Zum Hauptinhalt springen

Geheimnis-Tresor

Der Geheimnis-Tresor in Logto wurde entwickelt, um sensible Benutzerdaten – wie Zugangstokens (Access tokens), API-Schlüssel, Zugangscodes oder andere vertrauliche Informationen, die Schutz benötigen – sicher zu speichern. Diese Geheimnisse werden häufig verwendet, um im Namen des Benutzers auf Drittanbieterdienste zuzugreifen, weshalb eine sichere Speicherung unerlässlich ist.

Verschlüsselungsschema

Um sensible Daten zu schützen, verwendet der Geheimnis-Tresor ein robustes Verschlüsselungsschema, das auf Datenverschlüsselungsschlüsseln (DEK) und Schlüsselverschlüsselungsschlüsseln (KEK) basiert.

  • Verschlüsselung pro Geheimnis: Jedes Geheimnis wird mit einem eigenen, einzigartigen DEK verschlüsselt, sodass selbst bei Kompromittierung eines Schlüssels andere Geheimnisse sicher bleiben.
  • Key Wrapping: Der DEK selbst wird mit einem KEK verschlüsselt (oder „umhüllt“), der vom System sicher verwaltet und gespeichert wird.
  • Mehrschichtige Sicherheit: Dieser zweistufige Ansatz stellt sicher, dass selbst bei einem Teilbruch des Systems Angreifer ohne DEK und KEK keinen Zugriff auf die Geheimnisse erhalten.
  • Minimierte Exposition: Geheimnisse werden nur dann entschlüsselt, wenn es absolut notwendig ist. Dadurch wird das Risiko einer versehentlichen Offenlegung verringert und den Best Practices im Umgang mit sensiblen Daten entsprochen.

Dieses mehrschichtige Verschlüsselungsmodell bietet starken Schutz für die sensibelsten Zugangsdaten und Tokens (Tokens) der Benutzer, ermöglicht aber dennoch einen sicheren Zugriff, wenn dies erforderlich ist.

Geheimnistypen

info:

Derzeit ist das föderierte Token-Set der einzige unterstützte Geheimnistyp „out of the box“. Der Geheimnis-Tresor ist jedoch so konzipiert, dass er jede Art von sensiblen Informationen aufnehmen kann. Wenn du Unterstützung für weitere Geheimnistypen benötigst, kontaktiere uns bitte – wir helfen dir gerne weiter.