Geçici Gizli Bilgiler nedir?

Geçici gizli bilgilerin arkasındaki prensip şudur: hassas veriyi korumanın en iyi yolu, artık ihtiyaç duyulmadığında onun var olmadığından emin olmaktır. Bir gizli bilgi kalıcı olduğu her an olası bir hedef oluşturur: bir ihlalde keşfedilebilir, yetkisiz bir kullanıcı tarafından erişilebilir ya da yedek veya günlük dosyası aracılığıyla sızdırılabilir.

Geçici gizli bilgiler, kalıcı API anahtarları veya statik parolalar gibi uzun ömürlü kimlik bilgilerinin karşıtıdır. Kalıcı kimlik bilgileri kullanışlı olsa da zamanla risk biriktirir. Bir yıl önce oluşturulup Slack üzerinden paylaşılan bir API anahtarı, sohbet geçmişlerinde, yedeklerde ve o kanaldan bu yana katılan herkese bir yıllık maruziyet süresine sahiptir. Tek bir devir teslim için kullanılan ve ardından imha edilen geçici bir kimlik bilgisi çok daha küçük bir saldırı yüzeyine sahiptir.

Geçici gizli bilgilerdeki zorluk, imhanın gerçek ve eksiksiz olduğundan emin olmaktır. Bir mesajlaşma uygulamasındaki mesajı silmek, onu sunucu yedeklerinden kaldırmayabilir. Bir dosyayı bulut sürücüsünden silmek, onu geri dönüşüm kutusunda bırakabilir. Etkili geçici sistemler, şifrelemeyi silme işlemiyle birleştirir; böylece şifreli verinin kalıntıları hayatta kalsa bile anahtar materyali imha edilmiş olur.

Vaulted Geçici Gizli Bilgiler nasıl kullanır

Vaulted'daki her gizli bilgi, tasarım gereği geçicidir. Gizli bilgiler maksimum görüntüleme sayısıyla (1, 3, 5, 10 veya sınırsız) ve TTL son kullanma süresiyle (en fazla 30 gün) oluşturulur. Redis, görüntüleme sayılarını atomik olarak izler ve limit aşıldığında şifreli kaydı siler. TTL, görüntülemelerden bağımsız olarak otomatik son kullanmayı sağlar. Redis'ten silindikten sonra şifreli metin yok olur; şifreli metin olmadan URL parçasındaki anahtar işe yaramaz hale gelir — gizli bilgi kalıcı olarak imha edilmiş olur.