Bring Your Own Key: Podniková kontrola nad šifrováním

Poznámka: Tento článek popisuje architekturu a design Mandraki. Některé zmiňované funkce jsou zaváděny postupně a nemusí být zatím dostupné ve všech plánech.

Pro mnoho podnikových bezpečnostních týmů je šifrování nezbytnou, ale ne dostatečnou podmínkou. Kritickou otázkou není, zda jsou data šifrována, ale kdo drží klíče. Pokud klíče šifrování kontroluje dodavatel platformy, pak dodavatel — nebo kdokoli, kdo na něj může vyvinout nátlak — může data dešifrovat. Šifrování existuje, ale zákazník je skutečně nekontroluje.

Funkce Bring Your Own Key (BYOK) v Mandraki to řeší přímo. Umožňuje organizacím dodat vlastní šifrovací klíče, čímž zajišťuje, že kryptografická kontrola zůstává po celou dobu u zákazníka.

Třívrstvá hierarchie klíčů

Pro pochopení BYOK je užitečné porozumět celkové architektuře šifrování Mandraki. Používáme model obálkového šifrování se třemi vrstvami.

Nejvýše stojí Master Key, který chrání vše pod sebou. Ve standardním nasazení Mandraki tento klíč generuje a spravuje. V nasazení BYOK ho poskytuje zákazník.

Druhá vrstva sestává z Organisation Keys — jeden na organizaci. Každý Org Key je šifrován (zabalen) pomocí Master Key a uložen v databázi v zabalené podobě. V případě potřeby je Org Key rozbalen v paměti, použit a poté zahozen. Rozbalené klíče jsou pro výkon drženy v in-memory LRU cache s pětiminutovou dobou platnosti, ale nikdy nejsou zapsány na disk ani uloženy v Redis.

Třetí vrstva sestává z Data Encryption Keys (DEK), jeden pro každý účel: zprávy, soubory, nahrávky a přepisy. Každý DEK je zabalen pomocí Org Key dané organizace. DEK je tím, co data skutečně šifruje a dešifruje pomocí AES-256-GCM.

Tento vrstvený přístup znamená, že rotace klíče na jedné úrovni nevyžaduje opětovné šifrování všech dat pod ní. Rotace Org Key vyžaduje opětovné zabalení DEK, ale ne opětovné šifrování každé zprávy. Rotace DEK znamená, že nová data jsou šifrována novým klíčem, zatímco stará data zůstávají čitelná starým DEK (který je označen jako rotovaný, ale ponechán).

Jak BYOK funguje v praxi

Když organizace povolí BYOK, poskytne svůj Master Key prostřednictvím bezpečného importního procesu. Mandraki akceptuje 256bitový AES klíč poskytnutý zabezpečeným kanálem. Organizace je odpovědná za životní cyklus klíče, jeho zálohování a dostupnost. Pro organizace s vlastními HSM nebo infrastrukturou pro správu klíčů lze klíč vygenerovat externě a importovat do Mandraki.

Princip je přímočarý: Mandraki nikdy negeneruje ani neukládá kořen hierarchie klíčů. To dělá zákazník. Pokud zákazník svůj klíč odvolá nebo neposkytne, Mandraki již nemůže dešifrovat žádná data této organizace. Šifrovaný text zůstává v databázi, ale je inertní.

Zásadní je, že celý proces správy klíčů probíhá v rámci EU-suverénní infrastruktury. Neexistují žádné závislosti na neevropských službách správy klíčů — žádní externí poskytovatelé cloudových KMS, žádná volání API do třetích zemí. Vaše šifrovací klíče zůstávají pod vaší kontrolou, v rámci evropských hranic.

Důsledky odvolání klíče

Zde se BYOK stává skutečně mocným bezpečnostním nástrojem a kde si organizace musí jasně uvědomit důsledky.

Pokud odvoláte svůj BYOK klíč, všechna šifrovaná data vaší organizace se stanou trvale nedostupnými. Zprávy nelze přečíst. Přílohy souborů nelze stáhnout. Nahrávky hovorů nelze přehrát. Přepisy nelze získat. Toto je záměrný design — je to celý smysl BYOK.

Tato schopnost je obzvláště relevantní pro regulovaná odvětví. Společnost finančních služeb podléhající DORA může regulátorům prokázat, že si v případě potřeby zachovává schopnost učinit všechna data pro spolupráci nedostupnými. Zdravotnická organizace může zajistit, že komunikace související s pacienty je kryptograficky kontrolována. Vládní orgán může vynucovat zásady životního cyklu dat prostřednictvím správy klíčů místo důvěry v procesy mazání u dodavatele.

BYOK a funkce AI

Funkce AI Mandraki — přepisy, souhrny, chytré odpovědi a analýza nahrávek — vyžadují přístup serveru k otevřenému textu. Když organizace s BYOK používá funkce AI, pipeline zpracování dešifruje data pomocí hierarchie klíčů organizace, zpracuje je našimi AI modely (běžícími zcela v rámci infrastruktury EU) a výsledky znovu šifruje pomocí DEK organizace.

Organizace s BYOK jsou však automaticky omezeny na přechodné uchovávání dat AI. To znamená, že otevřený text existuje v paměti pouze během zpracování a není uložen na disk. Výstupy generované AI (přepisy, souhrny) jsou před uložením šifrovány klíči organizace, čímž se zajistí, že spadají pod stejnou ochranu BYOK jako zdrojová data.

Pokud organizace později svůj BYOK klíč odvolá, šifrované AI výstupy se stanou nedostupnými spolu se vším ostatním.

Rotace klíčů

BYOK neznamená statické klíče. Organizace by měly své klíče pravidelně rotovat a Mandraki to podporuje prostřednictvím přímočarého procesu.

Při rotaci Org Key je vygenerován nový Org Key a zabalen aktuálním Master Key (nebo BYOK klíčem). Existující DEK jsou znovu zabaleny novým Org Key. Starý Org Key je označen jako rotovaný a ponechán v zabalené podobě pro přístup k historickým datům. Nová data používají nové DEK zabalené novým Org Key.

Proces rotace je nedisruptivní. Uživatelé nezaznamenají žádné přerušení a historická data zůstávají dostupná prostřednictvím zachovaného řetězce klíčů.

Kdo by měl BYOK používat

BYOK přidává provozní složitost. Zákazník se stává odpovědným za dostupnost klíče — pokud je klíč ztracen a neexistuje záloha, jsou data trvale ztracena. Je to vlastnost, ne chyba, ale vyžaduje to vyspělé postupy správy klíčů.

BYOK doporučujeme organizacím, které mají vyhrazené bezpečnostní týmy se zkušenostmi se správou klíčů, působí v regulovaných odvětvích, kde je kryptografická kontrola požadavkem na soulad, potřebují schopnost kryptograficky odříznout přístup ke svým datům, nebo mají existující investice do HSM či infrastruktury pro správu klíčů.

Pro organizace, které tuto úroveň kontroly nepotřebují, poskytuje standardní šifrování Mandraki — kde Master Key spravujeme my — silnou ochranu s nižší provozní zátěží. Oba režimy používají stejné základní šifrování AES-256-GCM a stejnou třívrstvou hierarchii klíčů. Jediným rozdílem je, kdo ovládá vrchol stromu.