Zum Hauptinhalt springen

Secret Vault

Der Secret Vault in Logto wurde entwickelt, um sensible Benutzerdaten – wie Zugangstokens (Access tokens), API-Schlüssel, Zugangscodes oder andere vertrauliche Informationen, die Schutz benötigen – sicher zu speichern. Diese Geheimnisse werden häufig verwendet, um im Namen des Benutzers auf Drittanbieterdienste zuzugreifen, weshalb eine sichere Speicherung unerlässlich ist.

Verschlüsselungsschema

Um sensible Daten zu schützen, verwendet der Secret Vault ein robustes Verschlüsselungsschema, das auf Data Encryption Keys (DEK) und Key Encryption Keys (KEK) basiert.

  • Verschlüsselung pro Geheimnis: Jedes Geheimnis wird mit einem eigenen, einzigartigen DEK verschlüsselt. Dadurch bleibt selbst bei Kompromittierung eines Schlüssels der Schutz der anderen Geheimnisse erhalten.
  • Key Wrapping: Der DEK selbst wird mit einem KEK verschlüsselt („gewrappt“), der vom System sicher verwaltet und gespeichert wird.
  • Mehrschichtige Sicherheit: Dieser zweistufige Ansatz stellt sicher, dass Angreifer selbst bei einem Teilbruch des Systems ohne DEK und KEK keinen Zugriff auf die Geheimnisse erhalten.
  • Minimierte Exposition: Geheimnisse werden nur dann entschlüsselt, wenn es absolut notwendig ist. Das reduziert das Risiko einer versehentlichen Offenlegung und entspricht den Best Practices im Umgang mit sensiblen Daten.

Dieses mehrschichtige Verschlüsselungsmodell bietet starken Schutz für die sensibelsten Zugangsdaten und Tokens der Benutzer, ermöglicht aber dennoch einen sicheren Zugriff, wenn nötig.

Geheimnistypen

info:

Derzeit ist das Federated token set der einzige unterstützte Geheimnistyp „out of the box“. Der Secret Vault ist jedoch so konzipiert, dass er jede Art von sensiblen Informationen aufnehmen kann. Wenn du Unterstützung für weitere Geheimnistypen benötigst, kontaktiere uns bitte – wir helfen dir gerne weiter.