Kryptering

Kryptering er en teknik, der omdanner data til en form, der kun kan læses af dem, der har den rette krypteringsnøgle. Det er en af de mest effektive sikkerhedsforanstaltninger mod databrud og er nævnt eksplicit i GDPR artikel 32 som eksempel på en passende teknisk foranstaltning.

Tilbage til ordbog

Hvad er kryptering?

Kryptering (encryption) er processen med at omdanne data (klartekst) til en ulæselig form (chiffertekst) ved hjælp af en algoritme og en kryptografisk nøgle. Kun den der har den korrekte nøgle kan dekryptere og læse den originale data. Selv hvis en angriber får adgang til de krypterede data, er de ubrugelige uden nøglen.

Kryptering er en fundamental del af moderne informationssikkerhed og anvendes overalt: HTTPS på hjemmesider, kryptering af e-mail, fuld diskkryptering på laptops, og kryptering af databaser og backups.

Kryptering i hvile og i transit

Der skelnes typisk mellem to typer kryptering:

Kryptering i hvile (encryption at rest): Data krypteres, mens de er gemt på disken, i en database eller i cloud-storage. Beskytter mod fysisk tyveri eller uautoriseret serveradgang.
Kryptering i transit (encryption in transit): Data krypteres, mens de transporteres over netværket. Implementeres typisk via HTTPS/TLS, VPN eller krypterede kommunikationsprotokoller.

Best practice er at have kryptering på begge niveauer. Data der kun er krypteret i transit er sårbare, når de er gemt ukrypteret på disken, og omvendt.

GDPR og kryptering

GDPR artikel 32, stk. 1(a) nævner kryptering som eksempel på en passende teknisk sikkerhedsforanstaltning. Kryptering er ikke ubetinget krævet, men ved håndtering af følsomme personoplysninger, overførsler til tredjelande og lagring af store datamængder vil det i de fleste tilfælde være nødvendigt for at leve op til kravet om passende sikkerhed.

Et databrud, der alene involverer krypterede data, er typisk ikke notifikationspligtigt over for Datatilsynet, da risikoen for de registrerede er minimal.

Nøglestyring: Stærk kryptering er kun så sikker som nøglehåndteringen. Krypteringsnøgler skal opbevares adskilt fra de data de krypterer, roteres regelmæssigt, og adgangen til dem skal styres og logges.

Krypteringsalgoritmer

De mest udbredte og anbefalede krypteringsalgoritmer i dag er: AES-256 til symmetrisk kryptering (fx fuld diskkryptering), RSA og ECC til asymmetrisk kryptering (fx nøgleudveksling), og TLS 1.3 til krypterede kommunikationsforbindelser. Algoritmer som DES og 3DES betragtes som forældte og bør undgås.

Ofte stillede spørgsmål om kryptering

Kræver GDPR kryptering?

GDPR nævner kryptering eksplicit som et eksempel på en passende sikkerhedsforanstaltning i artikel 32, stk. 1(a). Det er ikke et absolut krav i alle tilfælde, men i mange sammenhænge vil det være forventet og nødvendigt for at opfylde kravet om passende sikkerhed.

Hvad er forskellen på kryptering i hvile og i transit?

Kryptering i hvile (encryption at rest) beskytter data, der er gemt på disken – fx i en database eller på en laptop. Kryptering i transit (encryption in transit) beskytter data, mens de overføres over netværket, fx via HTTPS eller TLS.

Hvilke krypteringsalgoritmer anbefales?

AES-256 anbefales til symmetrisk kryptering, RSA og ECC til asymmetrisk kryptering, og TLS 1.3 til krypterede kommunikationsforbindelser. Algoritmer som DES og 3DES betragtes som forældte og bør undgås.

Hvorfor er nøglestyring vigtig for kryptering?

Kryptering er kun så sikker som nøglehåndteringen. Hvis krypteringsnøgler opbevares sammen med de krypterede data eller ikke roteres, kan en angriber der får adgang til nøglerne dekryptere alle data. Nøgler bør opbevares adskilt, roteres regelmæssigt og adgang bør logges.

Kan kryptering reducere forpligtelser efter et databrud?

Ja. Et databrud der alene involverer krypterede data er typisk ikke notifikationspligtigt over for tilsynsmyndigheden, da risikoen for de registrerede er minimal, når data ikke kan læses uden nøglen.