Achtergrond
image

Juridische vraag: wanneer mag je een encryptiesleutel vernietigen?

woensdag 8 september 2010, 13:52 door Arnoud Engelfriet, 8 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Vraag: Als keymanager bij een grote financiële instelling ben ik verantwoordelijk voor de lifecycle van vele toplevel cryptografische sleutels. Onder lifecycle versta ik het genereren, opslag, distributie, installatie, activeren, integriteitbewaking, vervanging, deactivering en uiteindelijk het vernietigen van de sleutel. Het is over deze laatste fase dat ik een vraag heb: hoe lang bewaar je een sleutel nadat deze is gedeactiveerd en tot vernietiging kan worden overgegaan.

Antwoord: Ik krijg regelmatig vragen als deze. Niet alleen over sleutels, maar ook over beveiligingsprotocollen voor bv. klanten- of patiëntendossiers en camerabeelden, regels voor toezicht op werknemers en ga zo maar door.

Het lastige is alleen: zulke specifieke regels zijn er niet. De wet houdt het vaak bij korte zinnen als "veilig", "te verwachten zorgvuldigheid" (due diligence) of "passende technische en organisatorische maatregelen", en de implementeerder moet dan zelf uitzoeken wat een passende maatregel kan zijn. We hebben daar ooit discussie over gevoerd. Uit die discussie kwamen wel enkele pointers naar richtsnoeren en modeluitwerkingen, maar het blijft afhangen van de precieze situatie hoe je het moet aanpakken.

Specifiek voor sleutelmateriaal ken ik geen wettelijke regels, ook niet als we het beperken tot financiële instellingen. Ja, voor uitgeven en certificeren van elektronische handtekeningen zijn er enkele documenten van het College van Belanghebbenden. Maar dat gaat over het aanbieden van certificaten aan het publiek, en niet over interne sleutels voor bv. het tekenen van mails of interne akkoorden of autorisaties.

Er zijn natuurlijk allerlei normen en best practices, maar die zijn juridisch niet bindend: je bent niet verplicht op grond van de wet je hieraan te houden. Wel kan het zo zijn dat het binnen je beroepsgroep afgesproken wordt dat je zo gaat werken, en dan zul je dat moeten doen. Ook loop je het risico dat als je niet die normen volgt, je eerder onderuit gaat bij een klacht over onzorgvuldig werken.

Alles bij elkaar niet echt een antwoord op de vraag van de OP, maar ja een juridisch antwoord is er ook niet. Ik vraag me af of dat er zou moeten zijn: willen we wel dat de overheid dwingend voorschrijft dat sleutels volgens NEN norm 1234 gehanteerd worden, of moet je als bedrijf de vrijheid hebben om zelf wat te figuurzagen voor je sleutelbeheer?

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Reacties (8)
08-09-2010, 15:12 door Anoniem
Bij financiele instellingen komen er toch met enige regelmaat auditors langs om bepaalde PCI/ISO normen te toetsen, misschien zelfs wel SAS70 aan de hand van verschillende COBIT controlls. Lijkt me toch dat je aan die normen zou moeten voldoen en daar staan dit soort zaken in beschreven.
08-09-2010, 15:25 door sjonniev
Mag het van de wet? Dat hangt mijns inziens onder andere van de data af die (alleen) daarmee ontsleuteld kan worden. Bepaalde gegevens moet je van bijvoorbeeld de Belastingdienst een aantal jaren ter inzage beschikbaar houden, het zou lastig zijn als vóór die tijd een inspectie plaatsvindt en de sleutel al weg zou zijn.

Mag het van het bedrijf? Dan is het interessant te weten op welke media de sleutels zijn toegepast, en bijvoorbeeld of je op hele ouwe lang vergeten maar toch teruggevonden usb-sticks data recovery wilt kunnen toepassen op versleutelde data.

Dus, nogmaal in mijn optiek, gooi je geen sleutels weg waar data nog mee versleuteld kan zijn waar je iets nuttigs mee wilt kunnen doen. Het maakt natuurlijk wel uit hoe veilig de plek is waar je de sleutels bewaard hebt (wel/geen HSM, standalone database, etc).
09-09-2010, 10:15 door Anoniem
Ik denk dat niet iets is wat je als key manager besluit. Dit is iets wat op zijn minst door de "accountable" persoon moet worden af getikt. In dit speelveld zijn er diverse externe verplichtingen die de duur van deze opslag bepalen. Het daadwerkelijk "destroyen" van een master key is ook een goede manier om te borgen dat data niet mee benaderd kan worden (waar soms ook verplichtingen aan zijn gesteld).
09-09-2010, 10:55 door Anoniem
Sjonniev heeft een goed punt.

Natuurlijk zijn er ook indirect wettelijke bepalingen van toepassing. Als je bijvoorbeeld de laatste encryptie-sleutel van een document vernietigt, dan vernietig je praktisch ook het document. Als dat document vanwege wetten niet vernietigd mag worden (of als je niet zeker bent dat zo'n situatie niet voorkomt) dan kun je hem beter niet vernietigen.

Om dit soort redenen hebben complexe systemen vaak een supergeheime en goedbewaakte master-key, waarmee in geval van nood alles alsnog ontcijferd kan worden.
09-09-2010, 15:46 door Preddie
denk dat beide zowel de encryptiesleutel als de encrypted dat onafscheidelijk met elkaar verbonden zijn, als de data vernietigd mag worden mag je ook de sleutel vernietigen en andersom. Immers heb je beide nodig om de data bruikbaar te maken
10-09-2010, 01:20 door Skizmo
pointers naar richtsnoeren
eeeuh ... wat ? Probeer je nu Engelse woorden te gebruiken of slecht vertaalde Nederlandse woorden ? Pointers zijn verwijzingen naar geheugen adressen, en joost mag weten wat richtsnoeren zijn (het zal vast wat betekenen, en ja ik weet dat het in het woordenboek staat, maar het is gewoon shit). Pas maar op, want straks ga je nog woorden als 'worteldomein' gebruiken.
11-09-2010, 16:07 door Lionheart
richtsnoeren... als je dat in de google translate gooit kom je uit op guidelines ;-) dat klinkt wel redelijk logisch in de context... blijft de vraag hoe Arnoud daar ooit zo op is gekomen :-P

Maar anyway... ik denk dat wat al eerder gezegd is, je niet moet kijken naar de masterkeys, maar naar de data die je met de masterkeys beveiligd. Aan die data zitten wettelijke bewaartermijnen gebonden en die staan wel redelijk goed vastgelegd. Ik denk dat je je als keymanager daarop moet focussen.

De keys zelf zijn slechts een ( erg belangrijke) schakel in het beschikbaar krijgen van de data.
13-09-2010, 15:24 door Patio
@Lionheart De een zegt richtsnoeren (volgens mij een soort contaminatie) anderen gewoon richtlijnen. Zou ook juridisch jargon kunnen zijn en/of streektaal.

Het hangt met name van de branche af hoelang deze dingen geldig blijven
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure