シークレットの安全な共有

Zoho Vaultでは、組織内の信頼するメンバーとシークレットを安全に共有できます。共有プロセスは、最高レベルの情報セキュリティとプライバシー基準を満たすよう設計されています。

共有プロセスには、Host-Proof HostingとRSA暗号化の両方を採用しており、組織の各ユーザー用にRSAの公開キーと非公開キーが生成されます。組織管理者とユーザーは、「ハンドシェイク」によって共有プロセスを開始します。これはワンタイムプロセスであり、管理者とユーザーがキーを共有します。すべてのキーの生成と共有プロセスはバックグラウンドで実行されるため、介入する必要はありません。共有プロセスのメカニズムに興味がある方は、このまま読み進めてください。

ステップ1:

組織の管理者がZoho Vaultに登録すると、管理者用にRSA公開/非公開キーのペアが生成されます。さらに、「Org Key」という名前の新しいキーも作成されます。「Org Key」はAES 256ビットのキーであり、組織に固有のキーです。管理者の非公開キーは、管理者のパスフレーズを使って暗号化され、Zoho Vaultのデータベースに保存されます。同様に「Org Key」も管理者のRSA公開キーを使って暗号化され、データベースに保存されます。つまり、Zoho Vaultには「管理者の非公開キー」と「Org Key」の暗号化されたキーのみ保存されます。Host-Proof Hostingモデルの場合、管理者のパスフレーズはサーバーのどこにも保存されません。管理者の記憶に残るだけです。

ステップ2:

ユーザーがZoho Vaultに登録すると、各ユーザー用にRSA公開/非公開キーのペアが生成されます。ユーザーの非公開キーは、ユーザー本人のパスフレーズを使って暗号化され、Zoho Vaultのデータベースに保存されます。

ステップ3:

管理者がユーザーと「ハンドシェイク」を実行すると、データベースに保存されている「暗号化されたOrg Key」が取り出され、まず管理者の非公開キーを使って復号されます。その後、「Org Key」が「ユーザーのRSA公開キー」を使って暗号化されます。ユーザーには、この新しい「暗号化されたOrg Key」が共有され、データベースのユーザー専用スペースに保管されます。このプロセスは、Zoho Vaultの各ユーザーに対してそれぞれ実行されます。

ステップ4:

ユーザーがシークレットの共有を試みると、データベースに暗号化されて保存されているユーザーの非公開キーが取り出され、ユーザーのパスフレーズを使って復号されます。次に、管理者がユーザーと共有した「暗号化されたOrg Key」が取り出されます。暗号化されたOrg Keyは、ユーザーの非公開キーを使って復号されます。ここで、共有するパスワードが「Org Key」を使って暗号化されます。

パスワードの共有 - 全体の流れ

ユーザー「ABC」は組織の管理者であり、既存のパスワードを組織内のユーザー5人(A1、A2、A3、A4、A5)と共有すると想定します。

A1、A2、A3、A4、A5がパスワードを取得する方法

共有したパスワードを変更するとどうなりますか?

ユーザーA1がパスワードを変更したと仮定します。

重要:

上で説明したとおり、シークレットの暗号化/復号に使用される「Org Key」は、組織内で共有が行われる間ブラウザーに存在しています。技術的には、技術に精通した誰かがZoho Vaultにログインして「Org Key」を取得することは可能ですが、このキーは保持者がZoho Vaultのデータベースにアクセスしなければ利用できません。Zohoのデータセンターは最新のセキュリティ基準を採用しているため、事実上不可能と言えます。Zoho VaultはHost-Proof Hosting技術を導入しており、Zohoですら「Org Key」にはアクセスできないのです。