BYOK: Företagskontroll över krypteringen

För många företags säkerhetsteam är kryptering en nödvändig men inte tillräcklig förutsättning. Den kritiska frågan är inte om data är krypterad, utan vem som har nycklarna. Om plattformstillverkaren kontrollerar krypteringsnycklarna, kan tillverkaren - eller vem som helst som kan tvinga tillverkaren - dekryptera data. Krypteringen finns, men kunden har inte verklig kontroll över den.

Mandrakis BYOK-funktion (“Bring Your Own Key”) tar direkt itu med detta. Den låter organisationer tillhandahålla sina egna krypteringsnycklar, vilket säkerställer att kryptografisk kontroll alltid förblir hos kunden.

Den tre-lagers nyckelhierarki

För att förstå BYOK, hjälper det att förstå Mandrakis övergripande krypteringsarkitektur. Vi använder en kuvertkrypteringsmodell med tre lager.

På toppen sitter Masternyckeln, som skyddar allt under den. I en standarddistribution genererar och hanterar Mandraki denna nyckel. I en BYOK-distribution tillhandahåller kunden den.

Det andra lagret består av organisationsnycklar - en per organisation. Varje organisationsnyckel är krypterad (omsluten) av Masternyckeln och lagras i databasen i sin omsluten form. När den behövs, packas organisationsnyckeln upp i minnet, används och sedan slängs. Uppackade nycklar hålls i en in-memory LRU-cache med en fem-minuters livstid för prestanda, men skrivs aldrig till disk eller lagras i Redis.

Det tredje lagret består av datakrypteringsnycklar (DEK), en per syfte: meddelanden, filer, inspelningar och transkriptioner. Varje DEK är omsluten av organisationsnyckeln. DEK är det som faktiskt krypterar och dekrypterar data med hjälp av AES-256-GCM.

Denna lager-strategi innebär att rotation av en nyckel på ett lager inte kräver omkryptering av all data under det. Rotation av organisationsnyckeln kräver om-omslutning av DEK, men inte omkryptering av varje meddelande. Rotation av en DEK innebär att ny data krypteras med den nya nyckeln, medan gammal data förblir läsbar med den gamla DEK (som markeras som roterad men behålls).

Hur BYOK fungerar i praktiken

När en organisation aktiverar BYOK, tillhandahåller de sin Masternyckel genom en säker importprocess. Mandraki accepterar en 256-bitars AES-nyckel som tillhandahålls via en säker kanal. Organisationen är ansvarig för nyckelns livscykel, säkerhetskopiering och tillgänglighet. För organisationer med egna HSM eller nyckelhanteringsinfrastruktur kan nyckeln genereras externt och importeras till Mandraki.

Principen är enkel: Mandraki genererar eller lagrar aldrig roten till nyckelhierarkin. Kunden gör det. Om kunden återkallar eller vägrar att tillhandahålla sin nyckel, kan Mandraki inte längre dekryptera någon av organisationens data. Ciphertext förblir i databasen, men den är inaktiv.

Viktigt är att hela nyckelhanteringsprocessen sker inom EU-suverän infrastruktur. Det finns inga beroenden av icke-europeiska nyckelhanteringstjänster - inga externa moln-KMS-leverantörer, inga tredjelands-API-samtal. Dina krypteringsnycklar förblir under din kontroll, inom europeiska gränser.

Konsekvenserna av nyckelåterkallande

Här blir BYOK en verkligt kraftfull säkerhetskontroll, och där organisationer behöver förstå konsekvenserna tydligt.

Om du återkallar din BYOK-nyckel, blir all din organisations krypterade data permanent otillgänglig. Meddelanden kan inte läsas. Filtillägg kan inte laddas ner. Inspelningar kan inte spelas upp. Transkriptioner kan inte hämtas. Detta är avsiktligt - det är hela poängen med BYOK.

Denna funktion är särskilt relevant för reglerade branscher. Ett finansföretag som omfattas av DORA kan visa för myndigheterna att det behåller förmågan att göra all samarbetsdata otillgänglig om det behövs. Ett hälsovårdsföretag kan säkerställa att patientrelaterad kommunikation är kryptografiskt kontrollerad. En myndighet kan genomdriva datalivscykelepolicyer genom nyckelhantering snarare än att lita på en leverantörs borttagningsprocesser.

BYOK och AI-funktioner

Mandrakis AI-funktioner - transkription, sammanfattning, smarta svar och inspelningsanalys - kräver server-sidig åtkomst till klartext. När en BYOK-organisation använder AI-funktioner, dekrypterar bearbetningspipelinen data med hjälp av organisationens nyckelhierarki, bearbetar den genom våra AI-modeller (som körs helt inom EU-infrastruktur) och krypterar resultaten tillbaka med organisationens DEK.

Men BYOK-organisationer är automatiskt begränsade till tillfällig AI-data lagring. Detta innebär att klartext existerar i minnet endast under bearbetning och inte bevaras på disk. De AI-genererade utdata (transkriptioner, sammanfattningar) krypteras med organisationens nycklar innan lagring, vilket säkerställer att de omfattas av samma BYOK-skydd som källdata.

Om organisationen senare återkallar sin BYOK-nyckel, blir de krypterade AI-utdata otillgängliga tillsammans med allt annat.

Nyckelrotation

BYOK innebär inte statiska nycklar. Organisationer bör rotera sina nycklar regelbundet, och Mandraki stöder detta genom en enkel process.

När en organisationsnyckel roteras, genereras en ny organisationsnyckel och omsluts med den aktuella Masternyckeln (eller BYOK-nyckeln). Befintliga DEK omsluts om med den nya organisationsnyckeln. Den gamla organisationsnyckeln markeras som roterad och behålls i omsluten form för historisk dataåtkomst. Ny data använder nya DEK omslutna med den nya organisationsnyckeln.

Rotationsprocessen är icke-störande. Användare upplever ingen avbrott, och historisk data förblir tillgänglig genom den behållna nyckelkedjan.

Vem bör använda BYOK

BYOK lägger till operativ komplexitet. Kunden blir ansvarig för nyckeltillgänglighet - om nyckeln förloras och det inte finns någon säkerhetskopia, är data borta för alltid. Detta är en funktion, inte en bugg, men det kräver mogna nyckelhanteringspraxis.

Vi rekommenderar BYOK för organisationer som har dedikerade säkerhetsteam med nyckelhanteringserfarenhet, verkar i reglerade branscher där kryptografisk kontroll är ett efterlevnadskrav, behöver förmågan att kryptografiskt avbryta åtkomst till sina data eller har befintliga investeringar i HSM eller nyckelhanteringsinfrastruktur.

För organisationer som inte behöver den här nivån av kontroll, erbjuder Mandrakis standardkryptering - där vi hanterar Masternyckeln - starkt skydd med lägre operativ overhead. Båda lägena använder samma underliggande AES-256-GCM-kryptering och samma tre-lagers nyckelhierarki. Den enda skillnaden är vem som kontrollerar toppen av trädet.