StellarBase
Dokumentation Sicherheit & Compliance Verschlüsselung
Sicherheit & Compliance

Verschlüsselung

Verschlüsselt bei der Übertragung, im Ruhezustand und während der Nutzung. Jedes Byte, jede Grenze. Customer-managed Keys beim Self-Hosting; bei Managed-Bereitstellungen geplant für Q3–Q4 2026.

Bei der Übertragung

Externe Verbindungen

  • Ausschließlich TLS 1.3 auf dem gesamten Ingress. TLS 1.2 deaktiviert.
  • HSTS mit langer max-age
  • Certificate Pinning auf mobilen Clients
  • HTTP Strict Transport Security (HSTS) preloaded auf stellarbase.ai
  • Perfect Forward Secrecy über ECDHE-Cipher

Interner Service Mesh

  • mTLS zwischen jedem internen Dienst
  • Pro-Dienst-Zertifikate werden automatisch rotiert
  • Service Mesh (Istio / Linkerd) erzwingt die Verschlüsselung
  • Kein Klartext-Verkehr im internen Netzwerk

Verbindungen zu Quellsystemen

  • Jeder Konnektor verwendet provider-natives TLS
  • Anmeldedaten (OAuth-Tokens, API-Keys) werden verschlüsselt gespeichert
  • IP-Allowlisting wird für sensible Quellen unterstützt

Im Ruhezustand

Primärdaten

  • Postgres: AES-256-GCM Transparent Data Encryption
  • Object Storage (S3 / MinIO): Server-Side Encryption (SSE-KMS oder SSE-S3)
  • Vector Index: auf Dateisystemebene verschlüsselt
  • Backups: mit einem separaten Schlüssel verschlüsselt zur Abwehr von Cross-Compromise

Pro-Tenant-Isolation

  • Die Daten jedes Tenants werden mit einem separaten Schlüssel auf Tenant-Ebene verschlüsselt
  • Die Kompromittierung des Schlüssels eines Tenants kann die Daten eines anderen Tenants nicht entschlüsseln
  • Schlüsselhierarchie: Data Key → Tenant Key → Master Key (KMS-geschützt)

Audit-Log

Das Audit-Log wird im Ruhezustand in einem Append-only-Speicher mit separaten Schlüsseln verschlüsselt. Die Chain of Custody ist kryptografisch überprüfbar.

Während der Nutzung

„Während der Nutzung“ bedeutet während der Verarbeitung, nicht nur im Ruhezustand und bei der Übertragung:

  • Secrets werden nach Abschluss der Anfrage aus dem Speicher gelöscht
  • GPU-Speicher wird zwischen Anfragen verschiedener Tenants bereinigt
  • Temporäre Dateien (falls vorhanden) werden verschlüsselt und nach Gebrauch gelöscht
  • Logs werden per Pattern Matching + StellarGate von Secrets und PII bereinigt

Schlüsselverwaltung

Managed-Bereitstellungen

Die Schlüssel liegen in einem Managed KMS (AWS KMS / Google CKM / HashiCorp Vault, je nach unserem Rechenzentrum). HSM-backed. Vierteljährliche Schlüsselrotation gemäß Richtlinie. Unveränderlicher Audit-Trail für jede Schlüsseloperation.

Selbst gehostete Bereitstellungen

Bring your own KMS. Unterstützte Backends:

  • HashiCorp Vault
  • AWS KMS / Google CKM / Azure Key Vault (für in der Cloud bereitgestelltes Self-Hosting)
  • PKCS#11-HSMs (On-Premise)
  • Thales CipherTrust
  • Gemalto SafeNet

Sie steuern die Rotationskadenz, die Zugriffsrichtlinie und den Notfall-Widerruf.

Customer-managed Keys (BYOK)

🛠 In active development — Q3–Q4 2026. Customer-managed Keys (BYOK) bei Managed-Bereitstellungen sind für Q3–Q4 2026 geplant; angeboten in Enterprise-Tarifen.

Für Kunden, die auch bei Managed-Bereitstellungen Kontrolle über die Schlüssel benötigen, ist BYOK in Enterprise-Tarifen verfügbar. Ihr Schlüssel umschließt den Tenant Key; wir sehen Ihr rohes Schlüsselmaterial niemals.

Schlüsselrotation

EbeneStandardrotation
TLS-Zertifikate90 Tage (Let’s Encrypt) oder gemäß Ihrer CA
Service-Mesh-Certs24 Stunden
Data Encryption KeysVierteljährlich
Master KeyJährlich
API-Keys / TokensVom Kunden konfiguriert; wir empfehlen vierteljährlich

Schlüsselwiderruf

🛠 Ready in Q4 2026. Der Widerruf einzelner Anmeldedaten funktioniert bereits heute. Runbooks für Tenant-Scope- und Full-System-Widerruf sind in Q4 2026 bereit.

Der Notfall-Schlüsselwiderruf ist ein dokumentiertes Runbook. Scope-Optionen:

  • Einzelne Anmeldedaten — ein API-Key wird widerrufen, alles andere bleibt unberührt
  • Tenant — der gesamte Zugriff auf verschlüsselte Daten eines Tenants wird blockiert
  • Gesamtes System — der Master Key wird widerrufen, die Daten sind unlesbar, bis der Schlüssel wiederhergestellt ist (nur bei bestätigtem Sicherheitsvorfall verwenden)

Entschlüsselungs-Audit

Jeder Entschlüsselungsvorgang wird protokolliert. Eine Musteranalyse schlägt bei ungewöhnlichem Zugriff Alarm (außerhalb der Geschäftszeiten, von ungewöhnlichen Standorten, in ungewöhnlichen Mengen).

Kryptografische Entscheidungen

Wir bevorzugen weit verbreitete, gut auditierte Primitive:

  • AES-256-GCM für symmetrische Verschlüsselung
  • RSA-4096 oder ECDSA P-384 für asymmetrische
  • SHA-256 / SHA-3 für Hashing
  • Argon2id für das Hashing von Passwörtern (sofern zutreffend)
  • TLS 1.3 mit modernen Ciphersuites

Keine eigene Kryptografie. Keine „neuartigen“ Verfahren. Nichts, das nicht mindestens fünf Jahre lang öffentlich begutachtet wurde.

Verwandte Themen