Мы создали «Менеджер секретов», чтобы вы не размещали конфиденциальные данные в коде, а делали это в специальном безопасном месте, к которому приложения обратятся при выполнении операций. На время бета-версии сервис доступен в «Облачной платформе».
Сервис шифрует данные с помощью алгоритма блочного шифрования AES 256.
Это происходит прежде, чем информация сохраняется на диске. В шифровании используется иерархия криптографических ключей.
- DEK — симметричный ключ AES 256-GCM для шифрования данных.
- KEK — ключ для шифрования ключа данных или его еще называют мастер-ключ.
Мастер-ключ не хранится целиком, существует только в памяти и использует схему Шамира для обеспечения безопасности. Ключи DEK, зашифрованные с помощью мастер-ключа KEK, хранятся отдельно.
Чтобы расшифровать данные, сервису нужно расшифровать ключ DEK, для которого требуется мастер-ключ, а затем с помощью этого ключа расшифровать данные.
При извлечении конфиденциальных данных «Менеджер секретов» дешифрует их и передает по безопасному соединению TLS в локальную среду пользователя.