O que é Criptografia em repouso?

Os dados em repouso se referem a quaisquer dados armazenados de forma persistente, em contraste com os dados em trânsito (movimentando-se por uma rede) ou os dados em uso (sendo processados na memória). A criptografia em repouso protege contra ameaças como o roubo de discos rígidos, o acesso não autorizado a bancos de dados, as fitas de backup comprometidas e as violações no armazenamento em nuvem.

A criptografia em repouso pode ser implementada em diferentes camadas. A criptografia de disco completo (como o BitLocker ou o LUKS) criptografa tudo o que há em uma unidade. A criptografia em nível de banco de dados (como o TDE) criptografa os arquivos de dados de forma transparente. A criptografia em nível de aplicação criptografa os dados antes de gravá-los em qualquer armazenamento, dando à aplicação total controle sobre quem possui as chaves.

A pergunta crítica em relação à criptografia em repouso é quem possui as chaves. Se o mesmo servidor que armazena os dados criptografados também armazena as chaves de descriptografia, um comprometimento total do servidor expõe tudo. A abordagem mais robusta separa completamente a gestão de chaves do armazenamento de dados, de modo que comprometer apenas o armazenamento não baste para ler os dados.

Como o Vaulted usa Criptografia em repouso

A Vaulted fornece criptografia em repouso por design. Os segredos são criptografados com AES-256-GCM no navegador antes de serem enviados ao servidor e armazenados como texto cifrado no Redis. A chave de criptografia nunca chega ao servidor: ela reside unicamente no fragmento da URL. Isso significa que os dados em repouso no Redis estão criptografados com chaves que existem em um local completamente separado (o link compartilhado), proporcionando uma separação robusta entre o armazenamento criptografado e o material de chave.