Bring Your Own Key: encryptiecontrole voor ondernemingen

Opmerking: Dit artikel beschrijft de architectuur en het ontwerp van Mandraki. Sommige besproken functies worden geleidelijk uitgerold en zijn mogelijk nog niet in alle abonnementen beschikbaar.

Voor veel beveiligingsteams van ondernemingen is encryptie een noodzakelijke maar geen voldoende voorwaarde. De cruciale vraag is niet of gegevens versleuteld zijn, maar wie de sleutels in handen heeft. Als de platformleverancier de encryptiesleutels beheert, dan kan de leverancier — of iedereen die de leverancier kan dwingen — de gegevens ontsleutelen. De encryptie bestaat, maar de klant heeft er geen echte controle over.

De Bring Your Own Key (BYOK)-functie van Mandraki pakt dit direct aan. Het stelt organisaties in staat hun eigen encryptiesleutels aan te leveren, zodat de cryptografische controle te allen tijde bij de klant blijft.

De drielaagse sleutelhiërarchie

Om BYOK te begrijpen helpt het om de algehele encryptiearchitectuur van Mandraki te begrijpen. Wij gebruiken een envelopversleutelingsmodel met drie lagen.

Bovenaan staat de Master Key, die alles eronder beschermt. In een standaardimplementatie genereert en beheert Mandraki deze sleutel. In een BYOK-implementatie levert de klant deze.

De tweede laag bestaat uit Organisatiesleutels — één per organisatie. Elke organisatiesleutel wordt versleuteld (gewrapped) door de Master Key en opgeslagen in de database in zijn gewrapte vorm. Wanneer nodig wordt de organisatiesleutel in het geheugen unwrapped, gebruikt en vervolgens weggegooid. Niet-gewrapte sleutels worden in een LRU-cache in het geheugen gehouden met een time-to-live van vijf minuten voor prestaties, maar worden nooit naar schijf geschreven of in Redis opgeslagen.

De derde laag bestaat uit Data Encryption Keys (DEK’s), één per doel: berichten, bestanden, opnamen en transcripties. Elke DEK wordt gewrapped door de organisatiesleutel van die organisatie. De DEK is wat de gegevens daadwerkelijk versleutelt en ontsleutelt met behulp van AES-256-GCM.

Deze gelaagde aanpak betekent dat het roteren van een sleutel op één niveau niet vereist dat alle onderliggende gegevens opnieuw worden versleuteld. Het roteren van de organisatiesleutel vereist dat de DEK’s opnieuw worden gewrapped, maar niet dat elk bericht opnieuw wordt versleuteld. Het roteren van een DEK betekent dat nieuwe gegevens met de nieuwe sleutel worden versleuteld, terwijl oude gegevens leesbaar blijven met de oude DEK (die als geroteerd is gemarkeerd, maar behouden blijft).

Hoe BYOK in de praktijk werkt

Wanneer een organisatie BYOK inschakelt, leveren ze hun Master Key aan via een veilig importproces. Mandraki accepteert een 256-bits AES-sleutel die via een veilig kanaal wordt aangeleverd. De organisatie is verantwoordelijk voor de levenscyclus, back-up en beschikbaarheid van de sleutel. Voor organisaties met hun eigen HSM’s of sleutelbeheerinfrastructuur kan de sleutel extern worden gegenereerd en in Mandraki worden geïmporteerd.

Het principe is eenvoudig: Mandraki genereert of bewaart nooit de wortel van de sleutelhiërarchie. De klant doet dat. Als de klant zijn sleutel intrekt of achterhoudt, kan Mandraki geen enkele gegevens van die organisatie meer ontsleutelen. De cijfertekst blijft in de database staan, maar is inert.

Cruciaal is dat het gehele sleutelbeheerproces plaatsvindt binnen EU-soevereine infrastructuur. Er zijn geen afhankelijkheden van niet-Europese sleutelbeheerdiensten — geen externe cloud-KMS-providers, geen API-aanroepen naar derde landen. Uw encryptiesleutels blijven onder uw controle, binnen de Europese grenzen.

De gevolgen van het intrekken van sleutels

Hier wordt BYOK een werkelijk krachtige beveiligingscontrole, en hier moeten organisaties de gevolgen helder begrijpen.

Als u uw BYOK-sleutel intrekt, worden alle versleutelde gegevens van uw organisatie permanent ontoegankelijk. Berichten kunnen niet meer worden gelezen. Bestandsbijlagen kunnen niet worden gedownload. Gespreksopnamen kunnen niet worden afgespeeld. Transcripties kunnen niet worden opgehaald. Dit is met opzet zo — het is het hele punt van BYOK.

Deze mogelijkheid is bijzonder relevant voor gereguleerde sectoren. Een financiële dienstverlener die onder DORA valt, kan aan toezichthouders aantonen dat hij de mogelijkheid behoudt om alle samenwerkingsgegevens indien nodig ontoegankelijk te maken. Een zorgorganisatie kan ervoor zorgen dat communicatie nabij de patiënt cryptografisch wordt gecontroleerd. Een overheidsorgaan kan beleid voor de gegevenslevenscyclus afdwingen via sleutelbeheer in plaats van te vertrouwen op de verwijderingsprocessen van een leverancier.

BYOK en AI-functies

De AI-functies van Mandraki — transcriptie, samenvatting, slimme antwoorden en opname-analyse — vereisen toegang aan de serverzijde tot leesbare tekst. Wanneer een BYOK-organisatie AI-functies gebruikt, ontsleutelt de verwerkingspijplijn de gegevens met behulp van de sleutelhiërarchie van de organisatie, verwerkt deze via onze AI-modellen (die volledig binnen EU-infrastructuur draaien) en versleutelt de resultaten weer met de DEK van de organisatie.

BYOK-organisaties zijn echter automatisch beperkt tot tijdelijke bewaring van AI-gegevens. Dit betekent dat leesbare tekst alleen tijdens de verwerking in het geheugen bestaat en niet naar schijf wordt geschreven. De door AI gegenereerde uitvoer (transcripties, samenvattingen) wordt vóór opslag versleuteld met de sleutels van de organisatie, zodat deze onder dezelfde BYOK-bescherming valt als de brongegevens.

Als de organisatie later haar BYOK-sleutel intrekt, worden de versleutelde AI-uitvoer en al het andere ontoegankelijk.

Sleutelrotatie

BYOK betekent niet statische sleutels. Organisaties dienen hun sleutels regelmatig te roteren, en Mandraki ondersteunt dit via een eenvoudig proces.

Wanneer een organisatiesleutel wordt geroteerd, wordt een nieuwe organisatiesleutel gegenereerd en gewrapped met de huidige Master Key (of BYOK-sleutel). Bestaande DEK’s worden opnieuw gewrapped met de nieuwe organisatiesleutel. De oude organisatiesleutel wordt als geroteerd gemarkeerd en in gewrapte vorm bewaard voor toegang tot historische gegevens. Nieuwe gegevens gebruiken nieuwe DEK’s die met de nieuwe organisatiesleutel zijn gewrapped.

Het rotatieproces is niet verstorend. Gebruikers ervaren geen onderbreking en historische gegevens blijven toegankelijk via de bewaarde sleutelketen.

Wie moet BYOK gebruiken

BYOK voegt operationele complexiteit toe. De klant wordt verantwoordelijk voor de beschikbaarheid van de sleutel — als de sleutel verloren gaat en er geen back-up is, zijn de gegevens permanent weg. Dit is een eigenschap, geen bug, maar het vereist volwassen sleutelbeheerpraktijken.

Wij raden BYOK aan voor organisaties die toegewijde beveiligingsteams hebben met ervaring in sleutelbeheer, opereren in gereguleerde sectoren waar cryptografische controle een compliance-vereiste is, de mogelijkheid nodig hebben om de toegang tot hun gegevens cryptografisch te verbreken, of bestaande investeringen hebben in HSM’s of sleutelbeheerinfrastructuur.

Voor organisaties die dit niveau van controle niet nodig hebben, biedt de standaardversleuteling van Mandraki — waarbij wij de Master Key beheren — sterke bescherming met lagere operationele overhead. Beide modi gebruiken dezelfde onderliggende AES-256-GCM-versleuteling en dezelfde drielaagse sleutelhiërarchie. Het enige verschil is wie de top van de boom beheert.