Hoppa till innehåll

47-dagarscertifikat kommer. Är du redo?

Agera nu →

  1. Blog
    2. kryptering

Skydda sekretessen och integriteten för känslig information med GO-ITS 25.12

Postat avSurbhi Singh 05 minuter
Ontarios regerings informationsteknologistandarder (GO-ITS) tillhandahåller riktlinjer, standarder och praxis för Ontarios offentliga förvaltning. De definierar krav och bästa praxis för att skydda Ontarios regerings datorsystem och nätverk.
Innehållsförteckning

Ontarios regerings informationsteknologistandarder (GO-ITS) tillhandahåller riktlinjer, standarder och praxis för Ontarios offentliga förvaltning. Den definierar krav och bästa praxis för att skydda Ontarios regerings datorsystem och nätverk. GO-ITS 25.12 definierar kraven för användning av kryptografi och dess typ och styrka inom Ontarios regering.

I standarden anges de krav som är förknippade med måste innebära att villkoret är obligatoriskt, och att de relaterade kraven skall innebär att de är rekommendationer. Dessa krav gäller alla leverantörer, myndigheter, ministerier och tredje parter som har avtal med Ontarios regering.

Kryptografiska metoder och säker nyckelhantering

Kryptografi används för att skydda sekretessen och integriteten hos känslig information. De kryptografiska algoritmer som används för dessa ändamål är:

  1. Symmetrisk kryptering

    Symmetrisk kryptering innebär att man använder en enda nyckel för båda kryptering och dekryptering av informationen. Nyckeln delas mellan enheterna via en säker kanal. Symmetrisk kryptering används främst för att säkerställa konfidentialitet. De främsta fördelarna med symmetrisk kryptering är snabbhet och enkel förståelse.

  2. Asymmetrisk kryptering

    Asymmetrisk kryptering använder ett unikt nyckelpar för varje användare. Nyckelparet består av en offentlig nyckel som är känd för alla och en privat nyckel som aldrig delas och måste hållas hemlig. Asymmetrisk kryptering används främst för digitala signaturer och nyckelhantering inom stora användargrupper.

  3. Hash-funktioner

    Det här är envägsfunktioner som mappar en ingång med variabel längd till en utgående sträng med fast längd. hash-funktioner används främst för att skydda dataintegriteten.

Hantering av krypteringsnycklar är avgörande för säker användning av kryptografiska tekniker. Nyckelhantering är processen att hantera krypteringsnycklarna under hela deras livscykel, inklusive säker generering, lagring, distribution, användning och förstöring.

Skräddarsydda krypteringstjänster

Vi utvärderar, strategiserar och implementerar krypteringsstrategier och lösningar.

Läs mer

Krav för GO-ITS

Enligt standarden måste kryptografiskt material skyddas säkert, inklusive skapande, lagring, distribution, användning, återkallelse, förstörelse och återställning av nycklar. Kraven är indelade i olika områden:

Utbildning

  • Teknisk personal som utvecklar, implementerar eller hanterar systemen måste vara medveten om kryptografikraven enligt standarden.

Information i lagring

  • Känslig information skall krypteras i lagring eller lagras operationellt med hjälp av säkra hashfunktioner.
  • Krypterad känslig data lagrad i mer än två år måste vara krypterade i en högriskmiljö.
  • Om ansvaret för de krypterade uppgifterna överförs till en annan organisation och den tidigare organisationen inte längre är auktoriserad, kommer uppgifterna att måste krypteras av den nya organisationen med en ny nyckel.
  • Mobila enheter som smartphones, surfplattor, flyttbara medier och bärbara datorer som bearbetar eller lagrar känsliga data måste kryptera hela enhetens lagring.
  • Om känsliga uppgifter lagras på stationära datorer, måste vara krypterad.
  • Känslig data måste vara krypterad vid kolumn or datafält/cellnivå innan de skrivs till ett datalager.

Kommunikationssäkerhet

  • Känslig information måste krypteras under överföring med lämpliga metoder.
  • Integriteten hos känsliga uppgifter måste verifieras med en godkänd meddelandeautentiseringskod eller digital signatur. Digitala signaturer måste använd en korrekt tidsstämpel från en giltig referenstidskälla.

Kryptografidistribution

  • Alla kryptografiapplikationer måste använd en slumptalsgenerator eller pseudoslumptalsgenerator; kontrollera certifikatens giltighet och använd endast giltiga certifikat.
  • Tillämpningar måste radera dekrypterad information som lagras i cachen eller det tillfälliga minnet på ett säkert sätt omedelbart efter att den relaterade aktiviteten har slutförts.
  • Applikationer som bearbetar och får åtkomst till känsliga uppgifter måste genomgå säkerhetstestning och utvärdering (STE) före implementering.

Skydd av kryptografiskt material

  • Tillgång till kryptografiska material måste vara begränsad till behöriga användare, applikationer eller tjänster.
  • Kryptografinycklar måste skyddas i enlighet med känsligheten hos den information de skyddar.
  • Där det är möjligt bör nycklar genereras via en säker programvarumodul eller en hårdvarusäkerhetsmodul (HSM). För generering av nycklar som skyddar känslig information bör modulerna vara lokalt.

Hårdvarusäkerhetsmoduler

HSM används för säker nyckelgenerering, lagring och hantering av kryptografiska nycklar.

  • HSM måste vara kompatibel med FIPS 140-2 nivå 2.
  • Om HSM:er lagrar mycket känslig information och befinner sig utanför lokalen bör de vara kompatibla med FIPS 140-2 nivå 3.
  • De måste användas på ett sätt som minskar exponeringen för attacker.
  • De måste drivas enligt principerna om lägsta möjliga privilegier och arbetsdelning.
  • De måste övervakas och granskas.
  • HSM-firmware måste hanteras säkert.

Nyckelhantering

  • Procedurer för nyckelhantering måste utvecklas för alla tillämpningar som använder kryptografiska system för att skydda känsliga uppgifter.
  • Procedurer för nyckelhantering måste adressera nyckelgenerering, nyckeltilldelning, nyckelåterkallelse, omnyckling, nyckeldistribution och nyckelförstöring.
  • Nycklar skapade för teständamål får inte användas i en produktionsmiljö, och produktionsnycklar får inte användas i en testmiljö.

Återställning av krypterad information

  • Kryptografiska tjänster måste ha en säker mekanism för att återställa symmetriska och asymmetriska dekrypteringsnycklar för att dekryptera krypterad data i lagring.
  • Dekrypteringsnycklar måste kunna återställas efter att de har löpt ut för att möjliggöra dekryptering av data i arkiverade säkerhetskopior.

Symmetriska algoritmers driftsätt

  • Den elektroniska kodbokens (ECB) driftsätt får inte användas.
  • AES Galois/Counter Mode (GCM) bör användas istället för CBC-läge.
  • När du använder GCM-läget, undvik att upprepa initialiseringsvektorer (IV) med en given nyckel eller kryptera fler än 264 block med en given nyckel.

Transport Layer Security

  • Webbläsare, applikationer och system måste stödja TLS.
  • TLS 1.2 och 1.3 bör användas.
  • SSL-protokollet och tidiga versioner av TLS-protokollet får inte användas eftersom de är sårbara för attacker.
  • TLS-krypteringssvitalgoritmer måste väljas enligt godkända kryptografiska algoritmer och minsta nyckellängd.
  • Klient- eller serveranslutningar som kräver användning av svagare protokoll eller en minskning av styrkan hos kryptografiska system måste nekas.

Framväxande hot

Framväxande tekniska hot som kan utgöra en betydande utmaning för befintlig kryptografi måste åtgärdas. Kryptografisk flexibilitet, förståelse för interoperabilitetskrav och relevanta leveranskedjor, tillgångshantering och riskhantering är de bästa handlingssätten gällande potentiella hot mot kryptografi.

Upptäck vår

Relaterade bloggar

cra

Steg-för-steg-guide till efterlevnad av Cyber ​​Resilience Act (CRA)

Januari 17, 2026
Amerikas cybersköld bryts när CISA 2015 löper ut

Amerikas cybersköld bryts när CISA 2015 löper ut

October 27, 2025

API-säkerhet

API:er: Den nya attackytan 

October 23, 2025

Utforska

Fler ämnen