Objectif recherché:
Et comme en matière d'hébergement courriel, toutes les connexions à nos services seront enregistrées pour une durée de 1 an sous une forme chiffrée. Ces informations chiffrées sont transférées quotidiennement sur une unité de stockage distante et sécurisée. Elles sont détruites après expiration de ce délai. Seule une procédure judiciaire autorisera l'extraction de ces données en présence du président de l'association et de l'administrateur système, personnes étant les seules à posséder une partie de la clé de déchiffrage.
Solution proposée pour le chiffrement des logs de telle sorte que personne ne puisse les déchiffrer à moins de réunir physiquement deux personnes :
lors de la rotation (logrotate) des logs root lance un script spécial en post-exec
root@serveur a une clé GPG sans passphrase
root@serveur a dans son trousseau de clés les deux clés suivantes
admin-crypto-01@sud-ouest2.org
admin-crypto-02@sud-ouest2.org
ces deux clés sont “normales” avec une passphrase. L'administrateur numéro 1 désigné par l'AG de l'association génère la clé privée et la passphrase. L'administrateur numéro 2 désigné par l'AG génère la 2e clé et la passphrase (question : On pourrait améliorer la résilience en ayant une personne qui a la clé et une autre la passphrase pour chacune des clés ce qui obligerait 4 personnes à être réunies pour déchiffrer les logs).
le script en question fait
un premier chiffrage en mode ascii du fichier log avec admin-crypto-01@sud-ouest2.org comme seul destinataire, root@serveur ne peut donc même pas déchiffrer le log
puis un second chiffrage en mode binaire pour bénéficier de la compression avec admin-crypto-02@sud-ouest2.org comme destinataire
Cas possibles à envisager:
perte de la clé de admin-crypto-01 ou admin-crypto-02…
perte de la phrase de passe d'une clé (vu qu'on ne les utilisera jamais c'est fort probable qu'on oublie)
changement de personnes dans l'association (si admin-crypto-01 est le président et admin-crypto-02 l'administrateur)
…