Cos'è Cifratura a riposo?

I dati a riposo si riferiscono a qualsiasi dato archiviato in modo persistente, in contrapposizione ai dati in transito (che si spostano su una rete) o ai dati in uso (che vengono elaborati in memoria). La cifratura a riposo protegge da minacce come hard disk rubati, accesso non autorizzato al database, nastri di backup compromessi e violazioni del cloud storage.

La cifratura a riposo può essere implementata a diversi livelli. La cifratura dell'intero disco (come BitLocker o LUKS) cifra tutto su un'unità. La cifratura a livello di database (come TDE) cifra i file di dati in modo trasparente. La cifratura a livello applicativo cifra i dati prima di scriverli su qualsiasi archivio, dando all'applicazione pieno controllo su chi detiene le chiavi.

La domanda cruciale per la cifratura a riposo è chi detiene le chiavi. Se lo stesso server che archivia i dati cifrati contiene anche le chiavi di decifratura, una compromissione completa del server espone tutto. L'approccio più robusto separa completamente la gestione delle chiavi dall'archiviazione dei dati, in modo che la compromissione dell'archivio da sola non sia sufficiente per leggere i dati.

Come Vaulted usa Cifratura a riposo

Vaulted offre cifratura a riposo per design. I segreti vengono cifrati con AES-256-GCM nel browser prima di essere inviati al server e archiviati come ciphertext in Redis. La chiave di cifratura non raggiunge mai il server — vive esclusivamente nel frammento URL. Ciò significa che i dati a riposo in Redis sono cifrati con chiavi che esistono in una posizione completamente separata (il link condiviso), garantendo una netta separazione tra archivio cifrato e materiale chiave.