자격 증명을 정지 시 및 전송 시 안전하게 유지하도록 설계된 다층 암호화 아키텍처.
모든 민감한 자격 증명은 libsodium을 탑재한 XChaCha20-Poly1305 인증 암호화 알고리즘으로 암호화됩니다. 빠르고 안전하며 타이밍 공격에 내성.
고유한 Data Encryption Key (DEK)가 각 자격 증명을 암호화합니다. DEK 자체는 Key Encryption Key (KEK)로 암호화되어 추가 보호 계층을 제공.
마스터 Key Encryption Key는 데이터베이스 외부에 엄격한 0600 권한의 파일로 저장됩니다. 애플리케이션 프로세스만 읽을 수 있습니다 — 웹 서버나 다른 사용자는 불가.
이메일 자격 증명은 받은편지함의 열쇠입니다. 최고 수준의 주의를 기울여 취급합니다.
공격자가 데이터베이스에 접근하더라도, 암호화된 자격 증명은 파일 시스템에 별도 저장된 KEK 없이는 무가치합니다.
Key Encryption Key는 개별 자격 증명을 재암호화하지 않고도 로테이션할 수 있습니다. 새 DEK는 다음 접근 시 새 KEK로 래핑됩니다.
비밀번호와 OAuth 토큰은 절대 평문으로 저장되지 않습니다. 암호화된 형태로 정적 상태에 존재하며, 이메일 작업이 필요할 때만 메모리에서 복호화됩니다.
XChaCha20-Poly1305는 기밀성과 무결성 모두를 제공 — 암호문의 변조가 감지되고 거부됩니다.
입력하는 순간부터 자격 증명을 보호하는 간단한 3단계 프로세스.
이메일 계정을 추가하면 비밀번호가 HTTPS를 통해 수신되고 즉시 암호화 서비스로 전달됩니다.
자격 증명을 위해 고유한 Data Encryption Key가 생성됩니다. DEK는 XChaCha20-Poly1305를 사용하여 비밀번호를 암호화합니다.
DEK는 마스터 Key Encryption Key로 암호화(래핑)되어 암호문과 함께 저장됩니다. 평문 비밀번호는 폐기됩니다.
Clacks는 암호화 라이브러리 libsodium이 제공하는 XChaCha20-Poly1305 인증 암호화 알고리즘을 사용합니다.
엔벨로프 암호화는 이중 계층 접근 방식입니다. 각 자격 증명은 자체 DEK로 암호화되고, DEK는 마스터 KEK로 암호화됩니다.
예. KEK는 관리자가 로테이션할 수 있습니다. DEK는 다음 접근 시 새 KEK로 재래핑됩니다.