Beveiligen gevoelige gegevens

Misschien kan je eens kijken naar certificaten ?
Die zorgen er zowel voor dat je de partij bent die je zegt dat je bent en het verkeer wordt versleuteld.

Mij lijkt een sleutel waarmee ge-encrypt en ge-decrypt niet echt veilig...

Verwijderd schreef op vrijdag 21 mei 2010 @ 09:19:Nu heb ik de volgende vragen:
- is dit goed en veilig genoeg of is er een betere manier?
- is er een manier waarop de data geencrypteerd worden zodat ik nooit weet wat erin staat?
Lijkt me onmogelijk gezien er altijd een key beschikbaar moet zijn.

* De vraag is of je de gegevens op een dergelijke manier wilt opslaan, of dat je de verbinding alleen wilt versleutelen. Dat zou je moeten afspreken met je opdrachtgever. Zorg iig voor een SSL certificaat voor je applicatie.

* Dat heet een hash, maar dan kan niemand het meer terughalen. Je aanname dat de key bij het de- en encrypten gelijk moet zijn is niet waar. Kijk maar eens naar public key encryption en asymmetrische encryptie, zoals bijvoorbeeld RSA. Je versleuteld de gegevens met een sleutel die iederen mag weten, maar het ontcijferen gaat via een sleutel die alleen jij (en je opdrachtgever) kent.

Ga eens praten bij het CBP. Dit is niet iets wat je solo wil gaan doen. Jij kan heel leuk een vorm van encryptie op je systeem zetten, maar zodra jij dergelijke gegevens gaat opslaan zit je aan een aantal erg zware regels wat betreft security vast.

Om zo maar wat vragen te stellen:
- Op wat voor server gaat dit draaien? Shared/dedicated hosting of een server in volledig eigendom?
- Ben je op de hoogte van de Richtlijnen inzake het omgaan met medische gegevens (pdf)?
- Ben je op de hoogte van de NEN 7512 norm?
- Ben je op de hoogte van de Wet op de Geneeskundige BehandelingsOvereenkomst (WGBO)?

Met andere woorden; kan je dit aan?

Dit is niet iets wat je solo wil gaan doen. Jij kan heel leuk een vorm van encryptie op je systeem zetten,

Sowieso, never, ever, zelf een encryptiemechanisme gaan verzinnen. Cryptografie is een vakgebied op zich. Cryptografen zijn jaren bezig om een nieuw algoritme te verzinnen en dan nog wordt het vaak gekraakt. Iets wat je zelf verzint is waarschijnlijk binnen enkele minuten te kraken.

Het veiligste is denk ik door middel van polling op server B de gegevens vanaf server A halen (via ssh ofzo). Dit kan je elke 5 min doen, waarna je de gegevens op server A wipet. Server B kan gewoon op de locatie van de arts staan. Maar wat doe je als server B niks meer pollt, verwijder je dan automatisch afspraken op server A?! Ik denk dat je altijd afspraken moet wipen, wanneer de klanten langs zijn geweest.

Je kan ook een aantal zaken write-only maken, zodat lezen geen zin heeft. Bijv. na uploaden meteen coderen, en dan chownen naar root:root en dan nog goed chmodden.

De grootste zorg ligt denk ik niet aan de serverkant, maar aan de client. De arts gebruikt vast en zeker een windows pc, dan moet je niet aan komen met dat een hacker een keer de gegevens in kan lezen .

Ik heb niet lang nagedacht over bovenstaande oplossing, denk er zelf nog even langer over na. Aan de richtlijnen zal het vast niet voldoen, die MueR gaf. Misschien ook vragen of hij de hele harde schijf heeft gecodeerd, zodat fysieke aanvallen ook niks prijs kunnen geven?

Je gegevens encrypted opslaan in de database doe je alleen als je je applicatie/database beheerder niet mag vertrouwen. Volgens mij is daar geen sprake van in dit geval. Een andere mogelijkheid is dat je controle hashes opslaat zodat je wijzingen kan vaststellen.

Jij wil echter vooral inbouwen wie welke gegevens mag zien.

Voorbeeld:

-Openingstijden doctor zijn voor iedereen beschikbaar.
-Afspraken zijn wellicht alleen voor assistent en doctor beschikbaar.
-Afpraakdetails zijn alleen voor de arts en zijn vervanger beschikbaar.

Dat heeft niks met encrypty te maken, maar met toegangsbeheer.
Als het een web applicatie is is het handig de verbinding met https te beveiligen.

Wellicht moet/kun je een log bijhouden wie welke data heeft benaderd. (Een vervanger mag overal bij, maar moet naderhand wel verantwoording kunnen afleggen). Maar dan moet er wel iemand zijn die dit in de gaten houd.

EVT kun je de database in een encrypted partitie zetten, of op een encrypted file systeem, zodat bij diefstal van de server een dief niks met data kan, maar ook dan heb je het probleem dat iemand een wachtwoord moet ingeven na een herstart. Server op en veilige fysieke plek zetten is echter belangrijker. (gedeeld datacentrum is wellicht niet zo veilig in deze context)

Everything you need to know about cryptography in 1 hour
Bottom line: zorg ver-dom-des goed dat je weet waar je mee bezig bent of geef het uit handen aan iemand die dat wél weet.

Verwijderd schreef op vrijdag 21 mei 2010 @ 10:42:
De arts gebruikt vast en zeker een windows pc, dan moet je niet aan komen met dat een hacker een keer de gegevens in kan lezen .

Wikipedia: Security through obscurity

Los van of je wel of geen encryptie nodig hebt, heb je ook te maken met access control etc. zoals hierboven al wordt uitgelegd en dan nog authenticatie/identificatie etc. With all due respect maar als je een beginnend programmeur bent (en dat concludeer ik uit 't feit dat je denkt dat een aparte .php file beter is) dan ben je echt niet de aangewezen persoon om deze klus op te pakken; de kans op fuckups is gewoon te groot.

[ Voor 63% gewijzigd door RobIII op 21-05-2010 11:01 ]

Je gegevens encrypted opslaan in de database doe je alleen als je je applicatie/database beheerder niet mag vertrouwen.

Daar ben ik het nou totaal niet mee eens ;-)

Als de applicatie onveilig is (SQL-Injection) of als het wachtwoord van de MySQL database wordt gekraakt, liggen die gegevens open en bloot. Als je dan een en/de-cryptie eroverheen haal, zal het een stuk moeilijker worden om de data terug te halen.

Zelf heb ik een en/de-cryptie gemaakt die alleen te kraken is als je de (PHP) code heb. Zonder die, is het niet mogelijk om die te bruteforcen omdat er geen logica in lijkt te zitten. "83LcqFxhXKJcYXaVFaKWlNVN" in een database zetten en ze hebben geen idee wat het is. (Terwijl het wel iets betekend ;-))

Je zal het als je goed nadenkt en plant al snel beter doen dan dit ziekenhuis... Maar zorg dus in elk geval dat je donders goed weet wat je doet.

Ik zou trouwens niet weten waarom de keys voor en- en decryptie dezelfde zouden moeten zijn. De private key hoeft alleen beschikbaar te zijn bij de agenda(beheerder(s)), de publieke kan je gewoon gebruiken voor encryptie van de gegevens. En vergeet de beveiliging van de verbinding met de site niet.

[ Voor 43% gewijzigd door begintmeta op 21-05-2010 12:00 ]

Denk je bij de beveiliging van de data ook aan de zwakste schakel:
De mensen die ermee werken?

En dan krijg je dat je php server is gehacked en alle bestanden zijn verwijderd... Weg key (want de key ergens anders bewaren is ook weer een risico), weg data.

Ik denk dat je dit inderdaad beter kunt uitbesteden (althans de encryptie en security) en dat je zelf de UI in de hand houd, dan heb je zelf nog wel iets werk eraan.

PS als je niet weet hoe je die bovenstaande code moet debuggen dan zou ik alles maar uitbesteden:

$privateKey = openssl_pkey_get_private('file:///var/www/app/installation/keys/privatekey', $passphrase);
echo "enc data: " + $encryptedData;
echo "priv key: " + $privateKey;
openssl_private_decrypt($encryptedData, $output, $privateKey);
echo $output;

Dus eerst kijken of alles wel netjes is ingevuld.

Edit 2: Mag ik weten voor welke arts je dit maakt? Dan zorg ik direct dat hij mij nooit meer behandeld, iemand die zoiets aan een willekeurig persoon overlaat is niet erg strict met de gegevens van zijn klanten.

[ Voor 51% gewijzigd door DutchKel op 21-05-2010 12:10 ]

Verwijderd schreef op vrijdag 21 mei 2010 @ 11:53:
Zelf heb ik een en/de-cryptie gemaakt die alleen te kraken is als je de (PHP) code heb.

Eigen encryptie algoritmes zijn, per definitie, in 99.99999999% van de gevallen waardeloos. En in dat ene andere geval hooguit 'pittig' om te kraken. En zeker de algoritmes die zo even in een halve dag in elkaar gezet zijn. "Beetje XOr-en, beetje wat bitjes husselen, Base64 erover heen en klaar..."

Denk eens na: van alle gangbare encryptiemethodes is het algoritme openbaar (in tegenstelling tot jouw algoritme) en dan nog zijn de gegevens (zo goed als) onmogelijk te decrypten zonder de juiste key(s). Ik plaatste eerder ook al een link naar "Security through Obscurity"; lees die eens en Kerckhoffs' principle.

En om nog eens te quoten uit Everything you need to know about cryptography in 1 hour:

Conventional wisdom: Don’t write cryptographic code!

Wat jij, at best, hebt gemaakt is een schijnveiligheid; je denkt dat 't wel goed zit maar in realiteit is het nutteloos.

Verwijderd schreef op vrijdag 21 mei 2010 @ 11:53:
Zonder die, is het niet mogelijk om die te bruteforcen omdat er geen logica in lijkt te zitten.

Ah, dus kunt het beter dan vele, vele, knappe koppen die achter de gangbare encryptiealgoritmes zitten? Geloof je het zelf?

Verwijderd schreef op vrijdag 21 mei 2010 @ 11:53:
"83LcqFxhXKJcYXaVFaKWlNVN" in een database zetten en ze hebben geen idee wat het is.

En nog altijd een factor 10.000.000.000.000 makkelijker te kraken dan de gangbare encryptiealgoritmes.

[ Voor 35% gewijzigd door RobIII op 21-05-2010 12:21 ]

Wat ik dan niet begrijp is dat er bergen goede programmeurs zonder werk zitten, en iemand die geen PHP kan debuggen krijgt een opdracht om een artsen-reserveer-systeem te bouwen... Krom, erg krom.

RobIII schreef op vrijdag 21 mei 2010 @ 12:06:
...
En nog altijd een factor 10.000.000.000.000 makkelijker te kraken dan de gangbare encryptiealgoritmes.

Op zich is een one-time-pad wel heel veilig, maar dan moet je de sleutel (naast dat die groot en random genoeg moet zijn) wel goed beveiligen, een database gekoppeld aan een php-pagina of een php-pagina zelf lijken me daar niet zo geschikt voor.

Verwijderd schreef op vrijdag 21 mei 2010 @ 11:54:
Ik ben echter wel zeer onervaren met dit niveau van beveiliging en daar kan ik inderdaad nog veel van leren.

Sorry, maar als je geen ervaring hebt met dit niveau van security, moet je nu ophouden. Er zijn gespecialiseerde bedrijven die dit doen, juist omdat er een enorme bult aan wetten, regels, richtlijnen en gedragscodes aan vast hangt. Als er iets mis gaat en patientdata komt op straat te liggen, ben jij de lul, dan kan de beste dokter jou aanklagen voor nalatigheid en weet ik wat.

Dit soort applicaties zijn een aparte tak van sport, laat het over aan de professionals. Ik waag me er ook niet zomaar aan, juist omdat er heel erg veel regels zijn om rekening mee te houden. Dat vereist dermate veel voorbereiding, middelen en werk dat het heel lucratief moet zijn.

sarnath:Gebruik de edit knop ( ) als je iets toe te voegen hebt; je topic herhaaldelijk omhoogschoppen is niet nodig.

Verwijderd schreef op vrijdag 21 mei 2010 @ 11:53:
[...]
[Je gegevens encrypted opslaan in de database doe je alleen als je je applicatie/database beheerder niet mag vertrouwen.]

Daar ben ik het nou totaal niet mee eens ;-)

Als de applicatie onveilig is (SQL-Injection) of als het wachtwoord van de MySQL database wordt gekraakt, liggen die gegevens open en bloot. Als je dan een en/de-cryptie eroverheen haal, zal het een stuk moeilijker worden om de data terug te halen.

Wat jij doet is alleen een stukje obfuscation, aangezien je decryption key gewoon in je applicatie (php files) beschikbaar is. Enkel als je key in een geode keystore zit die met (bijvoorbeeld ) een gebruikerswachtwoord beveiligd is spreek je echt over encrypty. Door dat encrypty te noemen zonder goed key-management maak je een fout in encrypty.

Als je data hebt die write only is (betaling gegevens met creditkaartgegevens), is het wellicht een betere optie die in een 2e database op een extern systeem te zetten.

Uiteraard ben ik het met je eens dat ook obfuscatie een kleine meerwaarde heeft in beveiliging, maar verwar dit niet met het hoofdprobleem.

Voor wat jij voorstaat, de key sla je op in de gebruikers tabel, en encrypt je met het wachtwoord van de gebruiker. Vervolgens salt je alle encrypty met de je recordnummer(/PK) en de tabelnaam. Gevolg: alleen die gebruiker kan erbij, als die gebruiker zijn wachtwoord kwijt is is de data weg. (Dit is dus ook ongeveer het model wat windows ongeveer gebruikt voor windows file encrypty, met als randeffect dat het windows wachtwoord , met fyske access, te achterhalen is en daarma dus de file encrypty net zo sterk is als de beveiling van het windows wachtwoord)


PS sarnath heeft meer belang bij goede toegangscontrole, en auditing dan by encrypty, dus dit is enigzins offtopic.

Overigens is dit er ook al, zie: https://www.patientportaal.nl/ Dit systeem is aan het HIS van je arts gekoppeld en schiet afspraken rechtstreeks de kalender van de praktijk in.\

@Onder: Ow das ook lekker, deze link werkt wel: https://www.patientportaal.nl/patientportaal/

[ Voor 21% gewijzigd door Sv3n op 21-05-2010 15:24 ]

Sv3n schreef op vrijdag 21 mei 2010 @ 15:17:
Overigens is dit er ook al, zie: https://www.patientportaal.nl/ Dit systeem is aan het HIS van je arts gekoppeld en schiet afspraken rechtstreeks de kalender van de praktijk in.

Mooi die site!

Red Hat Enterprise Linux Test Page
This page is used to test the proper operation of the Apache HTTP server after it has been installed. If you can read this page, it means that the Apache HTTP server installed at this site is working properly.

[ Voor 24% gewijzigd door RobIII op 21-05-2010 15:19 ]

Misschien is het gewoon handiger om de TS erop te wijzen dat hij simpelweg een password systeem nodig heeft? Daarna is de "encryptie" van de reden triviaal: DBReden = Concatenate(RandomSalt, PHPReden XOR Hash(Concatenate(Password, RandomSalt)).

(RandomSalt is nodig omdat sommige mensen meer dan 1 afspraak hebben, dus meer dan 1 reden, en je die niet beiden met dezelfde Hash(Password) will concatenaten.

Toegegeven, password wijzigingen zijn dan niet helemaal triviaal