
解决现代隐私挑战的新方法
Ironcore Labs产品更新
过去12个月已经忙碌了,用于Ironcore的新产品,新功能,性能,可用性和更多的突飞猛飞机。
如果你喜欢我们,可能会发现这几天很难远离新闻的洪流。在2020年的旋风中,我们想退后一步,并回顾过去一年我们的产品线。
新产品名称
我们最近改变了我们一些核心产品的名称,承认他们已经超过了他们的原始使用案例,具有新功能。
数据控制平台
我们支持基于加密的访问控制的零知识SDK,我们用于调用我们的端到端加密工具包现在是现在的组件数据控制平台。我们造成了一些原因,但其中一个是,虽然从根本上讲,我们所做的是加密,我们也超越了。例如,我们强调审计跟踪,数据管理策略以及提供数据所有者控制其数据的其他方面。

除了客户端用例外,您通常会考虑端到端加密方案,我们还支持服务器端加密和解密,和两者的混合物。通过扩大名称的范围,我们希望人们会考虑更广泛的使用案例,他们希望密切管理和安全数据。
SaaS Shield™️
我们的客户管理钥匙为SaaS产品现已被称为SaaS Shield。与我们的核心平台一样,我们扩大了产品的功能。我们支持客户持有的加密密钥,我们很快就会向Saa客户的安全记录基础架构提供对日志的近实时流的支持。此日志流将首先包含数据访问事件,但很快将被其他有趣的事件加入,这些事件有趣的安全性和合规性原因,例如用户,组和权限的更改。
数据控制策略和编辑器
我们的数据控制平台的一个常用使用是确保只有特定的用户和系统可以看到特定的信息类别。在核心,我们用公钥加密和群体执行此操作。但在更复杂的系统中管理群组可能很麻烦。因此,我们去年发布了初始版本的政策。

数据控制策略允许您使用灵敏度级别标记数据(可自定义,但例如,低/中/高或公共/私有/限制)和类别(也可自定义,但例如,人力资源/财务/合法/健康)。
然后,您可以确定哪些用户(员工甚至客户)应该能够访问灵敏度和类别的每个组合。
直到最近,设置这些策略规则意味着手写配置文件。我们很高兴地宣布,我们现在有一个图形策略编辑器,用于管理员创建和维护其数据策略。

加密字段搜索

在数据控制平台中,Ironcore现在支持在加密数据上进行搜索和过滤,包括子字符搜索。
这是一个巨大的交易。
当我们告诉人们应该加密和控制他们的数据时,我们听到的最常见的事情之一是担心它将变得无用。例如,加密客户的家庭住址听起来很棒,直到有一个企业原因需要有人提取生活在特定城市的所有客户的记录。
以前,您需要维护一个单独的索引,以便通过特定属性(可能泄漏大量敏感数据)来查找记录,或者将所有记录和解密并在客户端中筛选它们。现在,在服务器上可能会发生搜索和过滤操作,而无需服务器即可看到任何未加密的数据。
此功能专门用于搜索通常持有少量数据的字段(大致从单词到段落的段落)。Ironcore尚不支持用于更大的文本大小的安全加密搜索方法,例如完整的文档搜索。
扩展语言和平台支持
我们的目标是为没有紧密控制和保护私人数据的零点零售。我们认为这是如何建造现代应用程序,并且我们希望在任何地方都可以使用这一点。
在这样做,你不应该相信我们。这意味着我们,Ironcore实验室,永远不应该访问或能够访问任何人的私人数据。我们从未看到明文数据或私钥,这意味着所有加密和解密操作都会在客户设备或客户内部的基础架构内发生。因此,我们必须支持各种平台和语言。
我们努力建立广泛的支持。我们投入了大量的时间,金钱和能量,使我们的图书馆便携式。以下是我们当前的支持列表。如果您的首选语言或平台未列出,请与我们交谈。
数据控制平台语言支持
在过去的一年中,我们扩展了我们的语言支持,以便我们现在支持所有这些语言:
- 锈
- java.
- Scala.
- 类型签字
- javascript.
- C ++
- Swift(Beta)
我们支持以下平台:
- Web浏览器(带webassembly)
- nodejs.
- 麦克斯本地
- Linux native.
- Windows Native.
- Android nant.
- ios本地(beta)
SaaS盾牌语言支持
SaaS Shield是一种服务器端加密/解密解决方案,不需要我们的数据控制平台所需的支持广度。但是,我们的SaaS盾牌SDKS可以支持数据控制平台支持的任何语言和环境。如果您想请求支持下面未列出的东西,请联系我们。
运行时间:
- JVM.
- nodejs.
我们支持NodeJS上的TypeScript和JavaScript以及任何JVM语言,包括Java和Scala。这些应该在任何平台上工作,但我们专门测试并支持Linux服务器环境。
无缝私钥旋转
使用Ironcore的数据控制平台,当数据加密到组而不是直接向用户时,始终容易旋转设备键和用户键。使用我们的MultiParty-Computation for Users and组,即使数据直接加密,我们现在也能够为用户旋转私钥,而无需更改已加密的数据。
这种功能的一个关键驱动程序是鸡肉和蛋问题,通常面临端到端加密系统:我们如何将数据加密到尚未生成其密钥的人?
当目标是加密数百万消费者的数据时,这个问题特别讨厌,其中每个消费者的数据被加密到它们,并以可撤销的方式将解密权委托回公司。我们称之为我们的GDPR模式,它有效,但直到最近,我们没有有一种良好的方法来导入现有的数据存储库并一次将其加密到没有现有键的用户。
现在我们可以。
通过私钥旋转,服务器进程可以为用户生成密钥,将其数据加密到公钥,并将解密委托回公司。私钥是使用拆除Ironcore和客户之间信任的模型进行加密和托管。
该过程在部分受损状态下离开用户的键。服务器系统已经看到了这些用户的私钥,如果有人设法捕获这些键,则用户数据会受到损害。请注意,此时,服务器可以看到纯文本,因此我们主要关注对数据的未来更改。
现在,当用户首先登录时,如果为它们生成它们的键时,则旋转其私钥。它们仍然可以访问以前加密的数据,但任何存储在其初始私钥的服务器都会发现它无用。
所有这些都是在引擎盖下完成的,因此用户不需要做任何特殊的事情甚至需要了解钥匙以保持其数据安全。
奖金特色
表现
在去年,我们对SaaS盾牌和数据控制平台进行了很多努力。
对于SaaS Shield,我们将我们的租户安全代理从NodeJS迁移到生锈,并从中获得60%的加速。然后,我们向客户端和服务器中的自动多线程添加了对批量操作的支持。
我们更新了数据控制平台的RUST库以添加异步接口和非阻塞I / O,因此嵌入应用程序可以利用其任务中可用的并行化来实现更高的性能和吞吐量。我们的大多数SDK都来自这个库,因此它们提供了类似的性能增加的机会。
最后,对于数据控制平台,我们添加了公钥的客户端缓存,以便大量批量加密操作(例如初始导入)可以在不进行网络调用的情况下重用公钥。通过缓存键和在线模式运行时,我们的吞吐量现在约为10ms,每次加密操作。我们还提供了对我们库的库的原始基准结果和说明,了解如何自行运行基准。
protobuf支持
我们在数据控制平台中添加了对Protobuf的支持以及用于在这些protobuf中进行分类数据的机制。这款ovetails具有策略功能,并允许在Protobuf定义级别进行数据分类。
记忆保护
Recrypt库,该库,其持有加密例程,该程序在大多数产品中获得了存储器保护技术。在支持的平台上,在可能的情况下,我们能够防止将私钥和纯文本的内存作为内存交换或核心转储的一部分写入磁盘。这更好地保护唯一的秘密,这些秘密是简单的。
回顾和期待
阅读所有这些更新和新功能,我兴奋了我们所取得的成就。我们的团队根据客户的反馈,我们的产品提高了我们的产品,并显示出来。
数据控制平台和SaaS盾牌产品是软件公司面临的许多现代数据隐私挑战的答案。由于这些挑战的发展,我们的产品线也是如此。我们致力于倾听我们的客户,从行业同行学习,并建立一个公司和运动,专注于使世界成为数据控制的更安全的地方。
如果您正在寻找数据隐私游戏或在核心隐私建立下一个应用程序,我们都希望收到您的来信。让我们谈谈。