OmniSafe verwendet eine robuste, mehrschichtige Schlüsselhierarchie und Verschlüsselungsstrategie, um Ihre digitalen Assets zu schützen. Dieser Ansatz stellt sicher, dass selbst wenn eine Sicherheitsschicht kompromittiert wird, nachfolgende Schichten bestehen bleiben, was die Schwierigkeit für jeden Angreifer erheblich erhöht.

Die Schlüsselkomponenten dieser Architektur sind:

  • Master Key (MK) (Hauptschlüssel): Die Vertrauensbasis.
  • Key Encryption Key (KEK) (Schlüsselverschlüsselungsschlüssel): Verschlüsselt die DEKs.
  • Data Encryption Key (DEK) (Datenverschlüsselungsschlüssel): Verschlüsselt Ihre Daten.

Master Key (MK) (Hauptschlüssel): Sicherung des Fundaments der Hierarchie

Der Master Key ist das Fundament der kryptografischen Sicherheit von OmniSafe. Es ist ein Root-Key, der zum Schutz der Key Encryption Keys (KEKs) verwendet wird. Er ist der sensibelste Schlüssel und verschlüsselt niemals direkt Benutzerdaten.

  • Generierung: Generiert mit einem Hardware Security Module (HSM) (Hardware-Sicherheitsmodul) für robuste Entropie und Manipulationssicherheit.
  • Shamir’s Secret Sharing (SSS): Der generierte Master Key wird dann mit Shamir’s Secret Sharing in mehrere Anteile aufgeteilt.
  • Verteilung: Diese Anteile werden unter vertrauenswürdigen Verwaltern verteilt. Für jede Operation ist eine Schwellenanzahl von Anteilen erforderlich.
  • Niemals materialisiert: Der Master Key selbst wird nur während bestimmter Operationen in einer sicheren Umgebung im Speicher materialisiert.

Zweck:

  • Bietet das höchste Sicherheitsniveau: Stellt sicher, dass die KEKs durch einen Schlüssel geschützt sind, der extrem schwer zu kompromittieren ist.
  • Verteilt das Vertrauen: Das SSS-Schema stellt sicher, dass keine einzelne Entität den gesamten Master Key besitzt.

Key Encryption Key (KEK) (Schlüsselverschlüsselungsschlüssel): Schutz des Zugriffs auf Datenverschlüsselungsschlüssel

Der Key Encryption Key (KEK) ist für die Verschlüsselung von Data Encryption Keys (DEKs) verantwortlich. Dieser Ansatz fügt eine robuste Sicherheitsebene hinzu, die sicherstellt, dass selbst wenn ein DEK kompromittiert wird, der Zugriff auf Ihre Daten weiterhin durch den KEK geschützt ist.

  • Generierung: Generiert mit einem kryptografisch sicheren Zufallszahlengenerator (CSRNG). Der KEK muss regelmäßig rotiert werden.
  • Verschlüsselung: Der Key Encryption Key selbst wird durch den Master Key verschlüsselt.
  • Speicherung: Sicher und verteilt in verschlüsselter Form innerhalb des OmniSafe KMS gespeichert.

Zweck:

  • Fügt eine Ebene der Indirektion hinzu: Schützt Daten, indem eine weitere Ebene hinzugefügt wird, die durchbrochen werden muss, um auf die zugrunde liegenden DEKs zuzugreifen.
  • Ermöglicht Schlüsselrotation: Ermöglicht die Rotation von DEKs, wodurch die Gesamtsicherheit erhöht wird.

Data Encryption Key (DEK) (Datenverschlüsselungsschlüssel): Sichern Ihrer sensiblen Daten

Der Data Encryption Key (DEK) wird verwendet, um Ihre sensiblen Daten direkt zu verschlüsseln und zu entschlüsseln. Jedes sensible Datenelement hat seinen eigenen eindeutigen DEK, was die Sicherheit erhöht.

  • Generierung: Der DEK wird für jeden Datensatz eindeutig mit einem sicheren Zufallszahlengenerator generiert.
  • Verschlüsselung: Ihre sensiblen Daten werden mit dem DEK unter Verwendung eines starken symmetrischen Verschlüsselungsalgorithmus (z. B. AES-256) verschlüsselt.
  • Schutz: Der DEK wird mit dem Key Encryption Key (KEK) verschlüsselt und der verschlüsselte DEK wird zusammen mit den verschlüsselten Daten gespeichert.

Zweck:

  • Datenvertraulichkeit: Selbst wenn der zugrunde liegende Speicher kompromittiert wird, bleiben die Daten ohne den DEK unlesbar.
  • Granularer Schutz: Jedes Datenelement ist mit seinem eigenen Schlüssel geschützt, wodurch der Umfang einer potenziellen Kompromittierung begrenzt wird.