Impostazione corrente
Abbiamo un servizio che consente agli utenti di caricare documenti tramite un sito Web e di archiviare i documenti caricati crittografati su disco.
I documenti su disco sono crittografati con una chiave per utente, generata casualmente al momento della creazione dell'account. Questa chiave del documento è memorizzata in un campo del database che è crittografato con la password dell'utente come chiave. Quando l'utente (proprietario) desidera scaricare un documento, deve fornire la propria password, che viene utilizzata per decrittografare la chiave del documento che viene a sua volta utilizzata per decrittografare il documento.
Abbiamo scelto questo modello per negare la necessità di crittografare nuovamente tutti i documenti crittografati quando l'utente sceglie di cambiare la sua password: abbiamo solo bisogno di ricodificare la chiave del documento.
Questa configurazione funziona bene (e pensiamo che sia un modello sicuro 1 ).
Modifiche richieste
Purtroppo, abbiamo due nuovi requisiti da implementare.
- Per legge, siamo tenuti a poter decifrare tutti i documenti che abbiamo su disco, su richiesta del governo;
- Qualcuno ha deciso che il proprietario di un documento dovrebbe essere in grado di condividere il documento caricato con altri utenti.
Non so come implementare tali requisiti mantenendo i documenti archiviati con la crittografia per utente.
Quindi la mia domanda è:
Esiste uno schema noto che consente di crittografare i documenti in modo che possano essere decifrati da una o più parti, dove le parti in questione devono essere determinate sulla crittografia dei documenti?
Aggiornamento :
Alcune informazioni di base sulla legge di cui sopra:
In realtà, la legge non afferma che siamo obbligati a costruire in una porta di servizio. La legge rende reato non consegnare la chiave a qualsiasi dato criptato che hai 2 se la polizia richiede la chiave 3 . Un risultato di ciò è che noi che ospitiamo i dati abbiamo bisogno di avere una porta di servizio o di essere processati nel caso in cui non possiamo decifrare i dati quando richiesto. Tuttavia, ad eccezione di altri paesi, siamo liberi di comunicare il fatto che abbiamo ricevuto un ordine per decifrare i documenti. Queste leggi sono purtroppo non raro .
Informare i nostri clienti e il pubblico:
Come ho indicato in un commento prima, ho completamente intenzione di tirare il mio peso per assicurarsi che questa politica è chiaramente comunicata ai nostri clienti. Le dichiarazioni sulla privacy devono essere cambiate e TOS deve essere aggiornato.
La consapevolezza pubblica da una parte e la garanzia che "le cattive leggi costino denaro" dall'altra sono il miglior metodo che ho a disposizione per protestare contro tali leggi.
Tuttavia, allo stesso tempo sono piuttosto scettico sull'impatto di tale affermazione. Alla maggior parte delle persone semplicemente non importa. Allo stesso tempo, molte persone usano la posta elettronica e la posta in arrivo per archiviare e condividere documenti. Quindi da quella prospettiva il nostro servizio è (ancora) un enorme miglioramento (ed è la ragione per cui alcuni dei nostri clienti richiedono ai loro dipendenti di usarlo).
1. Se c'è un buco abbagliante in questo metodo, sentiti libero di commentarlo.
2. Gli avvocati hanno capito che i "dati che hai" sono intesi a includere tutti i dati memorizzati su dispositivi fisici di tua proprietà (non sono un avvocato, quindi questa è la mia traduzione dei laici di ciò che hanno concluso).
3. Sì, non un ufficio di sicurezza di lusso, ma la polizia. Ci sono delle alcune misure di sicurezza quando possono richiedere la password, ma ciò non modifica le implicazioni di questa legge. La grande domanda è cosa succede quando hai veramente dimenticato la password di alcuni dati. Il ministro ha indicato che è responsabilità del proprietario di tali dati crittografati di eliminarli. Ma nessun caso di questo tipo è ancora stato processato in tribunale (a mia conoscenza).