O que é Criptografia em trânsito?

Quando os dados se movem por uma rede — seja a internet pública, uma LAN corporativa ou a rede interna de um provedor de nuvem — eles passam por roteadores, switches, balanceadores de carga e, potencialmente, por intermediários mal-intencionados. Sem a criptografia em trânsito, qualquer pessoa capaz de observar o tráfego de rede pode ler e, potencialmente, modificar os dados.

O TLS (visto comumente como HTTPS no tráfego web) é o protocolo padrão para a criptografia em trânsito. Ele estabelece um canal criptografado entre um cliente e um servidor por meio de uma troca de chaves assimétrica e, em seguida, transmite os dados usando criptografia simétrica rápida. O TLS protege contra a interceptação passiva, os ataques ativos de intermediário (man-in-the-middle) e a adulteração de dados.

No entanto, a criptografia em trânsito padrão do TLS tem uma limitação: o servidor descriptografa os dados ao recebê-los. Isso significa que o operador do servidor consegue ler tudo. Para dados verdadeiramente sensíveis, a criptografia em trânsito deve ser combinada com a criptografia de ponta a ponta, de modo que os dados permaneçam criptografados mesmo depois de chegarem ao servidor.

Como o Vaulted usa Criptografia em trânsito

A Vaulted fornece duas camadas de proteção em trânsito. Primeiro, toda a comunicação entre o seu navegador e o servidor da Vaulted usa HTTPS/TLS, criptografando o canal de rede. Segundo — e mais importante —, os próprios dados são criptografados no lado do cliente com AES-256-GCM antes de entrarem no canal TLS. Assim, mesmo que o TLS fosse de algum modo comprometido, um atacante capturaria apenas texto cifrado que não consegue descriptografar sem a chave do fragmento da URL.