Saltar al contenido principal

Bóveda de secretos (Secret Vault)

La Bóveda de secretos en Logto está diseñada para almacenar de forma segura datos sensibles de los usuarios, como tokens de acceso (Access tokens), claves de API (API keys), códigos de acceso o cualquier otra información confidencial que requiera protección. Estos secretos suelen utilizarse para acceder a servicios de terceros en nombre del usuario, por lo que el almacenamiento seguro es esencial.

Esquema de cifrado

Para proteger los datos sensibles, la Bóveda de secretos emplea un robusto esquema de cifrado basado en Claves de cifrado de datos (DEK) y Claves de cifrado de claves (KEK).

  • Cifrado por secreto: Cada secreto se cifra con su propia DEK única, lo que garantiza que, incluso si una clave se ve comprometida, los demás secretos permanezcan seguros.
  • Envoltorio de claves: La propia DEK se cifra (o "envuelve") con una KEK, que es gestionada y almacenada de forma segura por el sistema.
  • Seguridad en capas: Este enfoque de dos niveles garantiza que, incluso si una parte del sistema se ve comprometida, los atacantes no puedan acceder a los secretos sin tanto la DEK como la KEK.
  • Exposición minimizada: Los secretos solo se descifran cuando es absolutamente necesario, reduciendo el riesgo de exposición accidental y alineándose con las mejores prácticas para el manejo de datos sensibles.

Este modelo de cifrado en capas proporciona una fuerte protección para las credenciales y tokens más sensibles de los usuarios, permitiendo al mismo tiempo el acceso seguro cuando sea necesario.

Tipos de secretos

info:

Actualmente, el conjunto de tokens federados (Federated token set) es el único tipo de secreto compatible de forma nativa. Sin embargo, la Bóveda de secretos está diseñada para adaptarse a cualquier tipo de información sensible. Si necesitas soporte para tipos de secretos adicionales, por favor contáctanos — estaremos encantados de ayudarte.