Czym jest Szyfrowanie w spoczynku?
Szyfrowanie w spoczynku to praktyka przechowywania danych w zaszyfrowanej postaci na trwałych nośnikach — takich jak dyski, bazy danych lub nośniki kopii zapasowych — dzięki czemu dane pozostają chronione nawet gdy nośnik zostanie skompromitowany.
Dane w spoczynku to wszelkie dane przechowywane trwale, w odróżnieniu od danych w tranzycie (przemieszczających się przez sieć) lub danych w użyciu (przetwarzanych w pamięci). Szyfrowanie w spoczynku chroni przed zagrożeniami takimi jak kradzież dysków twardych, nieautoryzowany dostęp do baz danych, skompromitowane taśmy z kopiami zapasowymi i naruszenia w chmurze.
Szyfrowanie w spoczynku można implementować na różnych poziomach. Pełne szyfrowanie dysku (jak BitLocker lub LUKS) szyfruje wszystko na dysku. Szyfrowanie na poziomie bazy danych (jak TDE) szyfruje pliki danych transparentnie. Szyfrowanie na poziomie aplikacji szyfruje dane przed zapisaniem do dowolnego nośnika, dając aplikacji pełną kontrolę nad tym, kto trzyma klucze.
Kluczowe pytanie przy szyfrowaniu w spoczynku dotyczy tego, kto przechowuje klucze. Jeśli ten sam serwer, który przechowuje zaszyfrowane dane, trzyma również klucze deszyfrowania, pełne skompromitowanie serwera ujawnia wszystko. Najsilniejsze podejście całkowicie oddziela zarządzanie kluczami od przechowywania danych, tak by samo skompromitowanie nośnika było niewystarczające do odczytania danych.
Jak Vaulted używa Szyfrowanie w spoczynku
Vaulted zapewnia szyfrowanie w spoczynku z założenia projektowego. Sekrety są szyfrowane algorytmem AES-256-GCM w przeglądarce przed wysłaniem na serwer i przechowywane jako szyfrogramy w Redis. Klucz szyfrowania nigdy nie dociera do serwera — żyje wyłącznie we fragmencie URL. Oznacza to, że dane w spoczynku w Redis są szyfrowane kluczami istniejącymi w zupełnie innym miejscu (w udostępnionym linku), co zapewnia silne rozdzielenie zaszyfrowanego nośnika od materiału klucza.