Czym jest Szyfrowanie w tranzycie?
Szyfrowanie w tranzycie to praktyka szyfrowania danych w trakcie ich podróży między dwoma systemami przez sieć, zazwyczaj implementowana za pomocą TLS (Transport Layer Security) lub jego poprzednika SSL, zapobiegająca podsłuchiwaniu i manipulacji.
Gdy dane przemieszczają się przez sieć — czy to przez publiczny internet, sieć korporacyjną LAN czy wewnętrzną sieć dostawcy chmury — przechodzą przez routery, przełączniki, load balancery i potencjalnie złośliwych pośredników. Bez szyfrowania w tranzycie każdy mogący obserwować ruch sieciowy może odczytywać, a potencjalnie i modyfikować dane.
TLS (widoczny w ruchu webowym jako HTTPS) to standardowy protokół szyfrowania w tranzycie. Ustanawia zaszyfrowany kanał między klientem a serwerem przy użyciu asymetrycznej wymiany kluczy, a następnie przesyła dane przy użyciu szybkiego szyfrowania symetrycznego. TLS chroni przed pasywnym podsłuchem, aktywnymi atakami man-in-the-middle i manipulacją danymi.
Standardowe szyfrowanie TLS w tranzycie ma jednak ograniczenie: serwer odszyfrowuje dane po ich otrzymaniu. Oznacza to, że operator serwera może odczytać wszystko. W przypadku naprawdę wrażliwych danych szyfrowanie w tranzycie powinno być połączone z szyfrowaniem end-to-end, tak by dane pozostawały zaszyfrowane nawet po dotarciu na serwer.
Jak Vaulted używa Szyfrowanie w tranzycie
Vaulted zapewnia dwie warstwy ochrony w tranzycie. Po pierwsze, cała komunikacja między twoją przeglądarką a serwerem Vaulted korzysta z HTTPS/TLS, szyfrując kanał sieciowy. Po drugie — i co ważniejsze — same dane są szyfrowane po stronie klienta algorytmem AES-256-GCM przed wejściem w kanał TLS. Nawet gdyby TLS został w jakiś sposób skompromitowany, atakujący przechwyciłby wyłącznie szyfrogram, którego nie może odszyfrować bez klucza z fragmentu URL.