Oversiktsrapport for kryptografiske ressurser og systemer
Publisert:
Oppdatert:
Se NSMs liste på informasjon om kryptografiske løsninger som kan være viktig å inkludere i en oversiktsrapport i forbindelse med kvantemigrasjon.
Informasjon som bør rapporteres om kryptografiske ressurser og systemer:
- For de systemene virksomheten drifter som forventes å være sårbare overfor en kryptografisk relevante kvantedatamaskiner (KRK), for eksempel:
- Hvilken kryptografisk algoritme som anvendes.
- Hvilken funksjon systemet utfører.
- Lengden til de assosierte kryptografiske nøklene.
- Om systemet er lokalisert i virksomheten, en skytjeneste eller en hybrid løsning.
- Dersom de kryptografiske systemene er hyllevare eller en del av en software-pakke må navn og leverandør av varen/pakken rapporteres.
- Dersom systemet er lokalisert helt eller delvis i skyen, om skytjenesten er en intern eller kommersiell tjeneste, og eventuelt.:
- Leverandør av tjenesten.
- Hvilket land dataene lagres i.
- Levetiden til dataen som behandles av systemet, det vil si hvor lenge informasjonen må beskyttes.
- Om systemet har spesielle krav eller begrensninger, for eksempel datagjennomstrømning, latens, nøkkellengder eller regnekraft som innskrenker mulighetsrommet for utskifte av kryptografiske komponenter.
- Verdien og den forventede levetiden til informasjonen som systemet behandler.
- Hvordan kryptografiske nøkler lagres, hvilke programmer, systemer og brukere som har adgang til dem, og hvordan de beskyttes mot uautorisert adgang.
- Gjeldende lengder på nøkler og signaturer, og hvilke begrensninger hardware og software setter på disse.
- Begrensinger som systemet setter på forsinkelser som følge av mer beregningstung krypto.
- Krav til datagjennomstrømning som en ny kryptoløsning må tilfredsstille.
- Prosesser og protokoller som snakker med kryptomodulen.
- Gjeldende protokoller for nøkkelutveksling og opprettelse av autentiserte kommunikasjonskanaler.
- Hvor i stacken hver kryptografisk prosess foregår.
- Hvordan hver kryptografisk funksjon påkalles (for eksempel et kall til et kryptobibliotek i software, en prosess i operativsystemet, et applikasjonskall, cryptography-as-a-service).
- Om kryptoimplementasjonen er smidig (eller modulær, det vil si kan byttes ut uten at det påvirker det øvrige systemet).
- Om kryptoløsningen kan oppdateres i software eller om det kreves oppdatering i hardware.
- Leverandør eller eier av hver kryptografisk komponent, programvare og prosess.
- Kilder til nøkler og sertifikater.
- Om leverandøren stiller spesielle kontraktsmessige eller juridiske betingelser.
- Den forventede levetiden og planlagte avviklingsdatoen til implementasjonen, dersom leverandøren oppgir dette.
- Om migrasjon til kvantesikker krypto påvirkes av opphavsrett.