Passer au contenu principal

Modèle

Workspace

Ton organisation. Possède une clé de chiffrement, des membres, des réglages de sécurité.

Set

Un groupe de clés par projet ou environnement (dev, staging, prod).

Clé

Une clé API : nom, valeur chiffrée, domaine autorisé, expiration.

Chiffrement (envelope encryption)

Deux niveaux de clés :
  • KEK (MASTER_ENCRYPTION_KEY) : la clé maîtresse, côté serveur.
  • DEK : une clé AES-256 unique par workspace, stockée chiffrée par la KEK.
Une clé API est chiffrée en AES-256-GCM avec le DEK de son workspace. L’IV est aléatoire à chaque chiffrement, le tag GCM garantit l’authenticité.
Si la KEK fuit, il faut quand même chaque DEK pour lire. Si un DEK fuit, un seul workspace est touché. La rotation est possible sans tout re-chiffrer.

Statut & coupe-circuit

Un set peut être désactivé (INACTIVE) : ses secrets ne sont plus servis, ni via le CLI, ni via le reveal web. Coupe-circuit instantané et réversible.

Règle d’or

Une valeur de secret n’est jamais loggée, ni en clair, ni dans les logs proxy. Seuls les noms apparaissent.