Kryptografipolicy: Tillit gjennom implementering

TL;DR: AES-256 for data i ro. TLS 1.3 for data under overføring. AWS KMS til nøkkelstyring. Årlig rotasjon. SSL Labs A+. Ingen bakdører, ingen utdaterte algoritmer. Implementeringen beviser ekspertise.

Tenk selv, dust! Still spørsmål ved autoritet

Ja, selv—spesielt—de myndighetene som godkjenner kryptografiske standarder. Men mens du stiller spørsmål ved motiver og historien med bakdører, skal du implementere systematisk.

ISMS-kryptografi: Kryptografipolicy—systematisk implementering.

Krypteringsstandarder: Hva vi faktisk bruker

• Data i ro: AES-256-GCM (AEAD-kryptering)
• Data under overføring: TLS 1.3 (kun moderne cipher-suiter)
• Asymmetrisk kryptering: RSA 4096-bit / ECDSA P-384
• Nøkkelstyring: AWS KMS (Hardware Security Modules)
• Hashing: SHA-256 minimum (SHA-3 hvor tilgjengelig)
• Årlig rotasjon: Alle langlivede nøkler

Implementering: Beviset på ekspertise

Alle snakker om kryptering. Vi implementerer det:

• SSL Labs A+: Verifisert kvartalsvis
• Perfect Forward Secrecy: Aktivert på alle endepunkter
• Certificate Transparency: Overvåket via CT-logger
• HSTS: Håndhevet med 2-års max-age
• Ingen SSL/TLS 1.0/1.1: Deaktivert og testet

Hvorfor disse valgene?

AES-256: Ingen praktiske angrep. NIST-godkjent. Bredt støttet. Maskinvareakselerert på moderne CPU-er.

TLS 1.3: Redusert latens. Forbedret personvern. Færre cipher-suite-feil. Obligatorisk Perfect Forward Secrecy.

AWS KMS: FIPS 140-2 Level 2+ validert. Sentralisert revisjonsspor. Arbeidsdeling. Automatisk rotasjon.

Hva vi ikke bruker (og hvorfor)

• Ingen hjemmelagde algoritmer: Krypto er vanskelig. Bruk standarder.
• Ingen utdaterte cipher-suiter: RC4, 3DES, MD5—nei.
• Ingen usikre tilfeldighet generatorer: Kun `/dev/urandom` / CSPRNG
• Ingen hardkodede nøkler: Nøkler i KMS, ikke i kode

Nøkkelstyring: Livssyklus

1. Generering: HSM-generert, aldri eksponert
2. Distribusjon: Kryptert kanal, minimal eksponering
3. Lagring: KMS med tilgangskontroll
4. Rotasjon: Årlig minimum, etter hendelser
5. Tilbakekalling: Øyeblikkelig, dokumentert
6. Destruksjon: Sikker sletting, verifisert

Etterlevelse: Kryss mellom standarder

• ISO 27001:2022 A.8.24: Kryptografi ✓
• NIST CSF PR.DS-1: Databeskyttelse ✓
• CIS Controls 3.10: Krypter sensitiv data ✓
• GDPR Art. 32: Passende sikkerhetstiltak ✓

Den diskordiske tilnærmingen: Spør hvorfor

Hvorfor stoler vi på AES? Fordi 20 års kryptoanalyse ikke har brutt det—ennå. Hvorfor AWS KMS? Fordi vi ikke kan bygge bedre HSM-er selv. Hvorfor TLS 1.3? Fordi TLS 1.2 har for mange legacy-problemer.

Tillit kommer fra implementering, ikke fra påstander.

Test din egen kryptering

Verifiser implementeringen vår:

• SSL Labs: Test hack23.com
• Security Headers: Verifiser HSTS, CSP, CT
• testssl.sh: Kjør din egen revisjon

Videre lesning

• Databeskyttelsespolicy - GDPR-etterlevelse
• Informasjonssikkerhetspolicy - Overordnet rammeverk
• ISMS-åpenhetsplan - Offentlig sikkerhet