Bring Your Own Key: Controlo Empresarial da Cifragem

Nota: Este artigo descreve a arquitetura e o design do Mandraki. Algumas funcionalidades discutidas estão a ser disponibilizadas progressivamente e poderão ainda não estar disponíveis em todos os planos.

Para muitas equipas de segurança empresarial, a cifragem é uma condição necessária, mas não suficiente. A questão crítica não é se os dados estão cifrados, mas sim quem detém as chaves. Se o fornecedor da plataforma controla as chaves de cifragem, então o fornecedor — ou qualquer pessoa que possa coagir o fornecedor — pode decifrar os dados. A cifragem existe, mas o cliente não a controla verdadeiramente.

A funcionalidade Bring Your Own Key (BYOK) do Mandraki responde diretamente a isto. Permite que as organizações forneçam as suas próprias chaves de cifragem, garantindo que o controlo criptográfico permanece sempre com o cliente.

A hierarquia de chaves em três camadas

Para compreender o BYOK, ajuda compreender a arquitetura geral de cifragem do Mandraki. Usamos um modelo de cifragem de envelope com três camadas.

No topo encontra-se a Master Key, que protege tudo o que está abaixo. Numa implementação padrão, o Mandraki gera e gere esta chave. Numa implementação BYOK, é o cliente que a fornece.

A segunda camada é constituída pelas Organisation Keys — uma por organização. Cada Org Key é cifrada (encapsulada) pela Master Key e armazenada na base de dados na sua forma encapsulada. Quando necessária, a Org Key é desencapsulada em memória, utilizada e depois descartada. As chaves desencapsuladas são mantidas numa cache LRU em memória, com um tempo de vida de cinco minutos para efeitos de desempenho, mas nunca são escritas em disco nem armazenadas no Redis.

A terceira camada é constituída por Data Encryption Keys (DEKs), uma por finalidade: mensagens, ficheiros, gravações e transcrições. Cada DEK é encapsulada pela Org Key da respetiva organização. A DEK é o que efetivamente cifra e decifra os dados, usando AES-256-GCM.

Esta abordagem em camadas significa que rodar uma chave num nível não obriga a recifrar todos os dados abaixo dele. Rodar a Org Key obriga a reencapsular as DEKs, mas não a recifrar cada mensagem. Rodar uma DEK significa que os novos dados são cifrados com a nova chave, enquanto os dados antigos continuam legíveis com a DEK antiga (que é marcada como rodada, mas mantida).

Como o BYOK funciona na prática

Quando uma organização ativa BYOK, fornece a sua Master Key através de um processo de importação seguro. O Mandraki aceita uma chave AES de 256 bits fornecida através de um canal seguro. A organização é responsável pelo ciclo de vida da chave, pela sua cópia de segurança e pela sua disponibilidade. Para organizações com os seus próprios HSMs ou infraestrutura de gestão de chaves, a chave pode ser gerada externamente e importada no Mandraki.

O princípio é simples: o Mandraki nunca gera nem armazena a raiz da hierarquia de chaves. É o cliente que o faz. Se o cliente revogar ou retiver a sua chave, o Mandraki deixa de poder decifrar quaisquer dados dessa organização. O texto cifrado permanece na base de dados, mas fica inerte.

Crucialmente, todo o processo de gestão de chaves ocorre dentro de infraestrutura soberana da UE. Não há dependências de serviços de gestão de chaves não europeus — sem fornecedores externos de KMS em nuvem, sem chamadas a APIs em países terceiros. As suas chaves de cifragem permanecem sob o seu controlo, dentro das fronteiras europeias.

As implicações da revogação de chaves

É aqui que o BYOK se torna um controlo de segurança verdadeiramente poderoso, e onde as organizações precisam de compreender as consequências com clareza.

Se revogar a sua chave BYOK, todos os dados cifrados da sua organização tornam-se permanentemente inacessíveis. As mensagens não podem ser lidas. Os anexos de ficheiros não podem ser descarregados. As gravações de chamadas não podem ser reproduzidas. As transcrições não podem ser recuperadas. Isto é intencional — é a razão de ser do BYOK.

Esta capacidade é particularmente relevante para indústrias reguladas. Uma empresa de serviços financeiros sujeita ao DORA pode demonstrar aos reguladores que mantém a capacidade de tornar inacessíveis todos os dados de colaboração, se necessário. Uma organização de saúde pode garantir que as comunicações adjacentes aos doentes estão sob controlo criptográfico. Um organismo governamental pode impor políticas de ciclo de vida dos dados através da gestão de chaves, em vez de confiar nos processos de eliminação do fornecedor.

BYOK e funcionalidades de IA

As funcionalidades de IA do Mandraki — transcrição, sumarização, respostas inteligentes e análise de gravações — requerem acesso do lado do servidor a texto simples. Quando uma organização com BYOK utiliza funcionalidades de IA, o pipeline de processamento decifra os dados usando a hierarquia de chaves da organização, processa-os através dos nossos modelos de IA (executados inteiramente em infraestrutura da UE) e volta a cifrar os resultados com a DEK da organização.

Contudo, as organizações com BYOK são automaticamente restringidas a retenção transitória de dados de IA. Isto significa que o texto simples existe em memória apenas durante o processamento e não é persistido em disco. Os resultados gerados por IA (transcrições, resumos) são cifrados com as chaves da organização antes do armazenamento, garantindo que ficam sob a mesma proteção BYOK que os dados de origem.

Se a organização revogar mais tarde a sua chave BYOK, os resultados de IA cifrados tornam-se inacessíveis juntamente com tudo o resto.

Rotação de chaves

BYOK não significa chaves estáticas. As organizações devem rodar as suas chaves regularmente, e o Mandraki suporta isto através de um processo simples.

Quando uma Org Key é rodada, é gerada uma nova Org Key e encapsulada com a Master Key atual (ou chave BYOK). As DEKs existentes são reencapsuladas com a nova Org Key. A Org Key antiga é marcada como rodada e mantida em forma encapsulada para acesso a dados históricos. Os novos dados utilizam novas DEKs encapsuladas com a nova Org Key.

O processo de rotação não causa disrupção. Os utilizadores não sentem qualquer interrupção e os dados históricos permanecem acessíveis através da cadeia de chaves mantida.

Quem deve utilizar BYOK

O BYOK acrescenta complexidade operacional. O cliente passa a ser responsável pela disponibilidade da chave — se a chave for perdida e não houver cópia de segurança, os dados desaparecem permanentemente. Isto é uma característica, não um defeito, mas exige práticas maduras de gestão de chaves.

Recomendamos BYOK a organizações que tenham equipas de segurança dedicadas com experiência em gestão de chaves, operem em indústrias reguladas onde o controlo criptográfico seja um requisito de conformidade, necessitem da capacidade de cortar criptograficamente o acesso aos seus dados, ou que tenham investimento existente em HSMs ou infraestrutura de gestão de chaves.

Para as organizações que não precisam deste nível de controlo, a cifragem padrão do Mandraki — em que nós gerimos a Master Key — fornece proteção robusta com menor sobrecarga operacional. Ambos os modos utilizam a mesma cifragem subjacente AES-256-GCM e a mesma hierarquia de chaves em três camadas. A única diferença é quem controla o topo da árvore.