Compartilhamento seguro de segredos

O Zoho Vault permite que você compartilhe segredos com segurança entre os membros confiáveis de sua organização. O processo de compartilhamento foi projetado para acompanhar os padrões mais altos de segurança e privacidade das informações.

O processo de compartilhamento aproveita a hospedagem com teste de host e a criptografia RSA. As chaves públicas e privadas RSA são geradas para cada usuário de sua organização. O administrador da organização e os usuários "apertam as mãos" para iniciar o processo de compartilhamento. Durante o cumprimento, que é um processo único, as chaves são compartilhadas entre o administrador e os usuários. Todos os processos de geração e compartilhamento de chaves acontecem em segundo plano, sem a necessidade de qualquer intervenção manual. Se você está curioso para saber como podemos fazer o processo de compartilhamento, leia:

Passo 1:

Quando o administrador da organização se inscreve no Zoho Vault, o par de chaves pública/privada é gerado para ele. Além disso, uma nova chave chamada "org key" é criada. A "org key" é uma chave AES de 256 bits, que é exclusiva para cada organização. A chave privada do administrador da organização é criptografada usando-se a frase-senha do administrador e armazenada no banco de dados do Zoho Vault. Da mesma forma, a "org key" também é criptografada usando-se a chave pública RSA do administrador da organização e armazenada no banco de dados. Portanto, o Zoho Vault somente armazena as chaves criptografadas "chave privada do administrador da organização" e "org key". De acordo com o modelo de hospedagem com teste de host, a frase-senha do administrador da organização não é armazenada em nenhum lugar no servidor. Ela permanece apenas na memória do administrador da organização.

Passo 2:

Quando os usuários da sua organização se inscrevem no Zoho Vault, o par de chaves pública/privada é gerado para cada um deles. A chave privada do usuário é criptografada com sua frase-senha, e armazenada no banco de dados do Zoho Vault.

Passo 3:

Quando o administrador da organização "cumprimenta" o usuário da organização, a "chave da organização criptografada" armazenada no banco de dados é recuperada e é primeiramente descriptografada usando-se a chave privada do administrador da organização. Em seguida, a "chave da organização" é criptografada usando-se "Chave pública RSA do usuário", e essa nova "Chave da organização criptografada" é compartilhada com o usuário e armazenada no seu espaço no banco de dados. Esse processo é feito para cada usuário do Zoho Vault.

Passo 4:

Quando o usuário tenta compartilhar um segredo, primeiro, a chave privada do usuário, armazenada em formato criptografado no banco de dados, é recuperada e depois descriptografada usando-se a frase-senha do usuário. Em seguida, a "chave da organização criptografada" compartilhada com o usuário pelo administrador é recuperada. A chave da organização criptografada é descriptografada usando-se a chave privada do usuário. A senha a ser compartilhada agora é criptografada usando-se a "chave da organização".

Compartilhamento de senhas – Fluxo de eventos

Vamos supor que um usuário "ABC" seja o administrador na organização e queira compartilhar uma das suas senhas com, digamos, cinco outros usuários da organização: A1, A2, A3, A4, A5.

Como A1, A2, A3, A4 A5 recuperam senhas?

O que acontece quando uma senha compartilhada é alterada?

Vamos supor que o usuário A1 altere a senha.

Observação importante:

Como você deve ter observado no fluxo acima, a "chave da organização", usada para criptografar/descriptografar os segredos compartilhados, reside no navegador quando o compartilhamento é usado na organização. Tecnicamente falando, é possível que uma pessoa experiente em tecnologia recupere a "chave da organização" quando estiver conectada ao Zoho Vault. No entanto, a chave poderá ser explorada somente se o titular obtiver acesso ao banco de dados do Zoho Vault. Como os datacenters da Zoho seguem as normas de ponta de segurança, isso é praticamente impossível. Como o Zoho Vault segue a tecnologia de hospedagem com teste de host, é impossível, mesmo para a Zoho, acessar a "chave da organização".