Sluta maila .env-filer: en praktisk guide till krypterade valv

De fyra vanligaste läckvägarna:

• Slack-DM:er — onboarding, snabba överlämningar. Sökindexet behåller dem för alltid. • Notion/Confluence-sidor — någon gjorde en 'dev setup'-sida 2022 med produktionsvärden. • Plaintext-Postman-samlingar — delade via arbetsytan, inklusive aktiva tokens. • Committade .env-filer — `git rm` tar bort det från HEAD men det lever i historiken.

Ingen av dessa involverar en illvillig insider. Alla är vanliga workflow-genvägar som blir permanenta artefakter.

Innan du väljer verktyg, namnge hoten:

• En junior som lämnar företaget och fortfarande har sin Slack-export på laptopen. • En konsult som hade en dag tillgång till din Notion och behöll en Markdown-backup. • En komprometterad utvecklarlaptop där en infostealer slurpade alla klartexthemligheter. • En Github-token som oavsiktligt inkluderades i en publik gist för tre år sedan.

Krypterade valv hanterar alla dessa på samma sätt: hemligheten är aldrig i klartext i vila, så en exfiltrerad chiffertext är värdelös utan valvnyckeln.

EnvVault använder Fernet (AES-128-CBC med HMAC-SHA256) för hemlighetskryptering. Detta är inte det mest exotiska chiffret, och det är poängen. Fernet är standardiserat, brett auditerat och omöjligt att missbruka på sätt som producerar osäker output.

Kritiskt: valvet använder en dedikerad `ENVVAULT_ENCRYPTION_KEY`, inte applikationens JWT-signeringshemlighet. Att dela dessa är ett vanligt misstag: om en angripare förfalskar en JWT, dekrypterar de också varje hemlighet. Att hålla dem separata betyder att en nyckelkompromiss i ett system inte automatiskt kaskadar.

Ett valv för 'allt' är fel form. En produktionshemlighet har fundamentalt annorlunda åtkomstbehov än en utvecklingshemlighet.

Strukturera dina valv som:

• Produktion — endast läst av senior on-call, auditlogg vid varje åtkomst. • Staging — läst av alla ingenjörer, skrivet av lead. • Utveckling — alla kan läsa och skriva.

Separation handlar inte bara om behörigheter — det handlar om sprängradius. När en utvecklingscredential läcker är produktionen oberörd.

Den enskilt viktigaste operativa kapaciteten ett valv behöver är nyckelrotering som inte bryter applikationen. Proceduren:

1. Generera en ny krypteringsnyckel. Lägg till den i valvet som `current`. 2. Behåll den gamla nyckeln som `legacy`. 3. Kör en omkrypteringsrunda: för varje hemlighet, dekryptera med `legacy`, kryptera med `current`. 4. När omkryptering är klar, ta bort `legacy`.

Med ett dubbel-nyckel-fönster misslyckas aldrig en förfrågan på grund av en rotering. Rotera kvartalsvis.