Hören Sie auf, .env-Dateien per E-Mail zu verschicken: Ein praktischer Leitfaden für verschlüsselte Vaults

Die vier häufigsten Leak-Pfade:

• Slack-DMs — Onboarding, schnelle Übergaben. Der Suchindex behält sie für immer. • Notion/Confluence-Seiten — jemand machte 2022 eine 'Dev Setup'-Seite mit Produktionswerten. • Plaintext-Postman-Collections — geteilt über Workspace, inklusive Live-Tokens. • Committete .env-Dateien — `git rm` entfernt sie von HEAD, aber sie leben in der Historie.

Keiner davon betrifft einen bösartigen Insider. Alles sind normale Workflow-Abkürzungen, die zu permanenten Artefakten werden.

Bevor Sie ein Tool wählen, benennen Sie die Bedrohungen:

• Ein Junior, der das Unternehmen verlässt und noch seinen Slack-Export auf dem Laptop hat. • Ein Freelancer, der einen Tag Zugriff auf Ihr Notion-Workspace hatte und ein Markdown-Backup behielt. • Ein kompromittierter Entwickler-Laptop, wo ein Infostealer jedes Plaintext-Secret abgegriffen hat.

Verschlüsselte Vaults behandeln alle diese gleich: das Secret ist nie im Klartext im Ruhezustand, also ist ein exfiltrierter Ciphertext wertlos ohne den Vault-Schlüssel.

EnvVault verwendet Fernet (AES-128-CBC mit HMAC-SHA256) für die Secret-Verschlüsselung. Das ist nicht die exotischste Cipher Suite, und genau das ist der Punkt. Fernet ist standardisiert, breit auditiert und unmöglich auf Weisen zu missbrauchen, die unsichere Ausgabe produzieren.

Kritisch: der Vault verwendet einen dedizierten `ENVVAULT_ENCRYPTION_KEY`, nicht das JWT-Signing-Secret der Anwendung. Diese zu teilen ist ein häufiger Fehler: wenn ein Angreifer ein JWT fälscht, entschlüsselt er auch jedes Secret.

Ein Vault für 'alles' ist die falsche Form. Ein Produktions-Secret hat fundamental andere Zugriffsanforderungen als ein Entwicklungs-Secret.

Strukturieren Sie Ihre Vaults als:

• Produktion — nur gelesen von Senior-On-Call, Audit-Log bei jedem Zugriff. • Staging — gelesen von jedem Engineer, geschrieben nur vom Lead. • Entwicklung — jeder kann lesen und schreiben.

Trennung geht nicht nur um Berechtigungen — es geht um Blast-Radius.

Die wichtigste operative Fähigkeit, die ein Vault braucht, ist Schlüsselrotation ohne die Anwendung zu brechen. Die Prozedur:

1. Neuen Schlüssel generieren. Als `current` zum Vault hinzufügen. 2. Den alten Schlüssel als `legacy` behalten. 3. Re-Verschlüsselungs-Durchlauf ausführen: für jedes Secret mit `legacy` entschlüsseln, mit `current` verschlüsseln. 4. Nach Abschluss `legacy` entfernen.

Mit einem Dual-Key-Fenster schlägt nie eine Anfrage wegen einer Rotation fehl.