Bring Your Own Key: controllo aziendale della crittografia

Nota: Questo articolo descrive l’architettura e il design di Mandraki. Alcune funzionalità discusse vengono rilasciate progressivamente e potrebbero non essere ancora disponibili in tutti i piani.

Per molti team di sicurezza aziendale, la crittografia è una condizione necessaria ma non sufficiente. La domanda critica non è se i dati siano crittografati, ma chi detiene le chiavi. Se il fornitore della piattaforma controlla le chiavi di crittografia, allora il fornitore — o chiunque possa costringere il fornitore — può decifrare i dati. La crittografia esiste, ma il cliente non la controlla veramente.

La funzionalità BYOK (Bring Your Own Key) di Mandraki affronta questo direttamente. Permette alle organizzazioni di fornire le proprie chiavi di crittografia, garantendo che il controllo crittografico rimanga sempre presso il cliente.

La gerarchia di chiavi a tre strati

Per comprendere BYOK, è utile capire l’architettura di crittografia complessiva di Mandraki. Utilizziamo un modello di crittografia a busta con tre strati.

In cima si trova la Master Key, che protegge tutto ciò che sta al di sotto. In una distribuzione standard, Mandraki genera e gestisce questa chiave. In una distribuzione BYOK, è il cliente a fornirla.

Il secondo strato è costituito dalle Organisation Keys — una per organizzazione. Ogni Org Key è crittografata (avvolta) dalla Master Key e archiviata nel database nella sua forma avvolta. Quando necessario, la Org Key viene scartata in memoria, utilizzata e poi eliminata. Le chiavi non avvolte sono mantenute in una cache LRU in memoria con un time-to-live di cinque minuti per prestazioni, ma non vengono mai scritte su disco o archiviate in Redis.

Il terzo strato è costituito dalle Data Encryption Keys (DEK), una per scopo: messaggi, file, registrazioni e trascrizioni. Ogni DEK è avvolta dalla Org Key della sua organizzazione. La DEK è ciò che effettivamente cifra e decifra i dati utilizzando AES-256-GCM.

Questo approccio a strati significa che ruotare una chiave a un livello non richiede di ricifrare tutti i dati al di sotto. Ruotare la Org Key richiede di riavvolgere le DEK, ma non di ricifrare ogni messaggio. Ruotare una DEK significa che i nuovi dati vengono cifrati con la nuova chiave, mentre i vecchi dati restano leggibili con la vecchia DEK (che viene contrassegnata come ruotata ma conservata).

Come funziona BYOK nella pratica

Quando un’organizzazione abilita BYOK, fornisce la propria Master Key attraverso un processo di importazione sicuro. Mandraki accetta una chiave AES a 256 bit fornita tramite un canale sicuro. L’organizzazione è responsabile del ciclo di vita, del backup e della disponibilità della chiave. Per le organizzazioni con i propri HSM o infrastrutture di gestione delle chiavi, la chiave può essere generata esternamente e importata in Mandraki.

Il principio è semplice: Mandraki non genera né archivia mai la radice della gerarchia di chiavi. Lo fa il cliente. Se il cliente revoca o trattiene la propria chiave, Mandraki non può più decifrare nessuno dei dati di quell’organizzazione. Il testo cifrato rimane nel database, ma è inerte.

In modo critico, l’intero processo di gestione delle chiavi avviene all’interno di infrastruttura sovrana UE. Non vi sono dipendenze da servizi di gestione delle chiavi non europei — nessun provider KMS cloud esterno, nessuna chiamata API verso paesi terzi. Le Sue chiavi di crittografia rimangono sotto il Suo controllo, all’interno dei confini europei.

Le implicazioni della revoca delle chiavi

È qui che BYOK diventa un controllo di sicurezza genuinamente potente, ed è qui che le organizzazioni devono comprendere chiaramente le conseguenze.

Se revoca la Sua chiave BYOK, tutti i dati crittografati della Sua organizzazione diventano permanentemente inaccessibili. I messaggi non possono essere letti. Gli allegati dei file non possono essere scaricati. Le registrazioni delle chiamate non possono essere riprodotte. Le trascrizioni non possono essere recuperate. Questo è intenzionale — è l’intero scopo di BYOK.

Questa capacità è particolarmente rilevante per i settori regolamentati. Un’azienda di servizi finanziari soggetta a DORA può dimostrare ai regolatori di mantenere la capacità di rendere inaccessibili tutti i dati di collaborazione se necessario. Un’organizzazione sanitaria può garantire che le comunicazioni adiacenti ai pazienti siano sotto controllo crittografico. Un ente governativo può applicare politiche del ciclo di vita dei dati attraverso la gestione delle chiavi anziché affidarsi ai processi di eliminazione di un fornitore.

BYOK e funzionalità IA

Le funzionalità IA di Mandraki — trascrizione, sintesi, risposte intelligenti e analisi delle registrazioni — richiedono l’accesso lato server al testo in chiaro. Quando un’organizzazione BYOK utilizza le funzionalità IA, la pipeline di elaborazione decifra i dati utilizzando la gerarchia di chiavi dell’organizzazione, li elabora attraverso i nostri modelli IA (che girano interamente all’interno dell’infrastruttura UE) e cifra nuovamente i risultati con la DEK dell’organizzazione.

Tuttavia, le organizzazioni BYOK sono automaticamente limitate alla conservazione transitoria dei dati IA. Ciò significa che il testo in chiaro esiste in memoria solo durante l’elaborazione e non viene persistito su disco. Gli output generati dall’IA (trascrizioni, riassunti) vengono cifrati con le chiavi dell’organizzazione prima dell’archiviazione, garantendo che ricadano sotto la stessa protezione BYOK dei dati sorgente.

Se in seguito l’organizzazione revoca la propria chiave BYOK, gli output IA cifrati diventano inaccessibili insieme a tutto il resto.

Rotazione delle chiavi

BYOK non significa chiavi statiche. Le organizzazioni dovrebbero ruotare regolarmente le proprie chiavi, e Mandraki lo supporta attraverso un processo semplice.

Quando una Org Key viene ruotata, viene generata una nuova Org Key e avvolta con la Master Key attuale (o chiave BYOK). Le DEK esistenti vengono riavvolte con la nuova Org Key. La vecchia Org Key viene contrassegnata come ruotata e conservata in forma avvolta per l’accesso ai dati storici. I nuovi dati utilizzano nuove DEK avvolte con la nuova Org Key.

Il processo di rotazione non è disruptivo. Gli utenti non subiscono alcuna interruzione e i dati storici rimangono accessibili attraverso la catena di chiavi conservata.

Chi dovrebbe utilizzare BYOK

BYOK aggiunge complessità operativa. Il cliente diventa responsabile della disponibilità delle chiavi — se la chiave viene persa e non c’è backup, i dati sono persi per sempre. Questa è una caratteristica, non un bug, ma richiede pratiche mature di gestione delle chiavi.

Raccomandiamo BYOK per le organizzazioni che dispongono di team di sicurezza dedicati con esperienza nella gestione delle chiavi, operano in settori regolamentati in cui il controllo crittografico è un requisito di conformità, hanno bisogno della capacità di interrompere crittograficamente l’accesso ai propri dati, o hanno già investito in HSM o infrastrutture di gestione delle chiavi.

Per le organizzazioni che non necessitano di questo livello di controllo, la crittografia standard di Mandraki — in cui gestiamo noi la Master Key — fornisce una protezione robusta con un sovraccarico operativo inferiore. Entrambe le modalità utilizzano la stessa crittografia AES-256-GCM sottostante e la stessa gerarchia di chiavi a tre strati. L’unica differenza è chi controlla la cima dell’albero.