna i ett kassaskåp Lagra huvudnyckeln på servern men kryptera den med en Key-Encryption-Key (KEK). (Dock måste KEK skyddas på något sätt)
HSM Genom att lagra huvudnycklarna i en HSM kan man skydda dessa från kopiering och stöld. Genom att låta HSM sköta de kryptografiska operationerna behöver inte KMS ha tillgång till själva huvudnyckeln.
Traditionella hårdvarubaserade moduler Eftersom säkerhetskraven är stora och produkterna måste uppfylla en mängd standarder och certifieringar blir dom dyra.
Krypterings Policy/regler En krypteringspolicy/regel är nödvändig för att maximera fördelarna och minimera riskerna med användning av krypteringstekniker och för att undvika olämplig eller felaktig användning.
Krypteringspolicy (enligt MSB) En policy för användning av kryptografiska säkerhetsåtgärder för informationsskydd bör utvecklas och införas. Risk: Utan policy för kryptografiska säkerhetsåtgärder, finns det risk för att information går förlorad, konflikter med andra säkerhetssystem som behöver komma åt den krypterade informationen, eller att lösningen inte ger tillräckligt skydd.
Lagring av information ska krypteras enligt krav från informationsklassningen. (Vad får vi som myndighet kryptera) Kryptering ska ske vid överföring av information eller när kommunikation sker över öppet nät