Integritetssikring #13
Comments
|
Denne burde være en god kandidat til at vi primært peker på standard(er) andre har utviklet. |
Vi må først vurdere om andre standarder dekker behovet. Som det står under forslag til løsning, så er det andre standarder som omtaler integritetssikring, men noen (Noark) med for konkret løsning knyttet til håndtering av informasjonsobjekt og metadata i henhold til den standarden, mens andre for generelle og ikke konkret rettet mot behovet. Det er neppe tilstrekkelig å peke på ISO-standarder (hverken 27000 eller innen dokumentasjon, som 15489, 30300 eller 16175), siden disse oppleves utilgjengelig for mange i målgruppen. |
|
[Lars Vegard Bachmann]
Denne burde være en god kandidat til at vi primært peker på
standard(er) andre har utviklet.
Merk, så vidt jeg vet er dette samme signeringsstandard/protokoll som
brukes av Adobe og Microsoft for å tilby ekstern signatur i sine
dokumentformater. Dog er det rapporter om at PDF-signering ikke
signerer hele filen, slik at det vil være fordelaktig å ha en separat
signatur for hele filen i tillegg.
…--
Vennlig hilsen
Petter Reinholdtsen
|
|
[Øivind Kruse]
## Beskrivelse av behov
Informasjonsinnholdet i et informasjons-/dataobjekt skal være
uforandret etter arkivering.
En nyttig teknikk for å kunne oppdage endringer av digitale objekter er
tiltrodd tidsstempling, der en sjekksum av innholdet sendes til
tredjepart som kryptografisk signerer en melding som sier at på angitt
tidspunkt er oppgitt sjekksum observert. Dette er standardisert i RFC
3161 og beskrevet i blant annet
<URL: https://people.skolelinux.org/pere/blog/syslog_trusted_timestamp___chain_of_trusted_timestamps_for_your_syslog.html >
og
<URL: http://people.skolelinux.org/pere/blog/Public_Trusted_Timestamping_services_for_everyone.html >
Hvis denne signerte meldingen signering arkiveres, så kan en kontrollere
i ettertid at innholdet som ble sjekksummet ikke har endret seg siden
signaturen ble laget. Det vil sikre at en kan oppdage også endringer
gjort av de som kontrollerer arkivet.
En slik signert melding kan også lagres i Noark 5-struktur og slik sikre
at filene i den samme strukturen ikke er endret i arkivsystemet.
…--
Vennlig hilsen
Petter Reinholdtsen
|
|
@petterreinholdtsen Hvor bestandig er denne teknikken, med tanke på å overleve teknologiskifter? Gjelder den kun på det originale digitale objektet, og er den sånn sett gyldig kun så lenge det originale digitale objektet bevares? En arkivstandard som sier noe om integritetssikring kan ikke støtte seg på teknikker for å sikre/verifisere at digitale enkeltobjekt er uendret. Vi må ta høyde for at det digitale objektet transformeres for å sikre fortsatt tilgang til informasjonsinnholdet. Vi må kunne ha tillit til at ingen har tuklet med informasjonsinnholdet, på tvers av teknologiskifter. Det tenker jeg er noe av det vesentligste med en arkivstandard på dette området. |
|
[Øivind Kruse]
@petterreinholdtsen Hvor bestandig er denne teknikken, med tanke på å
overleve teknologiskifter? Gjelder den kun på det originale digitale
objektet, og er den sånn sett gyldig kun så lenge det originale
digitale objektet bevares?
Det kommer i grunne an på hva en henter sjekksumme fra. I sin naive
utførelse vil en ta sjekksum av en fil, og sjekksummen kan da
naturligvis kun sjekke om filen er uendret. Hvis en derimot tar
sjekksum av en informasjonsrepresentasjon av innholdet, så vil
sjekksummen kunne sjekke om innholdet er uendret. For eksempel for et
bilde i TIFF-format, så kan en ta sjekksum av TIFF-filen og slik kunne
bekrefte at TIFF-filen er urørt, men hvis den endres til PNG-format så
vil sjekksummen ikke lenger stemme. Tar en derimot sjekksum av
fargeverdiene for hver enkelt piksel i bildet, så vil sjekksummen kunne
brukes til å kontrollere at ingen har endret pikslene i bildet.
Jeg tror PDF-signering gjør en variant av det siste, der den lager
sjekksum av deler av filen som blir signert, mens omkringliggende deler
av filen ikke er med i signatursjekksummen.
Uavhengig av dette er det viktig å ta vare på den offentlige nøkkelen
til privatnøkkelen som er brukt til signering, for å kunne sjekke
signaturene i fremtiden. Tilsvarende vil en ikke kunne stole på
signaturer hvis den private nøkkelen som er brukt til signering kommer
på avveie. En kan redusere risikoen for det siste ved å bruke flere
signeringstjenester, da risikoen for at alle disses private nøkler
kommer på avveie er mindre enn at en av dem kommer på avveie.
En kan naturligvis signere signaturer med en ny signaturtjeneste, og
slik fjerne problemet med private nøkler fra signaturtjenster brukt
tidligere som havner på avveie etter den nye signeringen. En kan også
lage kjeder av signaturer som sikrer at ingen endringer kan gjøres til
tidligere signaturblokker uten at det kan merkes at signaturkjeden er
brutt.
En arkivstandard som sier noe om integritetssikring kan ikke støtte
seg på teknikker for å sikre/verifisere at digitale enkeltobjekt er
uendret.
Det kommer vel litt an på hvilket format en bruker. For å ta to
ekstremtilfeller: Hvis en (mot formidning) arkiverer digitale kopier av
docx-filer, så er det klart at det kan bli problematisk å vise frem
innholdet om 1000 år, mens hvis en arkiverer digitale kopier av UTF-8
tekstfiler, så er det stor sannsynlighet for at de også kan vises frem
om 1000 år.
…--
Vennlig hilsen
Petter Reinholdtsen
|
|
@petterreinholdtsen Takk, det var opplysende. Et annet krav som fremgår av arkivstandarder (blant annet OAIS) er at arkivinformasjon skal være "Independently Understandable", altså forståelig uten å være avhengig av eksterne ressurser. Vil man være avhengig av tredjepart som kryptografisk signerer en melding for å opprettholde integriteten, eller vil den være uavhengig forståelig etter at den først er signert? Jf. også RAF § 5-16 andre og tredje ledd (https://lovdata.no/forskrift/2017-12-19-2286/§5-16) |
|
Begrunnelse for prioritering av behovet etter sesjon den 6. oktober 2022. Lenke til alle prioriteringer: github.com/arkivverket/standardlab/blob/master/styrende/veikart.md Gjennomførbarhet
VerdiVerdifult, siden dette bidrar til bedre og mer forutsigbar kvalitet på dokumentasjonen. HastegradDette henger sammen med sanering og autentisitet. Hastegrad vurderes for å være likt. RiskoAutentisitet og integritet er ganske uavhengige og abstrakte behov Redusjon av eksisterende risiko
Skapning av ny risiko
|
|
[Øivind Kruse]
Et annet krav som fremgår av arkivstandarder (blant annet OAIS) er at
arkivinformasjon skal være "Independently Understandable", altså
forståelig uten å være avhengig av eksterne ressurser. Vil man være
avhengig av tredjepart som kryptografisk signerer en melding for å
opprettholde integriteten, eller vil den være uavhengig forståelig
etter at den først er signert?
En trenger kun en kopi av den offentlige nøkkelen til tredjeparten som
har signert for å kunne bekrefte at en signatur er korrekt. En trenger
kun kontakt med tredjeparten ved selve signeringstidspunktet.
Teknisk kan en naturligvis være sin egen signeringsautoritet, men da
mister signaturen sin verdi som uavhengig kontrollmekanisme. Hele
poenget med tiltrodd tidsstempling av tredjepart er at det er en
uavhengig aktør.
For å sjekke signaturen trenger en naturligvis enten programvare som
gjør jobben eller god tid, god tallteoretisk forståelse og tilgang på
spesifikasjonene som beskriver sjekksumming, offentlig nøkkelsignering,
tiltrodd tidsstempling og sertifikatformater, alt internasjonalt
standardisert og publisert. Jeg antar dette ikke anses som "eksterne
ressurser" i denne sammenheng.
…--
Vennlig hilsen
Petter Reinholdtsen
|
|
Signering ved hjelp av Postens tjeneste (som er det som benyttes i offentlig sektor) lager en PDF/A-3 der signaturen ligger som et innebygget dokument i PDF-filen. En slik signatur kan ikke omfatte hele filen siden signaturen i seg selv endrer filen. Andre løsninger har signaturen på utsiden som egen fil (det får man også fra Posten), f.eks. kodesteder brukt av Maven. |
|
Begrunnelse for prioritering av behovet etter sesjon den 31. januar 2022. Lenke til alle prioriteringer: github.com/arkivverket/standardlab/blob/master/styrende/veikart.md Verdi
Hastegrad
Risko
|
Beskrivelse av behov
For å vite hvilket informasjonsinnhold som ble brukt i en transaksjon/behandling, er det viktig at dette informasjonsinnholdet ikke blir endret etter transaksjonen/behandlingen.
Mål/motivasjon
For å sikre tillit til informasjonen må man kunne være sikker på at informasjonsinnholdet i et informasjons-/dataobjekt er uforandret etter arkivering.
Suksesskriterier/måling
Integritetssikring går på innhold, dvs. den fattbare informasjonen. Det går ikke på uendrete bits, eller på struktur, layout, visualitet eller tilsvarende egenskaper, selv om dette kan være nødvendig i gitte kontekster.
Område/prosess
Fangst og videre forvaltning av et informasjonsinnhold.
Målgrupper
Alle som skal ha tillit til, og kunne etterprøve, informasjonsinnholdet i et dataobjekt.
Hastegrad
Lav/Middels. Relevante standarder foreligger, men usikkert om de er dekkende. Noark 5s tilnærming (og spesielt praktiseringen av denne) vurderes som lite optimal.
Forslag til løsning
Noark har funksjoner for integritetssikring, men de kravene oppfattes kun å være gjeldende for nettopp Noark-systemer. I tillegg har informasjonssikkerhet/ISO 27000-serien krav om tilsvarende, men som ikke er direkte tilpasset de spesifikke kravene til dokumentasjon. Det bør derfor lager noe som er mer generelt enn dagens Noark-krav, men mer spesifikt innenfor domenet dokumentasjon enn det som går frem av informasjonssikkerhetsrammeverket.
Risiko
The text was updated successfully, but these errors were encountered: