セキュリティと暗号化モデル
Keeperシークレットマネージャーのセキュリティと暗号化モデル
概要
Keeperシークレットマネージャーは、ゼロ知識プラットフォームです。 シークレットの暗号化と復号化は、ksm
アプリケーション、CI/CDプラグイン、開発者用SDKを実行しているクライアントデバイスでローカルに実行されます。
クライアントデバイスの設定ファイル
ksm
アプリケーションのローカルの設定ファイル (keeper.iniなど) は、以下の形式をとります。
このファイルはローカルファイルシステムで保護する必要があります。ファイルには、Keeper APIで認証し、アプリケーションとクライアントデバイスに関連付けられたシークレットを復号化できるキーが含まれています。
設定ファイルの各フィールド
設定名 | 説明 |
---|---|
clientkey | ワンタイムアクセストークン (初回使用後に削除されます (32バイトのランダム値)) |
clientid | クライアントデバイスの一意の識別子 (ワンタイムアクセストークンのHMAC_SHA512ハッシュ) |
privatekey | クライアントデバイスの秘密鍵 (ECC secp256r1) |
appkey | アプリケーションの秘密鍵 (AES-256) |
hostname | 宛先エンドポイント (US、EU、AU、US_GOV) |
serverpublickeyid | 送信ラッパーのKeeper API公開鍵の識別子 |
認証と暗号化
クライアントデバイスは、ハッシュが生成されたワンタイムアクセストークンで1回だけ認証されます。クライアントはペイロードに署名し、初回認証時にクライアントデバイスの公開鍵をサーバーに登録します。初回の認証以降のリクエストは、クライアントデバイスの秘密鍵で署名されます。
KeeperクラウドへのAPIリクエストは、クライアントデバイスの識別子およびクライアントデバイスの秘密鍵で署名されたリクエストのボディと一緒に送信されます。サーバーでは、クライアントデバイスの公開鍵を使用して、指定したクライアントデバイス識別子のリクエストのECDSA署名が照合されます。
クライアントデバイスでは、アプリケーションの秘密鍵を使用してサーバーから受信したレスポンスの暗号文を復号化します。これにより、レコードの鍵と共有フォルダの鍵が復号化されます。共有フォルダの鍵でレコードの鍵を復号化し、レコードの鍵で個々のレコードのシークレットを復号化します。
IP制限によるアクセスの保護
以下のように、デフォルトではクライアントデバイスのプロファイルを作成するとIP制限が有効になります。
このトークンを使用して初期化するクライアントは、IPが固定されます。 IP制限を無効にするには、以下のようなパラメータを追加指定する必要があります。
動的WAN IPを使用する環境にデプロイする場合を除き、IP制限を許可することをお勧めします。
その他の情報
Keeperはゼロ知識セキュリティアーキテクチャとゼロトラストフレームワークを活用した、業界最高水準のセキュリティを採用しています。Keeperのゼロ知識暗号化モデルに関する技術資料については、以下のリンクからご参照になれます。
KeeperはSOC 2 Type 2認証とISO27001認証を取得しています。相互にNDAを締結することで、弊社の認証報告書および技術アーキテクチャのドキュメントの閲覧を要求できます。
脆弱性情報開示プログラム
KeeperはBugcrowdと提携して、脆弱性情報開示プログラムを運営しています。こちらのウェブサイトからレポートを送信するか、security@keepersecurity.comにメールにてお問い合わせください。
最終更新