Ключи, подписи и HSM
Управление ключами реестра и подписание критичных операций
Ключи, подписи и HSM
Безопасность цифровых активов полностью зависит от сохранности приватных ключей. В платформе Манитон реализована модель, исключающая нахождение приватных ключей в открытом виде на серверах приложений.
1. Архитектура подписания (Transaction Signing)
Мы используем внешний сервис подписи, сопряженный с аппаратным модулем безопасности (HSM) или облачным KMS (Yandex KMS / Vault).
2. Модель угроз (Threat Model)
| Угроза | Мера защиты |
|---|---|
| Компрометация сервера CFA-Core | Хакер получает доступ к коду, но не к ключам. Он может попытаться отправить запрос на подпись, но сработают лимиты (Rate Limiting) и аномальный мониторинг на Signer Service. |
| Инсайдер (Администратор) | Ключи в HSM помечены как non-exportable. Извлечь их невозможно. Использование ключа требует 2FA и логируется. |
| Подмена транзакции | Signer Service проверяет декодированную транзакцию (валидирует to, value, data) перед отправкой в HSM. Нельзя подписать "что угодно". |
3. Управление жизненным циклом (Key Lifecycle)
-
Генерация (Key Ceremony): Ключи генерируются внутри HSM в присутствии комиссии (Security Officer, Auditor, Admin). Создается Master Key, который разделяется на части (Shamir's Secret Sharing) и хранится в сейфах.
-
Использование: Приложения используют только
KeyID(alias). Сами байты ключа никогда не покидают границы криптографического модуля. -
Ротация: Ключи для подписи блоков (Validator Keys) ротируются раз в 3 месяца. Ключи эмитента (Issuer Keys) ротируются при смене ответственных лиц или по расписанию (раз в год).
-
Уничтожение: При выводе оборудования из эксплуатации ключи криптографически стираются.