Le crypto-shredding est une technique de destruction de données consistant à détruire les clés permettant de déchiffrer les données, ce qui rend les données indéchiffrables.

Difficulté de la destruction de données

La destruction de données est un enjeu majeur dans les règlementations sur la protection des données comme le RGPD dans le cadre de l'exercice du droit des personnes à l'effacement.

Lorsqu'une entreprise exerce le droit à l'effacement d'une personne, elle doit effectuer une recherche dans l'ensemble des bases de données, dans l'ensemble du stockage objet ou plat, tous les journaux (et leurs sauvegardes) pour retrouver toutes les occurrences d'une donnée, et les supprimer.

Toute personne ayant déjà été confronté à une telle requête saura que ce n'est pas évident :

  • il est difficile, voire impossible, de supprimer une donnée contenue dans une sauvegarde (sans compter les sauvegardes effectuées silencieusement par les hébergeurs) ;
  • une même donnée est souvent répliquée sous différentes formes dans l'infrastructure ;
  • la suppression dans une base de données relationnelle peut déclencher une cascade de suppressions involontaires ;
  • etc.

Intérêt

Le crypto-shredding change l'angle d'approche sur le problème : au lieu de rechercher / cataloguer toutes les versions d'une donnée à travers toute l'infrastructure, on centralise le problème sur une clé de chiffrement pour toutes les versions d'une donnée.

Lors de la première collecte d'une donnée, on la chiffre avec une clé individuelle gérée de façon centralisée. La donnée chiffrée est stockée, sauvegardée, répliquée normalement, à chaque utilisation on la déchiffre, et dès que l'on en produit une nouvelle version, on la chiffre avec cette même clé.

Lorsque l'on voudra supprimer la donnée, nul besoin de se lancer dans des fouilles archéologiques, il suffit de détruire la clé de chiffrement, dont la gestion est centralisée.

Principe de fonctionnement

Si la clé de chiffrement permettant de déchiffrer une donnée est détruite et qu'il n'en existe pas de copie, cela empêche toute personne de déchiffrer la donnée. C'est ce que l'on appelle le crypto-shredding d'une donnée.

La donnée originale ne pourrait alors être reconstituée qu'en "cassant" le chiffrement, ce qui avec des algorithmes modernes et robustes est jugé impossible. Si "casser" le chiffrement était possible sur un algorithme donné, on jugerait alors l'algorithme utilisé comme vulnérable et il faudrait cesser de l'employer.

Ainsi, le crypto-shredding d'une donnée équivaut, en termes de risque de fuite de données, à la suppression de la donnée.

Limites

Trois limites existent avec le crypto-shredding :

  • si le chiffrement est mal implémenté (par exemple, en utilisant des algorithmes vulnérables) le crypto-shredding d'une donnée n'équivaudrait pas à sa suppression ;
  • le crypto-shredding ne supprimant pas les données chiffrées, les données chiffrées continueraient alors de prendre de l'espace disque ;
  • il faut gérer des clés pour chaque donnée et effectuer des opérations de déchiffrement à chaque utilisation ce qui nécessite une gestion de clés bien organisée.

Le Seald-SDK permet d'effectuer du crypto-shredding fin sur les données chiffrées, n'hésitez-pas à contacter nos équipes pour en savoir plus !