Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
wiki:divers:gestion_log_rgpd [2018/07/05 15:04] varens [Proposition de gestion des logs/données personnelles en accord avec le RGPD] |
wiki:divers:gestion_log_rgpd [2020/06/27 18:16] (Version actuelle) |
||
---|---|---|---|
Ligne 25: | Ligne 25: | ||
^fonction\infrastructure^centralisée^décentralisée^ | ^fonction\infrastructure^centralisée^décentralisée^ | ||
- | |possibilité de démarrer une machine générant des logs sans dépendance (supplémentaire)|< | + | ^possibilité de démarrer une machine générant des logs sans dépendance (supplémentaire)|< |
- | |récupération des informations facile |<color # | + | ^récupération des informations facile |<color # |
- | |perte de logs quasi-impossible|< | + | ^perte de logs quasi-impossible|< |
- | |chiffrement|< | + | ^chiffrement|< |
- | |connexion à une BDD pour les clés de chiffrement|une seule|chaque machine| | + | ^connexion à une BDD pour les clés de chiffrement|une seule|chaque machine| |
- | |redondance|disque de(s) machine(s) + infrastructure de stockage choisie|disque de machine| | + | ^redondance|disque de(s) machine(s) + infrastructure de stockage choisie|disque de machine| |
- | |stockage|n' | + | ^stockage|n' |
N' | N' | ||
- | Cependant, on sait dejà que pour certains services on devra aller chercher les données à un autre endroit (par exemple mattermost, ou encore adh, bref toutes les données personnelles qui ne sont pas des logs), cependant si on choisi de centraliser, | + | Cependant, on sait déjà |
=== Quel chiffrement ? === | === Quel chiffrement ? === | ||
Ligne 48: | Ligne 48: | ||
- | Pour que le chiffrement | + | Pour que le chiffrement |
Certe on pert en perfomance, mais on gagne en sécurité, maintenabilité, | Certe on pert en perfomance, mais on gagne en sécurité, maintenabilité, | ||
- | Bien sur aujourd' | + | Bien sur aujourd' |
- | Il y a également ECIES comme algorithme de chiffrement asymétrique (à base de courbes elliptiques), | + | Il y a également ECIES comme algorithme de chiffrement asymétrique (à base de courbes elliptiques), |
Ligne 62: | Ligne 62: | ||
Et pour les adhérents ? Le mieux qu'on puisse faire c'est générer une clé privée à l' | Et pour les adhérents ? Le mieux qu'on puisse faire c'est générer une clé privée à l' | ||
+ | |||
+ | Mais alors on a un problème : l' | ||
+ | * si l' | ||
+ | * si l' | ||
+ | |||
+ | Je vous laisse découvrir plus en détails les avantages de l' | ||
On peut prévoir l' | On peut prévoir l' | ||
Ligne 71: | Ligne 77: | ||
=== Et l' | === Et l' | ||
- | En effet dans le cas des logs passerelle wifi ou encore proxy, clairement on s' | + | En effet dans le cas des logs passerelle wifi ou encore proxy, clairement on se fiche de pouvoir les consulter, mais des logs d' |
+ | |||
+ | Dans tous les cas, ce genre de logs peuvent etre chiffrés et gardés également en clair, ou alors chiffrés mais avec une clé disponible pour les applications qui utilisent ces logs (typiquement ADH) et empecher ainsi le fait de pouvoir avoir des données personnelles comme on veut. | ||
+ | |||
+ | Si on voulait aller plus loin il faudrait que l'on puisse faire du Searchable Encryption, ce qui est possible, mais c'est encore trop naissant et pas forcément au point actuellement. Je n'ai pas encore trouvé d' | ||
+ | |||
+ | Une autre solution est de ne pas chiffrer betement tous les logs mais d' | ||
+ | |||
+ | Pour gérer le cas de l' | ||
+ | |||
+ | |||
+ | Sachant qu'il serait bien d' | ||
+ | je vois donc bien les fonctionnalités suivantes pour ce genre de système : | ||
+ | * bouton sur l' | ||
+ | * Sélection d'une période de débloquage possible | ||
+ | * On peut bloquer l' | ||
+ | |||
+ | Ci-dessous, ce qui avait été imaginé avant d' | ||
+ | |||
+ | <wrap lo> | ||
+ | En pratique comment ça fonctionne derrière ? Allons y en essayant d' | ||
+ | |||
+ | |||
+ | Le déchiffrement dans le navigateur, et meme pire le remplacement de la clé de chiffrement nous empeche de chiffrer puisqu' | ||
+ | |||
+ | |||
+ | Je vois alors deux possibilités : | ||
+ | * On continue de chiffrer et on utilise du Asymmetric Searchable Encryption (ASE), mais il faudra alors peut etre d' | ||
+ | * On ne chiffre pas ses logs temporairement, | ||
+ | </ | ||
+ | |||
+ | Grâce au partage de clé secrète de Shamir, on peut demander à l' | ||
+ | |||
+ | |||
+ | ===== Les choix ===== | ||
+ | |||
+ | Maintenant qu'on a exposé les différentes solutions, il va falloir commencer à faire des choix. | ||
+ | |||
+ | Reprenons dans l' | ||
+ | |||
+ | Bon il va falloir décider de comment on fait notre jolie moulinette à logs, sachant qu'il va falloir au mieux répondre aux deux inconvénients de la solution, à savoir : | ||
+ | * perte de logs possible dans certains cas (la gravité dépend du type de log) | ||
+ | * et on ne peut pas démarrer les services (dans une certaine mesure vous allez voir) dont on veut absolument stocker les logs sans que l' | ||
+ | |||
+ | Y'a tout de meme des choses assez simples que l'on va décider maintenant. | ||
+ | On choisit syslog et plus précisément rsyslog pour envoyer les logs à notre service de gestion de logs (On va essayer de mettre ça en HA tant qu'à faire : secure, and highly available by design : oh lala 8-) ). | ||
+ | |||
+ | Rsyslog car c'est déjà sur nos machines, on l' | ||
+ | |||
+ | Pour ce qui est de les recevoir ? On utilise déjà logstash et elasticsearch pour stocker, et après vérification logstash à les plugins qu'il faut pour ce que l'on veut faire, donc partons sur ça. | ||
+ | |||
+ | Pour l' | ||
- | Dans tous les cas, pour ce genre de logs peuvent etre chiffrés | + | Bon je crois que c'est le temps des schémas |
+ | {{: | ||
+ | <WRAP center round info 95%> | ||
+ | Autant tout le chiffrement RSA est implémenté très proprement dans des librairies auditées et très utilisées, autant je ne crois pas avoir trouvé d' | ||
+ | Update: il y a quand même [[http:// | ||
+ | --- // | ||
+ | </ | ||
+ | <WRAP center round info 95%> | ||
+ | J'ai écris cette proposition (qui est incomplète) sans avoir fait de tests, rien du tout, c'est pour l' | ||
+ | </ |