Tecnología · Key Management
Soberano desde el diseño. Sus claves, no las nuestras.
Nuestro Key Management System custodia contenedores opacos — nunca sus contenidos. La clave maestra vive en sus manos, ligada a hardware, verificada por usted, para siempre fuera de nuestro perímetro de operador.
Gestión soberana de claves
La bóveda que no puede mirar dentro de sí misma.
Cliente
Master Key
Bóveda de contenedores opacos
KMS Vault
Ligado a hardware · la puerta se abre solo hacia fuera
Ciphertext de salida
Opaco · Ilegible
El cliente posee la clave maestra. Siempre.
El servidor custodia contenedores opacos. Nunca el contenido.
Zero-knowledge by design. Ligado a hardware. BYOK en la hoja de ruta.
La puerta de la bóveda se abre únicamente hacia el cliente. Incluso un operador del servidor totalmente comprometido no puede derivar el plaintext — la clave de desempaquetado existe solo en manos del cliente y dentro de límites ligados a hardware.
Identidad ligada a hardware
Confianza enraizada en el hardware, no promesas del operador
Cada clave de identidad de dispositivo está ligada a hardware — Android StrongBox o el Secure Enclave de Apple — y se empareja mediante Trust-On-First-Use, el mismo modelo de primer contacto que emplean Signal y WhatsApp. Las ceremonias completas de atestación HSM por operación, verificables de forma independiente por el cliente, están en nuestra hoja de ruta hacia FIPS 140-3 Level 2.
- Claves de identidad respaldadas por hardware (StrongBox / Secure Enclave) — ya disponible hoy
- Atestaciones firmadas por operación — hoja de ruta
- Ceremonias administrativas basadas en quórum — hoja de ruta
BYOK · Key Wrapping (hoja de ruta)
Bring Your Own Key — próximamente en el Sovereign Server
En el despliegue Sovereign Server, los clientes generarán su propia clave maestra y envolverán (wrap) con ella nuestras claves de cifrado de datos, de modo que ningún operador de BCrypto pueda producir plaintext sin una operación de unwrap activa del lado del cliente. Se trata de un elemento activo de nuestra hoja de ruta, aún no disponible.
- Protocolos de wrapping compatibles con PKCS#11 / KMIP — previsto
- Wrapping híbrido post-cuántico (ML-KEM + AES-256-GCM) — previsto
- Revocación del cliente diseñada para ser inmediata y del lado del servidor
Custodia Zero-Knowledge
La puerta de la cámara se abre hacia fuera, nunca hacia dentro
Contenedores cifrados entran en el KMS. Contenedores cifrados salen del KMS. Nada dentro del servidor puede derivar su plaintext. Nuestro control plane autoriza el movimiento de contenedores y la política de acceso; el data plane nunca ve claves en claro. Las claves de sesión son efímeras y están ligadas a hardware.
- Arquitectura zero-knowledge: compromiso del servidor ≠ compromiso de los datos
- Protocolo de sesión forward-secret con intercambio DH efímero
- Sin backdoors, sin master-recovery, sin superficie de escrow
Sigsum Key Transparency (hoja de ruta)
Claves de identidad, rumbo a un log público verificable
Estamos avanzando hacia un log de transparencia Sigsum — modelado sobre la Certificate Transparency de la web — para que cualquier cliente pueda auditar el log y detectar un servidor que intente inyectar una clave maliciosa en una conversación. Hoy, la confianza de identidad se basa en el emparejamiento Trust-On-First-Use y en la verificación de fingerprint out-of-band; el log público de transparencia está en nuestra hoja de ruta, aún no disponible.
- Log append-only verificable de claves públicas de identidad — hoja de ruta
- Los clientes detectarían sustituciones de claves con independencia del servidor — hoja de ruta
- Emparejamiento de identidad Trust-On-First-Use — ya disponible hoy
Modelo de confianza
TOFU hoy. Niveles INTRODUCED y VERIFIED en la hoja de ruta.
La confianza en los contactos no es binaria. Hoy, Q-Audion utiliza Trust-On-First-Use (TOFU) — el mismo modelo de primer contacto que emplean Signal y WhatsApp — mostrado en la UI en cada llamada. Dos niveles de confianza adicionales están en nuestra hoja de ruta: INTRODUCED (avalado por un contacto ya de confianza) y VERIFIED (coincidencia de fingerprint out-of-band), diseñados para que el protocolo se degrade de forma controlada incluso frente a un compromiso parcial.
- TOFU — clave observada, mostrada en la UI como no verificada — ya disponible hoy
- INTRODUCED — avalado por un contacto de confianza — hoja de ruta
- VERIFIED — coincidencia de fingerprint out-of-band — hoja de ruta
Examine el threat model. Audite el perímetro.
Los equipos de ingeniería y los revisores de compras pueden solicitar el technical brief completo del KMS, incluidos nuestro modelo actual de identidad ligada a hardware y la hoja de ruta BYOK/Sigsum.
Solicitar el technical brief del KMS