Bring Your Own Key: Korporacyjna kontrola nad szyfrowaniem

Uwaga: Ten artykuł opisuje architekturę i koncepcję projektową Mandraki. Niektóre omawiane funkcje są wdrażane stopniowo i mogą być jeszcze niedostępne we wszystkich planach.

Dla wielu zespołów bezpieczeństwa w przedsiębiorstwach szyfrowanie jest warunkiem koniecznym, ale niewystarczającym. Kluczowe pytanie nie brzmi, czy dane są szyfrowane, lecz kto przechowuje klucze. Jeśli klucze szyfrowania kontroluje dostawca platformy, to dostawca — lub każdy, kto może go przymusić — może odszyfrować dane. Szyfrowanie istnieje, lecz klient w istocie nie ma nad nim kontroli.

Funkcja Bring Your Own Key (BYOK) w Mandraki odpowiada na to wprost. Pozwala organizacjom dostarczyć własne klucze szyfrowania, gwarantując, że kontrola kryptograficzna pozostaje w rękach klienta przez cały czas.

Trójwarstwowa hierarchia kluczy

Aby zrozumieć BYOK, warto zrozumieć ogólną architekturę szyfrowania Mandraki. Używamy modelu szyfrowania kopertowego z trzema warstwami.

Na samej górze znajduje się Klucz Główny (Master Key), który chroni wszystko poniżej. W standardowym wdrożeniu Mandraki generuje i zarządza tym kluczem. We wdrożeniu BYOK dostarcza go klient.

Druga warstwa składa się z Kluczy Organizacji — jednego na organizację. Każdy Klucz Organizacji jest szyfrowany (opakowany) Kluczem Głównym i przechowywany w bazie danych w formie opakowanej. W razie potrzeby Klucz Organizacji jest rozpakowywany w pamięci, używany, a następnie odrzucany. Rozpakowane klucze są przechowywane w pamięciowej pamięci podręcznej LRU z pięciominutowym czasem życia ze względów wydajnościowych, lecz nigdy nie są zapisywane na dysku ani przechowywane w Redisie.

Trzecia warstwa to Klucze Szyfrowania Danych (DEK), po jednym na cel: wiadomości, pliki, nagrania i transkrypty. Każdy DEK jest opakowany Kluczem Organizacji właściwym dla organizacji. To właśnie DEK rzeczywiście szyfruje i odszyfrowuje dane za pomocą AES-256-GCM.

To warstwowe podejście oznacza, że rotacja klucza na jednym poziomie nie wymaga ponownego szyfrowania wszystkich danych pod nim. Rotacja Klucza Organizacji wymaga ponownego opakowania DEK-ów, ale nie ponownego szyfrowania każdej wiadomości. Rotacja DEK oznacza, że nowe dane są szyfrowane nowym kluczem, podczas gdy stare dane pozostają czytelne starym DEK-iem (który jest oznaczony jako zrotowany, lecz nadal przechowywany).

Jak BYOK działa w praktyce

Gdy organizacja włącza BYOK, dostarcza swój Klucz Główny poprzez bezpieczny proces importu. Mandraki przyjmuje 256-bitowy klucz AES dostarczony bezpiecznym kanałem. Organizacja jest odpowiedzialna za cykl życia klucza, jego kopię zapasową oraz dostępność. Dla organizacji posiadających własne HSM-y lub infrastrukturę zarządzania kluczami klucz może zostać wygenerowany zewnętrznie i zaimportowany do Mandraki.

Zasada jest prosta: Mandraki nigdy nie generuje ani nie przechowuje korzenia hierarchii kluczy. Robi to klient. Jeśli klient odwoła lub zatrzyma swój klucz, Mandraki nie może już odszyfrować żadnych danych tej organizacji. Szyfrogram pozostaje w bazie, lecz jest bezużyteczny.

Co istotne, cały proces zarządzania kluczami odbywa się w obrębie suwerennej infrastruktury UE. Nie ma zależności od poza‑europejskich usług zarządzania kluczami — żadnych zewnętrznych dostawców KMS w chmurze, żadnych wywołań API z państw trzecich. Państwa klucze szyfrowania pozostają pod Państwa kontrolą, w granicach europejskich.

Konsekwencje odwołania klucza

To tutaj BYOK staje się prawdziwie potężną kontrolą bezpieczeństwa, i tutaj organizacje muszą jasno zrozumieć konsekwencje.

Jeśli odwołają Państwo swój klucz BYOK, wszystkie zaszyfrowane dane Państwa organizacji stają się trwale niedostępne. Wiadomości nie da się odczytać. Załączników nie da się pobrać. Nagrań połączeń nie da się odtworzyć. Transkryptów nie da się odzyskać. To zamierzone — to cały sens BYOK.

Ta zdolność jest szczególnie istotna dla branż regulowanych. Firma świadcząca usługi finansowe podlegająca DORA może wykazać regulatorom, że zachowuje możliwość uczynienia wszystkich danych do współpracy niedostępnymi w razie potrzeby. Organizacja opieki zdrowotnej może zapewnić, że komunikacja związana z pacjentami pozostaje pod kontrolą kryptograficzną. Organ administracji publicznej może egzekwować polityki cyklu życia danych poprzez zarządzanie kluczami, a nie poprzez zaufanie do procesów usuwania danych dostawcy.

BYOK a funkcje AI

Funkcje AI Mandraki — transkrypcja, podsumowywanie, inteligentne odpowiedzi i analiza nagrań — wymagają dostępu serwera do treści w postaci zwykłego tekstu. Gdy organizacja BYOK korzysta z funkcji AI, potok przetwarzania odszyfrowuje dane przy użyciu hierarchii kluczy organizacji, przetwarza je przez nasze modele AI (działające w całości na infrastrukturze UE) i ponownie szyfruje wyniki kluczem DEK organizacji.

Niemniej jednak organizacje BYOK są automatycznie ograniczone do przejściowego przechowywania danych AI. Oznacza to, że zwykły tekst istnieje w pamięci wyłącznie podczas przetwarzania i nie jest trwale zapisywany na dysku. Wyniki generowane przez AI (transkrypty, podsumowania) są szyfrowane kluczami organizacji przed zapisaniem, co zapewnia objęcie ich tą samą ochroną BYOK co dane źródłowe.

Jeśli organizacja później odwoła swój klucz BYOK, zaszyfrowane wyniki AI stają się niedostępne, podobnie jak cała reszta danych.

Rotacja kluczy

BYOK nie oznacza statycznych kluczy. Organizacje powinny regularnie rotować swoje klucze, a Mandraki wspiera to przez prosty proces.

Gdy Klucz Organizacji jest rotowany, generowany jest nowy Klucz Organizacji i opakowywany aktualnym Kluczem Głównym (lub kluczem BYOK). Istniejące DEK-i są ponownie opakowywane nowym Kluczem Organizacji. Stary Klucz Organizacji jest oznaczony jako zrotowany i zachowywany w formie opakowanej dla dostępu do danych historycznych. Nowe dane używają nowych DEK-ów opakowanych nowym Kluczem Organizacji.

Proces rotacji jest niezakłócający. Użytkownicy nie odczuwają żadnej przerwy w działaniu, a dane historyczne pozostają dostępne dzięki zachowanemu łańcuchowi kluczy.

Kto powinien używać BYOK

BYOK dodaje złożoności operacyjnej. Klient staje się odpowiedzialny za dostępność klucza — jeśli klucz zostanie utracony i nie ma kopii zapasowej, dane są stracone trwale. To cecha, a nie błąd, lecz wymaga dojrzałych praktyk zarządzania kluczami.

Rekomendujemy BYOK dla organizacji, które mają dedykowane zespoły bezpieczeństwa z doświadczeniem w zarządzaniu kluczami, działają w branżach regulowanych, w których kontrola kryptograficzna jest wymogiem zgodności, potrzebują możliwości kryptograficznego odcięcia dostępu do swoich danych lub mają istniejące inwestycje w HSM-y bądź infrastrukturę zarządzania kluczami.

Dla organizacji, które nie potrzebują tego poziomu kontroli, standardowe szyfrowanie Mandraki — w którym my zarządzamy Kluczem Głównym — zapewnia silną ochronę przy mniejszym obciążeniu operacyjnym. Oba tryby używają tego samego bazowego szyfrowania AES-256-GCM i tej samej trójwarstwowej hierarchii kluczy. Jedyną różnicą jest to, kto kontroluje szczyt drzewa.