Kryptering

Digdir følger “NSM Cryptographic Recommendations”. Data krypteres ved stillstand og ved overføring.

NSM sine «ofte stilte spørsmål om sky og tjenesteutsetting» drøfter problemstillingen ved å benytte kryptering for å beskytte seg mot skyleverandøren. Digdir støtter seg til konklusjonen til NSM og har etter vurdering av kompleksitet, løsning og risiko bestemt å ikke benytte sikkerhetsenklaver (SGX) eller eksterne HSM-løsninger under prosessering. Tjenesteeiere må gjøre tilsvarende vurdering.

For kryptering ved stillstand benyttes Azure Storage Encryption og Azure Disk Encryption. Krypteringsalgoritmen for disse mekanismene er AES-256. Krypteringsnøklene som benyttes er hovedsakelig forvaltet av Microsoft/Azure grunnet kompleksitet og risiko ved å administrere krypteringsnøkler selv.

HTTP trafikk blir kryptert med TLS 1.2 (eller TLS 1.3 der dette er tilgjengelig). Qualys SSL Labs er et verktøy som sjekker og graderer SSL/TLS oppsettet på nettsteder. Figur 4 og 5 viser resultatet av Altinn Studio og et Altinn Apps-kluster.

Kjente og produksjonsklare biblioteker blir brukt for kryptering i applikasjonene. Altinn utvikler ikke egne kryptografiske algoritmer.

Scan av altinn.studio — *Figur 4 - Qualys SSL Labs Scan av Altinn Studio*

Scan av tjenesteeier-kluster — *Figur 5 - Qualys SSL Labs scan av et tjenesteeier-kluster*