Deckhouse Stronghold внедрил аппаратную защиту ключами Рутокен

Российское хранилище секретов Deckhouse Stronghold интегрировало поддержку аппаратных ключей Рутокен ЭЦП 3.0. Теперь корпоративные пароли и API-ключи защищены двойным шифрованием с использованием российских криптографических алгоритмов. Это первое отечественное решение такого класса, работающее с внешними физическими модулями безопасности.

Интеграция позволяет реализовать метод Sealwrap — глубокое двойное шифрование. К стандартному программному алгоритму AES добавляется аппаратный слой защиты. Система поддерживает связки AES с RSA или отечественными стандартами «Кузнечик» и «Магма». Это страхует данные от компрометации: если произойдет утечка программных ключей, информация останется под защитой токена. Если же будет украден PIN-код, данные защитит AES.

Обновление решает проблему хранения мастер-ключа. Раньше для него требовался внешний сервис управления (KMS), теперь ключ можно держать прямо в Deckhouse Stronghold в зашифрованном виде. Прочитать его без физического носителя Рутокен невозможно. По словам разработчиков, такой подход гарантирует безопасность даже при полном доступе злоумышленника к базе данных хранилища.

Линейка Рутокен ЭЦП 3.0 включает USB-токены и смарт-карты, сертифицированные ФСБ и ФСТЭК. Это позволяет использовать решение в государственных информационных системах и при работе с персональными данными. Владимир Девятайкин из Deckhouse отметил, что продукт стал единственным российским хранилищем секретов, которое поддерживает внешние аппаратные модули безопасности и российскую криптографию на таком уровне.