qvi.st

Kristoffer Qvists blogg om allt möjligt

Etikett: GDPR

Bild som visar fyra dokumentikoner med en låsikon ovanför dem. Detta kan exemplifiera resultatet av att kryptera loggfiler.
Icons av geralt. Licens: CC0/a>.

Kryptera loggfiler i Linux med GnuPG och logrotate

9 april 2018 / / Inga kommentarer

I mitt tidigare inlägg skrev jag angående GDPR och kryptering. För den som är intresserad, skriver jag nedan om att kryptera loggfiler i Linux-miljö. Inlägget är inspirerat av det som skrevs i ctrl.blog, eftersom skribenten inte gick djupare i det ämnet. Förhoppningsvis kan mitt inlägg ge lite bättre svar i ämnet.

1. Skapa ett nyckelpar, i en separat maskin

GnuPG är ett fritt program som implementerar OpenPGP-standarden enligt RFC4880 (även känt som PGP). För att öka säkerheten bör ett nyckelpar skapas i en separat maskin. Det minskar eventuella skador, om någon obehörig skulle ta över måldatorn som skall kryptera loggfilerna.

Nyckelpar kan skapas i Linux-, Windows- och Mac-datorer i olika program. Github har skrivit ett inlägg om hur man skapar ett nyckelpar med GPG.

2. Importera enbart den publika nyckeln

För att kryptera loggfilerna i servern måste gpg2 vara installerad i servern. Därefter måste den publika nyckeln importeras till loggservern. Nyckeln används för att kryptera filerna, och kan inte användas för att avkryptera dem. När nyckeln hos på den berörda användaren som exekverar logrotate, skall även nyckeln importeras med kommandot nedan (förutsatt att den publika nyckeln heter public.key):

gpg --import public.key

Det viktiga är också att nyckeln är betrodd. För att få nyckelidentiteter som man har på Linux-servern kör man nedan kommando.

gpg --list-keys --keyid-format LONG

Nyckeln som man importerat kan man också modifiera, om den inte känns igen som betrodd. Kör då nedan kommando (obs! Du bör vara helt säker på att detta är din importerade nyckel):

gpg --edit-key keyid

Därefter väljs förtroende för denna nyckel, som är viktig för att kunna kryptera loggfilerna framöver.

3. Modifiera konfigurationsfilen för att kryptera loggfiler

Lägg till nedan kod för de program som du önskar krypteras. Keyid är det användar-id som är lagrat med nyckeln (exempelvis namn@e-post.com). ”Shred” tar bort loggen i klartext efter att den krypteras och komprimeras. Loggen finns i maskinen enbart 24 timmar i klartext innan den komprimeras och krypteras:

daily
shred
compress
compresscmd /usr/bin/gpg2
compressoptions -r keyid --encrypt --default-key keyid --trust-model always
compressext .gpg

Observera! Ovan kod antar att nyckeln hela tiden är betrodd. Det betyder att ingen kontroll genomförs av nyckelns identitet.

Bild som visar en hand som håller i en mobiltelefon eller läsplatta, och en hand trycker på dess skärm. Ett gult lås visas inuti EU:s flagga, innanför stjärnorna.
Regulation av TheDigitalArtist. Licens: CC0.

GDPR och kryptering: Behövs egentligen det?

8 april 2018 / / Inga kommentarer

Jag har stött på påståendet redan i några bloggar. Påståendet är ungefär GDPR kräver att du krypterar all personlig data. I verkligheten nämns kryptering fyra gånger i dataskyddsförordningen. I samtliga sammanhang nämns det inte som ett krav, utan snarare som en möjlighet. Vad är då kravet som man som organisation måste uppfylla? Jag stötte nyss på ett inlägg på Linkedin, vilket gjorde mig sugen att skriva detta inlägg…

Inlägget handlar om GDPR då man hanterar personuppgifter i en organisation. Det handlar alltså inte om privatpersoners egna privata kommunikation sinsemellan (skäl 18 och artikel 2 c i GDPR), eller då man utövar sin yttrandefrihet (tryckfrihetsförordningen samt yttrandefrihetsgrundlagen). Jag har själv också skrivit mer allmänt om detta i ett tidigare inlägg.

GDPR och kryptering: när kan det behövas?

Det hela beror på sitt sammanhang. För att ta ett exempel: när du loggar in på en hemsida, visas då en bild av ett hänglås i adressfältet? Förhoppningsvis finns det där, och det brukar betyda att anslutningen till sidan är krypterad. För den mindre tekniske personen betyder detta att ingen utomstående person kan tjuvlyssna på ditt lösenord. I alla fall inte vad gäller trafiken mellan din enhet och just den webbsidan. Då är det, enligt mig och flera andra, berättigat att använda kryptering. Google rekommenderar visserligen att alla sidor bör använda HTTPS. Den som utvecklar hemsidor bör känna till att Google belönar sidor som använder HTTPS i deras sök… Dessutom behöver det inte kosta någonting då Let’s Encrypt ger gratis certifikat som fungerar på de flesta nyare webbläsare.

Är kryptering överdrivet då?

Återigen, beror på sitt sammanhang. Hanterar man exempelvis känsliga personuppgifter lutar det med största sannolikhet åt det hållet. E-post är en kanal som man definitivt inte vill hantera personuppgifter oskyddat. Man kan nämligen likna e-post vid vykort. All e-post som skickas är nämligen skrivet i vanligt textformat. Men man kan förstås använda kryptering, genom ett webbläsartillägg såsom mailvelope. Använder man Thunderbird, och är något mer teknisk, kanske man vill använda Enigmail.

Jag har läst inlägg om att kryptera loggfiler vad gäller webbservrar. För: Det skapar ytterligare ett skydd mot att obehöriga skall kunna läsa loggfilerna. Emot: Krångligt att implementera.

Vad jag menar dataskyddsförordningen säger

Dataskyddsförordningen kräver inte explicit att man använder kryptering. Ordet kryptering nämns enbart fyra (4) gånger i dataskyddsförordningen. I nedan utdragningar har jag själv markerat ordet kryptering med fet text, så att det snabbare kan noteras av ögat:

För att upprätthålla säkerheten och förhindra behandling som bryter mot denna förordning bör personuppgiftsansvariga eller personuppgiftsbiträden utvärdera riskerna med behandlingen och vidta åtgärder, såsom kryptering, för att minska dem. Åtgärderna bör säkerställa en lämplig säkerhetsnivå, inbegripet konfidentialitet, med beaktande av den senaste utvecklingen […] i förhållande till riskerna och vilken typ av personuppgifter som ska skyddas. […]

Utdrag ur skäl 83 av dataskyddsförordningen.

I skäl 83 så visas det första nämnandet av ”kryptering” i dataskyddsförordningen.

4.   Om en behandling för andra ändamål än det ändamål för vilket personuppgifterna samlades in inte grundar sig på den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd […], ska den personuppgiftsansvarige […] bland annat beakta följande:

[…]

e) Förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering.

Utdrag ur artikel 6 av dataskyddsförordningen.

Notera orden ”kan inbegripa kryptering”.

Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art […] ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt

a) pseudonymisering och kryptering av personuppgifter,

Utdrag ur artikel 32, punkt 1.

Information till den registrerade i enlighet med punkt 1 krävs inte om något av följande villkor är uppfyllt:

a) Den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa åtgärder tillämpats på de personuppgifter som påverkades av personuppgiftsincidenten, i synnerhet sådana som ska göra uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till personuppgifterna, såsom kryptering.

Utdrag ur artikel 34, punkt 3.

Artikel 34 handlar om vilka åtgärder man måste ta vid en personuppgiftsincident, d.v.s. då data kan ha kommit i orätta händer.

I ovan nämnda fall nämns inte kryptering som ett krav, utan som ett medel. Dessutom nämns inte vilken slags kryptering som bör användas i samtliga fall. För att göra en extrem jämförelse, så är ett caesarchiffer väldigt enkelt i jämförelse med AES-256.

Slutsats av GDPR och kryptering

GDPR är i större mån intresserad av integritet och transparens än av kryptering. Med detta menar jag att förordningen hellre ser att man sparar så få personuppgifter som möjligt, så kort tid som möjligt och att de berörda får ta del av hur man som samlar in personuppgifter hanterar dem.

Såvitt som jag förstår kan man enligt skäl 49 behandla personuppgifter om det är absolut nödvändigt (och är proportionerligt) att göra sina system säkra. Detta genom att förhindra obehörigt tillträde, motverka delning av skadlig kod och även motverka DDoS samt övriga skador på IT-system.

Alltså: dokumentera mer och var transparent.

En man som jonglerar en laptop med flera bollar som har sköldar.
Dataskydd, reglering av mohammed_hassan. Licens: CC0.

GDPR – vad innebär det?

1 mars 2018 / / Inga kommentarer

GDPR; eller General Data Protection Regulation är den nya dataskyddsförordningen som träder ikraft den 25 maj 2018. Syftet med förordningen är att stärka skyddet för individers personuppgifter. GDPR medför även att organisationer får bättre dokumentation över sin datahantering.

Nedan kommer jag att gå igenom vad förordningen innebär, både för privatpersoner och de som hanterar personuppgifter.

GDPR – för mig som privatperson

Skyddet för samtliga personuppgifter blir mycket starkare. Dessutom utökas rättigheterna för att dels ta del utav data som organisationer har sparat om dig som privatperson. Man ges också rätt att rätt långväga bli bortglömd, i den mån som det går, från organisationers register. De fall då man inte kan bli helt bortglömd är då andra lagar kräver att uppgiften är sparad. Ett exempel är just verifikationer i bokföring, såsom kvitton.

Ibland kan inte heller alla uppgifter lämnas ut, såsom specificeras i den nya lagen. I artikel 12 punkt 5 att läsa följande:

Information som tillhandahållits enligt artiklarna 13 och 14, all kommunikation och samtliga åtgärder som vidtas enligt artiklarna 15–22 och 34 ska tillhandahållas kostnadsfritt. Om begäranden från en registrerad är uppenbart ogrundade eller orimliga, särskilt på grund av deras repetitiva art, får den personuppgiftsansvarige antingen

a) ta ut en rimlig avgift som täcker de administrativa kostnaderna för att tillhandahålla den information eller vidta den åtgärd som begärts, eller

b) vägra att tillmötesgå begäran.

Det åligger den personuppgiftsansvarige att visa att begäran är uppenbart ogrundad eller orimlig.

Enligt Dataskyddsinspektionen gäller inte dataskyddsreformen då man som privatperson hanterar personuppgifter i sin egna privata behandling, eller då man utövar sin yttrande- och informationsfrihet.

GDPR – för mig som hanterar personuppgifter

Begreppet personuppgift breddas, så att allt som kan kopplas till en privatperson blir en personuppgift. Man gör ingen skillnad på strukturerad (sådant som exempelvis sparas i en databas) och ostrukturerad data (exempelvis e-post). Dataskyddsförordningen innebär framför allt att den som hanterar personuppgifter måste göra en grundlig genomgång i sin organisation. Två viktiga som måste ställas är ”hur samlas personuppgifter in idag”, och ”varför hanteras dessa”?

När får jag samla in personuppgifter?

Enligt GDPR måste man som organisation ha en rättslig grund för att samla in personuppgifter. Det kan antingen vara att man har tagit emot ett samtycke, eller för att uppfylla bokföringsskyldigheten enligt bokföringslagen. Som organisation kan man även ha skrivit avtal, och får då enbart använda sig av personuppgifterna i enlighet med det avtalet. Dessa finns att läsa i artikel 6 av GDPR.

Det som är viktigt vid insamlande av den personliga datan är att man skall samla in så lite som möjligt, om man behöver samla in personuppgifter. Dessa bör också sparas i så kort tid som möjligt, det vill säga att man inte kan spara dem bara för att de är ”bra att ha”.

Man har möjlighet att samla in personuppgifter för, såsom Datainspektionen skriver:

arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål utan att det anses oförenligt med de ursprungliga ändamålen om det finns lämpliga skyddsåtgärder för de registrerades rättigheter.

Det betyder alltså att om data anonymiseras på sådant vis, att den enskilde individen inte längre kan identifieras, kan uppgifter samlas in för exempelvis statistiska ändamål.

När GDPR införs måste också avtalstexten vara begriplig för ”medelsvensson”. Den som får sina personliga data insamlade måste få veta till vilket syfte dennes personliga uppgifter samlas in för.

Läsvärt på nätet

Binero har några, väldigt läsvärda blogginlägg inom ämnet. Verksamt.se har även tagit fram en guide för småföretagare gällande GDPR. Dataskyddsförordningen finns att läsa hos EU. Dessutom finns det en väldigt trevlig guide [PDF] som Datainspektionen har tagit fram, vilken är enkelt hållen och mycket pedagogisk.

Jag är inte en utbildad jurist, och ber dig därför att överväga att gå igenom din organisation med en sådan. Jag ger enbart inblick i sådant som man bör vara medveten om, särskilt då man hanterar personuppgifter.

Licensinformation

All information (förutom datorkod), om ej annat står skrivet, är gjort av mig och licenserat i enlighet med Creative Commons Erkännande-IngaBearbetningar.

All publicerad datorkod är gjord av mig och licenserad i enlighet med Apache-licensen, version 2, om inte annat står skrivet.

Om Kristoffer

Kristoffer är en teknikintresserad ung man, som tycker att det är roligt att blogga om diverse saker han är intresserad utav. I denna blogg handlar det främst om IT samt datorrelaterade ämnen.

Han skriver i perioder, vilket betyder ibland att det kan vara färre publicerade inlägg. Misströsta dock inte, han är snart på hugget igen med att skriva nästa inlägg.

Om sajten qvi.st

Sajten är tänkt att vara dels en resurs med användbara script och konfigurations-inställningar, men också en plats där tankar publiceras. Du som besökare får mer än gärna kommentera, men tänk då gärna på att hålla en god ton och även det som står i sajtens integritetspolicy.

Väljer du att kommentera i bloggen kan det ta en stund innan den blir synlig, då alla kommentarer modereras. Jag ber dig som kommenterar att ta hänsyn till detta.

© 2024 qvi.st

Tema av Anders NorenUpp ↑