Pular para o conteúdo principal

Cofre de Segredos (Secret Vault)

O Cofre de Segredos no Logto foi projetado para armazenar com segurança dados sensíveis do usuário — como tokens de acesso (Access tokens), chaves de API (API keys), códigos de acesso ou qualquer outra informação confidencial que exija proteção. Esses segredos são frequentemente usados para acessar serviços de terceiros em nome do usuário, tornando o armazenamento seguro essencial.

Esquema de criptografia

Para proteger dados sensíveis, o Cofre de Segredos utiliza um esquema de criptografia robusto baseado em Chaves de Criptografia de Dados (DEK) e Chaves de Criptografia de Chaves (KEK).

  • Criptografia por segredo: Cada segredo é criptografado com sua própria DEK única, garantindo que, mesmo que uma chave seja comprometida, os outros segredos permaneçam seguros.
  • Encapsulamento de chave: A própria DEK é criptografada (ou "encapsulada") com uma KEK, que é gerenciada e armazenada com segurança pelo sistema.
  • Segurança em camadas: Essa abordagem em dois níveis garante que, mesmo que parte do sistema seja violada, os invasores não possam acessar os segredos sem tanto a DEK quanto a KEK.
  • Exposição minimizada: Os segredos são descriptografados apenas quando absolutamente necessário, reduzindo o risco de exposição acidental e alinhando-se com as melhores práticas para o tratamento de dados sensíveis.

Esse modelo de criptografia em camadas oferece forte proteção para as credenciais e tokens mais sensíveis dos usuários, permitindo ainda o acesso seguro quando necessário.

Tipos de segredos

info:

Atualmente, o conjunto de tokens federados (federated token set) é o único tipo de segredo suportado nativamente. No entanto, o Cofre de Segredos foi projetado para acomodar qualquer tipo de informação sensível. Se você precisar de suporte para tipos adicionais de segredos, por favor, entre em contato conosco — teremos prazer em ajudar.