セキュリティと暗号化モデル

概要

Keeper Secrets Managerは、ゼロ知識プラットフォームです。 シークレットの暗号化と復号化は、ksmアプリケーション、CI/CDプラグイン、または開発者用SDKを実行しているクライアントデバイスでローカルに実行されます。

クライアントデバイスの設定ファイル

ksmアプリケーションのローカルの設定ファイル（keeper.iniなど）の構成は以下の形式です。

[_default]
clientkey = XXX
clientid = XXX
privatekey = XXX
appkey = XXX
hostname = US
serverpublickeyid = 10

[_config]
active_profile = _default

このファイルはローカルファイルシステムで保護する必要があります。これには、Keeper APIで認証し、アプリケーションとクライアントデバイスに明示的に関連付けられたシークレットを復号化できる鍵が含まれています。

設定ファイルの各フィールド

認証と暗号化

クライアントデバイスは、ハッシュが生成されたワンタイムアクセストークンで1回だけ認証されます。クライアントはペイロードに署名し、初回認証時にクライアントデバイスの公開鍵をサーバーに登録します。初回の認証以降のリクエストは、クライアントデバイスの秘密鍵で署名されます。

KeeperクラウドへのAPIリクエストは、クライアントデバイスの識別子およびクライアントデバイスの秘密鍵で署名されたリクエストのボディと一緒に送信されます。サーバーは、クライアントデバイスの公開鍵を使用して、指定したクライアントデバイス識別子のリクエストのECDSA署名を照合します。

クライアントデバイスは、アプリケーションの秘密鍵を使用してサーバーから受信したレスポンスの暗号文を復号化します。これにより、記録の鍵と共有フォルダの鍵が復号化されます。共有フォルダの鍵で記録の鍵を復号化し、記録の鍵で個々の記録のシークレットを復号化します。

IP制限によるアクセスの保護

デフォルトでは、クライアントデバイスのプロファイルを作成すると、IP制限が有効になります。

以下に例を示します。

My Vault> secrets-manager client add --app MyApplication

Successfully generated Client Device
====================================

One-Time Access Token:PqwnPcUo2Wc3dv3zvu_zC3nHhNAbNWDfooECWMBTRJM
IP Lock:Enabled
Token Expires On:2021-08-17 21:00:28
App Access Expires on:Never

このトークンを使用して初期化するクライアントは、IPが固定されます。 IP制限を無効にするには、たとえば、以下のようなパラメータを追加指定する必要があります。

My Vault> secrets-manager client add --app MyApplication --unlock-ip

動的WAN IPを使用する環境にデプロイする場合を除き、IP制限を許可することをお勧めします。

その他の情報

Keeperは、ゼロ知識セキュリティアーキテクチャとゼロトラストフレームワークを活用した、業界最高水準のセキュリティを採用しています。Keeperのゼロ知識暗号化モデルに関する技術ドキュメントは、以下のリンクから参照できます。

Keeperの暗号化モデル

Secrets Manager暗号化モデル

セキュリティ情報開示ページ

Keeperは、SOC 2 Type 2認証とISO27001認証を取得しています。お客様は、相互にNDAを締結することで、弊社の認証報告書および技術アーキテクチャのドキュメントの閲覧を要求できます。

脆弱性情報開示プログラム

KeeperはBugcrowdと提携して、脆弱性情報開示プログラムを運営しています。https://bugcrowd.com/keepersecurityからレポートを送信するか、またはsecurity@keepersecurity.comにメールを送信してください。