> >-----Messaggio originale----- > >Da: [email protected] > >[mailto:[email protected]] Per conto di Claudio > >Inviato: giovedì 24 settembre 2009 18.42 > >A: [email protected]
> > > >Sarà quel che sarà, ma io continuo a vedere questo genere di > >sistemi come più un rischio (il "ricatto crittografico") che > >un reale vantaggio in termini di sicurezza. Poi per carità, > >ci saranno anche situazioni dove serve... Piu' che altro ci sono situazioni in cui e' mandatorio o quasi...pensa ad esempio ai Dati di Traffico ai fini dell'art.132 (accertamento e repressione dei reati), Per citare un esempio abbastanza in auge di best pratices relative alla cifratura dei dati, guarda i requisiti PCI-DSS relativi al rendere illeggibili i PAN delle carte di credito. Il requisito 3.4.1 credo sia abbastanza significativo : Se si utilizza la cifratura del disco (anziché la cifratura del database a livello di file o colonna), l'accesso logico deve essere gestito in modo indipendente dai meccanismi di controllo dell'accesso al sistema operativo nativo (ad esempio, non utilizzando database di account utente locali). Le chiavi di decifratura non devono essere associate agli account utente. Ed il 3.5.2 : le chiavi siano memorizzate in un formato cifrato e che le chiavi di crittografia principali siano memorizzate separatamente dalle chiavi di crittografia dei dati. L'utilizzo di crittografia avanzata si porta dietro pero' la necessita' di definire processi e procedure di gestione delle chiavi crittografiche, con tutte le complessita' del caso. Oltre ovviamente ad impatti da un punto di vista prestazionale. Ciao RR Questo messaggio e i suoi allegati sono indirizzati esclusivamente alle persone indicate. La diffusione, copia o qualsiasi altra azione derivante dalla conoscenza di queste informazioni sono rigorosamente vietate. Qualora abbiate ricevuto questo documento per errore siete cortesemente pregati di darne immediata comunicazione al mittente e di provvedere alla sua distruzione, Grazie. This e-mail and any attachments is confidential and may contain privileged information intended for the addressee(s) only. Dissemination, copying, printing or use by anybody else is unauthorised. If you are not the intended recipient, please delete this message and any attachments and advise the sender by return e-mail, Thanks. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
