Kryptografipolitik: Tillid gennem implementering

TL;DR: AES-256 for data i ro. TLS 1.3 for data under transmission. AWS KMS til nøglestyring. Årlig rotation. SSL Labs A+. Ingen bagdøre, ingen forældede algoritmer. Implementeringen beviser ekspertise.

Tænk selv, din idiot! Stil spørgsmål ved autoritet

Ja, selv—især—de myndigheder der godkender kryptografiske standarder. Men mens du stiller spørgsmål ved motiver og historien med bagdøre, skal du implementere systematisk.

ISMS-kryptografi: Kryptografipolitik—systematisk implementering.

Krypteringsstandarder: Hvad vi faktisk bruger

• Data i ro: AES-256-GCM (AEAD-kryptering)
• Data under transmission: TLS 1.3 (kun moderne cipher suites)
• Asymmetrisk kryptering: RSA 4096-bit / ECDSA P-384
• Nøglestyring: AWS KMS (Hardware Security Modules)
• Hashing: SHA-256 minimum (SHA-3 hvor tilgængelig)
• Årlig rotation: Alle langlivede nøgler

Implementering: Beviset for ekspertise

Alle taler om kryptering. Vi implementerer det:

• SSL Labs A+: Verificeret kvartalsvist
• Perfect Forward Secrecy: Aktiveret på alle endpoints
• Certificate Transparency: Moniteret via CT logs
• HSTS: Håndhævet med 2-årig max-age
• Ingen SSL/TLS 1.0/1.1: Deaktiveret og testet

Hvorfor disse valg?

AES-256: Ingen praktiske angreb. NIST-godkendt. Bredt understøttet. Hardwareaccelereret på moderne CPU'er.

TLS 1.3: Reduceret latens. Forbedret privatliv. Færre cipher suite-fejl. Obligatorisk Perfect Forward Secrecy.

AWS KMS: FIPS 140-2 Level 2+ valideret. Centraliseret audit trail. Adskillelse af pligter. Automatisk rotation.

Hvad vi ikke bruger (og hvorfor)

• Ingen selvopfundne algoritmer: Crypto er svært. Brug standarder.
• Ingen forældede cipher suites: RC4, 3DES, MD5—nej.
• Ingen usikre tilfældighedsgeneratorer: Kun `/dev/urandom` / CSPRNG
• Ingen hårdkodede nøgler: Nøgler i KMS, ikke i kode

Nøglestyring: Livscyklus

1. Generering: HSM-genereret, aldrig eksponeret
2. Distribution: Krypteret kanal, minimal eksponering
3. Lagring: KMS med adgangskontrol
4. Rotation: Årligt minimum, efter hændelser
5. Tilbagekaldelse: Øjeblikkelig, dokumenteret
6. Destruktion: Sikker sletning, verificeret

Overholdelse: Kryds mellem standarder

• ISO 27001:2022 A.8.24: Kryptografi ✓
• NIST CSF PR.DS-1: Databeskyttelse ✓
• CIS Controls 3.10: Kryptér følsomme data ✓
• GDPR Art. 32: Passende sikkerhedsforanstaltninger ✓

Den diskordiske tilgang: Spørg hvorfor

Hvorfor stoler vi på AES? Fordi 20 års kryptoanalyse ikke har brudt det—endnu. Hvorfor AWS KMS? Fordi vi ikke kan bygge bedre HSM'er selv. Hvorfor TLS 1.3? Fordi TLS 1.2 har for mange legacy-problemer.

Tillid kommer fra implementering, ikke fra hævdelse.

Test din egen kryptering

Verificér vores implementering:

• SSL Labs: Test hack23.com
• Security Headers: Verificér HSTS, CSP, CT
• testssl.sh: Kør din egen audit

Yderligere læsning

• Databeskyttelsespolitik - GDPR-overholdelse
• Informationssikkerhedspolitik - Overordnet ramme
• ISMS-gennemsigtighedsplan - Offentlig sikkerhed