Bring Your Own Key: Virksomhedskontrol over kryptering

Bemærk: Denne artikel beskriver Mandrakis arkitektur og design. Nogle af de omtalte funktioner udrulles gradvist og er muligvis ikke tilgængelige i alle abonnementer endnu.

For mange virksomhedssikkerhedsteams er kryptering en nødvendig, men ikke tilstrækkelig betingelse. Det afgørende spørgsmål er ikke, om data er krypterede, men hvem der har nøglerne. Hvis platformsleverandøren kontrollerer krypteringsnøglerne, kan leverandøren — eller enhver, der kan tvinge leverandøren — dekryptere dataene. Krypteringen eksisterer, men kunden kontrollerer den ikke i virkeligheden.

Mandrakis Bring Your Own Key (BYOK)-funktion adresserer dette direkte. Den giver organisationer mulighed for at levere deres egne krypteringsnøgler, hvilket sikrer, at kryptografisk kontrol til enhver tid forbliver hos kunden.

Det trelagede nøglehierarki

For at forstå BYOK hjælper det at forstå Mandrakis samlede krypteringsarkitektur. Vi bruger en envelope-krypteringsmodel med tre lag.

Øverst sidder hovednøglen, som beskytter alt nedenunder. I en standardimplementering genererer og administrerer Mandraki denne nøgle. I en BYOK-implementering leveres den af kunden.

Det andet lag består af organisationsnøgler — én per organisation. Hver organisationsnøgle er krypteret (indpakket) af hovednøglen og lagret i databasen i sin indpakkede form. Når det er nødvendigt, pakkes organisationsnøglen ud i hukommelsen, bruges og kasseres derefter. Udpakkede nøgler holdes i en in-memory LRU-cache med en time-to-live på fem minutter af hensyn til ydeevnen, men skrives aldrig til disk eller gemmes i Redis.

Det tredje lag består af Data Encryption Keys (DEK’er), én per formål: beskeder, filer, optagelser og udskrifter. Hver DEK indpakkes af sin organisations organisationsnøgle. DEK’en er det, der faktisk krypterer og dekrypterer dataene ved hjælp af AES-256-GCM.

Denne lagdelte tilgang betyder, at rotation af en nøgle på ét niveau ikke kræver gen-kryptering af alle data nedenunder. Rotation af organisationsnøglen kræver gen-indpakning af DEK’erne, men ikke gen-kryptering af hver besked. Rotation af en DEK betyder, at nye data krypteres med den nye nøgle, mens gamle data forbliver læsbare med den gamle DEK (som markeres som roteret, men bevares).

Hvordan BYOK fungerer i praksis

Når en organisation aktiverer BYOK, leverer de deres hovednøgle gennem en sikker importproces. Mandraki accepterer en 256-bit AES-nøgle leveret via en sikker kanal. Organisationen er ansvarlig for nøglens livscyklus, backup og tilgængelighed. For organisationer med deres egne HSM’er eller nøglestyringsinfrastruktur kan nøglen genereres eksternt og importeres til Mandraki.

Princippet er ligetil: Mandraki genererer eller lagrer aldrig roden af nøglehierarkiet. Det gør kunden. Hvis kunden tilbagekalder eller tilbageholder sin nøgle, kan Mandraki ikke længere dekryptere nogen af organisationens data. Chifferteksten forbliver i databasen, men den er inert.

Afgørende sker hele nøglestyringsprocessen inden for EU-suveræn infrastruktur. Der er ingen afhængigheder af ikke-europæiske nøglestyringstjenester — ingen eksterne cloud KMS-udbydere, ingen API-kald til tredjelande. Jeres krypteringsnøgler forbliver under jeres kontrol, inden for europæiske grænser.

Konsekvenserne af nøgletilbagekaldelse

Det er her, BYOK bliver en virkelig kraftfuld sikkerhedskontrol, og hvor organisationer skal forstå konsekvenserne tydeligt.

Hvis I tilbagekalder jeres BYOK-nøgle, bliver alle jeres organisations krypterede data permanent utilgængelige. Beskeder kan ikke læses. Vedhæftede filer kan ikke downloades. Opkaldsoptagelser kan ikke afspilles. Udskrifter kan ikke hentes. Dette er ved design — det er hele pointen med BYOK.

Denne kapacitet er særligt relevant for regulerede brancher. En finansvirksomhed underlagt DORA kan over for tilsynsmyndigheder demonstrere, at den bevarer evnen til at gøre alle samarbejdsdata utilgængelige, hvis det er nødvendigt. En sundhedsorganisation kan sikre, at patientnær kommunikation er kryptografisk kontrolleret. En offentlig myndighed kan håndhæve datalivscykluspolitikker gennem nøglestyring i stedet for at stole på en leverandørs sletningsprocesser.

BYOK og AI-funktioner

Mandrakis AI-funktioner — transskription, resumering, smarte svar og optagelsesanalyse — kræver serverside-adgang til klartekst. Når en BYOK-organisation bruger AI-funktioner, dekrypterer behandlingspipelinen data ved hjælp af organisationens nøglehierarki, behandler dem gennem vores AI-modeller (der kører fuldstændigt inden for EU-infrastruktur) og krypterer resultaterne tilbage med organisationens DEK.

BYOK-organisationer er dog automatisk begrænset til forbigående AI-dataopbevaring. Det betyder, at klartekst kun eksisterer i hukommelsen under behandling og ikke persisteres til disk. De AI-genererede output (udskrifter, resuméer) krypteres med organisationens nøgler før lagring, hvilket sikrer, at de falder ind under den samme BYOK-beskyttelse som kildedataene.

Hvis organisationen senere tilbagekalder sin BYOK-nøgle, bliver de krypterede AI-output utilgængelige sammen med alt andet.

Nøglerotation

BYOK betyder ikke statiske nøgler. Organisationer bør rotere deres nøgler regelmæssigt, og Mandraki understøtter dette gennem en ligetil proces.

Når en organisationsnøgle roteres, genereres en ny organisationsnøgle og indpakkes med den nuværende hovednøgle (eller BYOK-nøgle). Eksisterende DEK’er gen-indpakkes med den nye organisationsnøgle. Den gamle organisationsnøgle markeres som roteret og bevares i indpakket form til adgang til historiske data. Nye data bruger nye DEK’er indpakket med den nye organisationsnøgle.

Rotationsprocessen er ikke-forstyrrende. Brugere oplever ingen afbrydelse, og historiske data forbliver tilgængelige gennem den bevarede nøglekæde.

Hvem bør bruge BYOK

BYOK tilføjer operationel kompleksitet. Kunden bliver ansvarlig for nøgletilgængelighed — hvis nøglen mistes, og der ikke er nogen backup, er dataene væk for altid. Dette er en funktion, ikke en fejl, men det kræver modne nøglestyringspraksisser.

Vi anbefaler BYOK for organisationer, der har dedikerede sikkerhedsteams med erfaring i nøglestyring, opererer i regulerede brancher, hvor kryptografisk kontrol er et compliance-krav, har behov for evnen til kryptografisk at afskære adgang til deres data, eller har eksisterende investering i HSM’er eller nøglestyringsinfrastruktur.

For organisationer, der ikke har brug for dette kontrolniveau, giver Mandrakis standardkryptering — hvor vi administrerer hovednøglen — stærk beskyttelse med lavere driftsmæssig byrde. Begge tilstande bruger den samme underliggende AES-256-GCM-kryptering og det samme trelagede nøglehierarki. Den eneste forskel er, hvem der kontrollerer toppen af træet.