Pachca
BYOK: Bring Your Own Key в Пачке

BYOK: Bring Your Own Key в Пачке

Как работает шифрование собственным ключом в Пачке

Пачка объединяет удобство SaaS‑платформы с полным контролем над ключами шифрования, обеспечивая конфиденциальность корпоративной переписки и соответствие строгим требованиям безопасности.

Краткое содержание

Пачка поддерживает модель Bring Your Own Key (BYOK) — организация создаёт и управляет собственными ключами шифрования, а мессенджер выполняет крипто‑операции, не обладая доступом к мастер‑ключам. Документ описывает задачи, решаемые BYOK, архитектуру envelope шифрования, сценарии применения, поддерживаемые KMS и детали шифрования разных видов данных.

Зачем нужен BYOK

Что обеспечивает

Как помогает BYOK

Конфиденциальность переписки и файлов

Ключи шифрования остаются в участке инфраструктуры, контролируемом организацией.

Контроль доступа

Администратор может в любой момент отозвать или ротировать ключ и немедленно заблокировать расшифровку данных.

Суверенитет данных

Ключи можно хранить в локальном дата-центре, даже если сами данные размещены где-то ещё.

Полная прозрачность доступа

Демонстрирует «Privacy by Design», аудит операций с ключами и минимизацию доверия к провайдеру.

Как работает: архитектура envelope шифрования

Модель продвинутого шифрования основана на концепции Envelope шифрования. При шифровании Пачка обращается в Key Management Service (KMS) клиента, чтобы сгенерировать Data Encryption Key (DEK) для фрагмента данных и и его шифрованную версию. В базу данных сохраняется только зашифрованный вариант. Когда Пачке нужно получить доступ к зашифрованным данным, он запрашивает у KMS расшифровку ключа данных с помощью мастер-ключа.

Поток операций

Схема потока операций BYOK в Пачке

  1. Передача сообщения. Клиентское приложение отправляет незашифрованный контент по SSL в сервис EKM внутри инфраструктуры Пачки.

  2. Генерация DEK. EKM вызывает Key Management Service клиента, и запрашивает DEK и EDEK на основе предоставленного encryptionContext (чат, организация, время). Возможно реализовать связь через VPN тунель.

  3. Возврат DEK и зашифрованного DEK. KMS возвращает DEK и EDEK; событие записывается в журналы KMS, доступные заказчику.

  4. Шифрование сообщения. EKM мгновенно шифрует контент с использованием DEK; открытый текст более не сохраняется.

  5. Сохранение в БД. EKM удаляет открытый DEK из памяти и сохраняет в базу зашифрованное сообщение + EDEK.

  6. Аудит. Запись об операции wrap/decrypt автоматически поступает в систему логирования клиента, обеспечивая полную трассировку.

Важно: Мастер-ключ никогда не покидает пределы KMS клиента. Расшифрованные ключи шифрования хранятся только в оперативной памяти и никогда не записываются на диск.

Иерархия ключей

Уровень

Назначение

Типичная «длина жизни»

Master Key (ключ клиента в KMS)

Хранится в KMS, содержит политику доступа; используется для вывода KEK.

Годы; ротация редко.
KEK (Key Encryption Key)

Выводится (derive) из Master Key + Encryption Context; задаёт границы доступа (чат, время, организация)

Постоянен для данного контекста; при смене политики может быть пересоздан
DEK (Data Encryption Key)

Шифрует конкретное сообщение или файл

Минуты‑часы; уничтожается сразу после шифрования

Сценарии использования

  1. Полная прозрачность доступа. Журналы KMS и приложения фиксируют каждую операцию расшифровки, что ускоряет расследование инцидентов и повышает доверие клиентов.

  2. Гибкое управление доступом («Kill Switch»). Администратор может мгновенно отключить KEK и сделать историю или её часть недоступной. Это важный элемент стратегии Zero Trust и плана реагирования на инциденты.

  3. Разделение обязанностей (SoD). Служба безопасности управляет ключами, SaaS‑провайдер отвечает за инфраструктуру, а внутреннее ИТ занимается администрированием пользователей.

  4. Контрактные обязательства и аудит. Ключи остаются у компании, что позволяет наглядно подтвердить соблюдение NDA, требований клиентов и условий регуляторных проверок.

Продвинутое шифрование vs Стандартное шифрование

Продвинутое шифрование дополняет стандартное шифрование доступное всем пользователям Пачки.

Состояние данных

Продвинутое шифрование

Стандартное шифрование

В транзите (in transit)

Данные шифруются с использованием управляемых клиентом ключей как можно раньше — на уровне HTTP-прокси или эквивалентной точки входа.

Все взаимодействия с интерфейсом Пачки и API шифруются через стандартные HTTPS и TLS 1.2+ по публичным сетям. Это гарантирует безопасность трафика между вами и Пачкой во время передачи.

В состоянии покоя (at rest)

Данные в базе остаются зашифрованными. Если третья сторона попытается получить доступ к работающей базе, данные будут возвращены в виде шифртекста.

Сервисные данные зашифрованы при хранении в Пачке с использованием ключей AES-256.

В использовании (in use)

Данные остаются зашифрованными даже при использовании и расшифровываются только при наличии конкретного бизнес-кейса. Любые операции расшифровки логируются и могут быть проверены через внешнюю систему SIEM.

Данные извлекаются из хранилищ и обрабатываются в открытом виде (plaintext).

Поддерживаемые KMS (на сегодня)

  • Yandex Key Management Service

  • Cloud.ru

  • HashiCorp Vault. Также дополнительно в отличии от Yandex KMS через ограничения прав через контекст шифрования можно:

    • Ограничить ключ конкретными чатами или списком чатов .
    • Задать временное окно: например, разрешить расшифровку только до определённой даты или в конкретный день.
    • Комбинировать условия (чат + дата/период) в политиках.

Как шифруются разные данные

Сообщения: DEK генерируется на каждое сообщение, либо если переписка идет активно, то на группу сообщений.

Поисковый индекс: Индекс также шифруется через KMS, одним KEK, для обеспечения работы глобального поиска.

Файлы: Шифруются ключом сообщения к которому они принадлежат. Шифрование происходит асинхронно сразу после загрузки файла в хранилище.

Обновлено: 16 сентября 2025 г.

Другие статьи в разделе “Администрирование

Настройка продвинутого шифрования в Пачке
Дополнительная защита ваших данных в мессенджере
Возможности SSO в Пачке
Всё о едином входе. Форматы подключения, инструкции и возможности.
Настройка двухконтурного доступа к файлам в Пачке
Повышаем безопасность внутренних документов
Порты и адреса для корректной работы Пачки
Все, что нужно знать для успешного подключения
Экспорт сообщений из Пачки
Формат, настройки и ограничения экспорта сообщений
Управление участниками пространств в Пачке
Как управлять участниками и что будет, если их исключить
Продвинутое администрирование по API
Возможности Пачки по автоматизации процессов в мессенджере
Групповые теги
Добавляйте сотрудников сразу во все нужные чаты с помощью групповых тегов
Хранилище в Пачке
Всё про хранение файлов
Двухфакторная аутентификация (2FA)
Доп. уровень проверки для входа в аккаунт
Импорт чатов из Slack
Поможем переехать
Аккаунты в Пачке
Как создать аккаунт и чем он отличается от пользователя и профиля
Приглашение команды
Пригласите команду в Пачку: два способа
Смена почты в Пачке
Как изменить почту и кто может это сделать
Ошибки добавления пользователя в Пачку по почте
Разбираем частые ошибки
Вернуться к категории