| Les deux révisions précédentesRévision précédente | |
| double_crypto_des_logs [2017/10/10 10:02] – adminwiki | double_crypto_des_logs [2017/11/01 18:12] (Version actuelle) – jean |
|---|
| Objectif recherché: | Objectif recherché: |
| |
| //Et comme en matière d'hébergement mail, toutes les connexions à nos services seront enregistrées pour une durée de 1 an sous une forme chiffrée. Ces informations chiffrées sont transférées quotidiennement sur une unité de stockage distante et sécurisée. Elles sont détruites après expiration de ce délai. Seule une procédure judiciaire autorisera l'extraction de ces données en présence du président de l'Association et de l'administrateur système, personnes étant les seules à posséder une partie de la clé de déchiffrage.// | //Et comme en matière d'hébergement courriel, toutes les connexions à nos services seront enregistrées pour une durée de 1 an sous une forme chiffrée. Ces informations chiffrées sont transférées quotidiennement sur une unité de stockage distante et sécurisée. Elles sont détruites après expiration de ce délai. Seule une procédure judiciaire autorisera l'extraction de ces données en présence du président de l'association et de l'administrateur système, personnes étant les seules à posséder une partie de la clé de déchiffrage.// |
| |
| Solution proposée pour le chiffrement des logs de telle sorte que personne ne puisse les déchiffrer à moins de réunir physiquement deux personnes : | Solution proposée pour le chiffrement des logs de telle sorte que personne ne puisse les déchiffrer à moins de réunir physiquement deux personnes : |
| * admin-crypto-01@sud-ouest2.org | * admin-crypto-01@sud-ouest2.org |
| * admin-crypto-02@sud-ouest2.org | * admin-crypto-02@sud-ouest2.org |
| * ces deux clés sont "normales" avec une passphrase. L'administrateur numéro 1 désigné par l'AG de l'association génère la clé privé et la passphrase. L'administrateur numéro 2 désigné par l'AG génère la 2° clé et la passphrase. (Question, On pourrait améliorer la résilience en ayant une personne qui a la clé et une autre la passphrase pour chacune des clés ce qui obligerait 4 personnes à être réunies pour déchiffrer les logs) | * ces deux clés sont "normales" avec une passphrase. L'administrateur numéro 1 désigné par l'AG de l'association génère la clé privée et la passphrase. L'administrateur numéro 2 désigné par l'AG génère la 2<sup>e</sup> clé et la passphrase (question : On pourrait améliorer la résilience en ayant une personne qui a la clé et une autre la passphrase pour chacune des clés ce qui obligerait 4 personnes à être réunies pour déchiffrer les logs). |
| * le script en question fait | * le script en question fait |
| * un premier chiffrage en mode ascii du fichier log avec admin-crypto-01@sud-ouest2.org comme seul destinataire, root@serveur ne peut donc même pas déchiffrer le log | * un premier chiffrage en mode ascii du fichier log avec admin-crypto-01@sud-ouest2.org comme seul destinataire, root@serveur ne peut donc même pas déchiffrer le log |
| |
| Cas possibles à envisager: | Cas possibles à envisager: |
| * perte de la clé de admin-crypto-01 ou admin-crypto-02 ... | * perte de la clé de admin-crypto-01 ou admin-crypto-02… |
| * perte de la phrase de passe d'une clé (vu qu'on ne les utilisera jamais c'est fort probable qu'on oublie) | * perte de la phrase de passe d'une clé (vu qu'on ne les utilisera jamais c'est fort probable qu'on oublie) |
| * changement de personnes dans l'association (si admin-crypto-01 est le président et admin-crypto-02 l'administrateur) | * changement de personnes dans l'association (si admin-crypto-01 est le président et admin-crypto-02 l'administrateur) |
| * .../... | * … |
