転送時の暗号化 とは？

データがネットワーク経由で移動するとき、公共インターネット、企業 LAN、クラウドプロバイダーの内部ネットワークなど、ルーター、スイッチ、ロードバランサー、悪意ある中間者を通過します。転送時の暗号化なしでは、ネットワークトラフィックを観察できる人はだれでもデータを読み取り、変更できる可能性があります。

TLS（ウェブトラフィックでは通常 HTTPS として見られます）は転送時の暗号化の標準プロトコルです。非対称鍵交換を使ってクライアントとサーバー間に暗号化されたチャネルを確立し、その後高速な対称暗号化でデータを転送します。TLS は受動的な盗聴、能動的な中間者攻撃、データ改ざんから保護します。

しかし、標準的な TLS 転送時の暗号化には制限があります。サーバーは受信時にデータを復号します。つまり、サーバー運営者はすべてを読み取ることができます。本当に機密性の高いデータの場合、転送時の暗号化はエンドツーエンド暗号化と組み合わせて、データがサーバーに到達した後も暗号化されたままにする必要があります。

Vaulted における 転送時の暗号化 の使われ方

Vaulted は転送時に 2 層の保護を提供します。第 1 に、ブラウザと Vaulted のサーバー間のすべての通信は HTTPS/TLS を使用し、ネットワークチャネルを暗号化します。第 2 に、そしてより重要なことに、データ自体が TLS チャネルに入る前にクライアントサイドで AES-256-GCM を使って暗号化されます。仮に TLS が何らかの形で侵害されても、攻撃者は URL フラグメントの鍵なしには復号できない暗号文のみを取得します。