Bring Your Own Key: Verschlüsselungskontrolle für Unternehmen

Hinweis: Dieser Artikel beschreibt die Architektur und das Design von Mandraki. Einige der besprochenen Funktionen werden schrittweise eingeführt und sind möglicherweise noch nicht in allen Tarifen verfügbar.

Für viele Sicherheitsteams in Unternehmen ist Verschlüsselung eine notwendige, aber keine hinreichende Bedingung. Die entscheidende Frage ist nicht, ob Daten verschlüsselt sind, sondern wer die Schlüssel besitzt. Wenn der Plattformanbieter die Verschlüsselungsschlüssel kontrolliert, dann kann der Anbieter — oder jeder, der den Anbieter zwingen kann — die Daten entschlüsseln. Die Verschlüsselung existiert, aber der Kunde kontrolliert sie nicht wirklich.

Mandrakis Bring Your Own Key (BYOK)-Funktion adressiert dies direkt. Sie ermöglicht es Organisationen, eigene Verschlüsselungsschlüssel bereitzustellen und sicherzustellen, dass die kryptografische Kontrolle jederzeit beim Kunden bleibt.

Die dreischichtige Schlüsselhierarchie

Um BYOK zu verstehen, ist es hilfreich, die gesamte Verschlüsselungsarchitektur von Mandraki zu verstehen. Wir verwenden ein Umschlagverschlüsselungsmodell mit drei Schichten.

Ganz oben sitzt der Master Key, der alles darunter schützt. In einer Standardbereitstellung generiert und verwaltet Mandraki diesen Schlüssel. In einer BYOK-Bereitstellung stellt der Kunde ihn bereit.

Die zweite Schicht besteht aus Organisationsschlüsseln — einer pro Organisation. Jeder Org Key wird vom Master Key verschlüsselt (umhüllt) und in der Datenbank in seiner umhüllten Form gespeichert. Bei Bedarf wird der Org Key im Speicher entschlüsselt, verwendet und dann verworfen. Entschlüsselte Schlüssel werden aus Leistungsgründen in einem In-Memory-LRU-Cache mit einer fünfminütigen Time-to-Live gehalten, aber niemals auf die Festplatte geschrieben oder in Redis gespeichert.

Die dritte Schicht besteht aus Data Encryption Keys (DEKs), einer pro Zweck: Nachrichten, Dateien, Aufzeichnungen und Transkripte. Jeder DEK wird durch den Org Key seiner Organisation umhüllt. Der DEK ist das, was die Daten tatsächlich mit AES-256-GCM ver- und entschlüsselt.

Dieser geschichtete Ansatz bedeutet, dass die Rotation eines Schlüssels auf einer Ebene nicht erfordert, alle darunter liegenden Daten neu zu verschlüsseln. Die Rotation des Org Key erfordert die erneute Umhüllung der DEKs, aber nicht die erneute Verschlüsselung jeder Nachricht. Die Rotation eines DEK bedeutet, dass neue Daten mit dem neuen Schlüssel verschlüsselt werden, während alte Daten mit dem alten DEK lesbar bleiben (der als rotiert markiert, aber aufbewahrt wird).

Wie BYOK in der Praxis funktioniert

Wenn eine Organisation BYOK aktiviert, stellt sie ihren Master Key über einen sicheren Importprozess bereit. Mandraki akzeptiert einen 256-Bit-AES-Schlüssel, der über einen sicheren Kanal bereitgestellt wird. Die Organisation ist für den Lebenszyklus, die Sicherung und die Verfügbarkeit des Schlüssels verantwortlich. Für Organisationen mit eigenen HSMs oder Schlüsselverwaltungsinfrastrukturen kann der Schlüssel extern generiert und in Mandraki importiert werden.

Das Prinzip ist einfach: Mandraki generiert oder speichert niemals die Wurzel der Schlüsselhierarchie. Der Kunde tut dies. Wenn der Kunde seinen Schlüssel widerruft oder zurückhält, kann Mandraki keine Daten dieser Organisation mehr entschlüsseln. Der Chiffretext bleibt in der Datenbank, aber er ist inert.

Entscheidend ist, dass der gesamte Schlüsselverwaltungsprozess innerhalb EU-souveräner Infrastruktur stattfindet. Es gibt keine Abhängigkeiten von nicht-europäischen Schlüsselverwaltungsdiensten — keine externen Cloud-KMS-Anbieter, keine API-Aufrufe an Drittstaaten. Ihre Verschlüsselungsschlüssel bleiben unter Ihrer Kontrolle, innerhalb europäischer Grenzen.

Die Auswirkungen des Schlüsselwiderrufs

Hier wird BYOK zu einer echten Sicherheitskontrolle, und hier müssen Organisationen die Konsequenzen klar verstehen.

Wenn Sie Ihren BYOK-Schlüssel widerrufen, werden alle verschlüsselten Daten Ihrer Organisation dauerhaft unzugänglich. Nachrichten können nicht gelesen werden. Dateianhänge können nicht heruntergeladen werden. Anrufaufzeichnungen können nicht abgespielt werden. Transkripte können nicht abgerufen werden. Dies ist beabsichtigt — es ist der eigentliche Sinn von BYOK.

Diese Fähigkeit ist insbesondere für regulierte Branchen relevant. Ein Finanzdienstleister, der DORA unterliegt, kann den Regulierungsbehörden nachweisen, dass er die Fähigkeit behält, bei Bedarf alle Kollaborationsdaten unzugänglich zu machen. Eine Gesundheitsorganisation kann sicherstellen, dass patientennahe Kommunikation kryptografisch kontrolliert wird. Eine Regierungsbehörde kann Datenlebenszyklusrichtlinien durch Schlüsselverwaltung durchsetzen, anstatt sich auf die Löschprozesse eines Anbieters zu verlassen.

BYOK und KI-Funktionen

Die KI-Funktionen von Mandraki — Transkription, Zusammenfassung, intelligente Antworten und Aufzeichnungsanalyse — erfordern serverseitigen Zugriff auf Klartext. Wenn eine BYOK-Organisation KI-Funktionen nutzt, entschlüsselt die Verarbeitungspipeline die Daten mit der Schlüsselhierarchie der Organisation, verarbeitet sie durch unsere KI-Modelle (die vollständig innerhalb der EU-Infrastruktur laufen) und verschlüsselt die Ergebnisse wieder mit dem DEK der Organisation.

BYOK-Organisationen sind jedoch automatisch auf die transiente KI-Datenaufbewahrung beschränkt. Das bedeutet, dass Klartext nur während der Verarbeitung im Speicher existiert und nicht auf die Festplatte persistiert wird. Die KI-generierten Ausgaben (Transkripte, Zusammenfassungen) werden mit den Schlüsseln der Organisation verschlüsselt, bevor sie gespeichert werden, wodurch sichergestellt wird, dass sie denselben BYOK-Schutz wie die Quelldaten genießen.

Wenn die Organisation später ihren BYOK-Schlüssel widerruft, werden die verschlüsselten KI-Ausgaben zusammen mit allem anderen unzugänglich.

Schlüsselrotation

BYOK bedeutet nicht statische Schlüssel. Organisationen sollten ihre Schlüssel regelmäßig rotieren, und Mandraki unterstützt dies durch einen unkomplizierten Prozess.

Wenn ein Org Key rotiert wird, wird ein neuer Org Key generiert und mit dem aktuellen Master Key (oder BYOK-Schlüssel) umhüllt. Bestehende DEKs werden mit dem neuen Org Key neu umhüllt. Der alte Org Key wird als rotiert markiert und in umhüllter Form für den Zugriff auf historische Daten aufbewahrt. Neue Daten verwenden neue DEKs, die mit dem neuen Org Key umhüllt sind.

Der Rotationsprozess ist störungsfrei. Benutzer erleben keine Unterbrechung, und historische Daten bleiben über die aufbewahrte Schlüsselkette zugänglich.

Wer sollte BYOK verwenden

BYOK erhöht die operative Komplexität. Der Kunde wird für die Schlüsselverfügbarkeit verantwortlich — wenn der Schlüssel verloren geht und kein Backup vorhanden ist, sind die Daten dauerhaft verloren. Dies ist ein Feature, kein Bug, aber es erfordert ausgereifte Schlüsselverwaltungspraktiken.

Wir empfehlen BYOK für Organisationen, die über dedizierte Sicherheitsteams mit Erfahrung in der Schlüsselverwaltung verfügen, in regulierten Branchen tätig sind, in denen kryptografische Kontrolle eine Compliance-Anforderung ist, die Fähigkeit benötigen, den Zugriff auf ihre Daten kryptografisch zu trennen, oder bereits in HSMs oder Schlüsselverwaltungsinfrastrukturen investiert haben.

Für Organisationen, die diese Kontrollstufe nicht benötigen, bietet die Standardverschlüsselung von Mandraki — bei der wir den Master Key verwalten — starken Schutz bei geringerem operativen Aufwand. Beide Modi verwenden dieselbe zugrundeliegende AES-256-GCM-Verschlüsselung und dieselbe dreischichtige Schlüsselhierarchie. Der einzige Unterschied besteht darin, wer die Spitze des Baums kontrolliert.