Emil Isberg emil@pyttemjuk.se writes:
Det som kan vara mer relevant för DFRI är ett avsnitt om kryptering av behöringsloggning i den andra remissen. * PTS rekommenderar att en (icke specifierad) allmänt erkänd krypteringsmetod används (oavsett om metoden är knäckt eller ej) * PTS fokuserar dessutom på nyckellängd (trots att det beror på vilken metod som används) * PTS verkar enbart ta hänsyn till metoder som använder en nyckel (inte publik-key-system) * PTS har samma sektion för både lagring och överföring (även om det är olika säkerhetsmål) * Behörighetsloggens information ska raderas samtidigt som dld-datat.
Kan ju finnas lite att kommentera på. ;-)
Som beläst på kryptoområdet måste jag kommentera ovanstående. Notera att jag inte har läst PTS:s text.
Vad menar du med att "metoden är knäckt"? Visst, det finns skrutt- metoder för kryptering (t ex i GSM-systemet), men allmänt erkända krypteringsmetoder är inte "knäckta".
Jag föreslår att vi undviker en kommentar om "knäckta" krypterings- metoder.
Att ha tillräcklig nyckellängd är väsentligt, och att PTS tar upp detta är väl vettigt?
Jag förstår inte din kommentar om "metoder som använder en nyckel". Om du avser att betona "... använder EN nyckel" så blir det mer begripligt. Men att använda publik-nyckel-system för kryptering för loggdata *inom* en organisation är nog inte aktuellt.
Jag avser inte att gå i polemik mot dig, men skulle gärna se att vi i ett eventuellt remissvar undvek att formulera oss på ett tekniskt ifrågasättbart sätt.