Secure Sharing
Del certificerede digitale aktiver med hvem som helst - uden at gå på kompromis med din kryptering. Giv skrivebeskyttet adgang til bestemte versioner af dine filer, mens du bevarer fuld kontrol.
Beta: Secure Sharing er i øjeblikket i beta. Selve krypteringen og adgangskontrollen er fuldt funktionelle, men enkelte funktioner (deling med flere modtagere, massedeling, blockchain-forankrede revisionsspor) er stadig under udvikling.
Hvornår du skal bruge Secure Sharing
Del certificeret indhold med tredjeparter uden at overdrage din konto eller miste kontrollen over dine filer.
Retssager
Del en certificeret revision med modpartens advokat eller en domstol. Vedhæft vilkår og betingelser, de skal acceptere, før de kan se indholdet.
Due diligence
Lad en revisor, investor eller partner gennemgå certificerede dokumenter med et fuldt revisionsspor over, hvem der tilgik hvad og hvornår.
Levering til kunder
Send de endelige leverancer til en kunde med bevis for certificeringens tidsstempel.
Forsikringskrav
Videregiv certificeret bevis til en forsikringsudbyder med kontrolleret, tidsbegrænset adgang.
Gennemgang ved samarbejde
Giv en kollega eller ekstern granskere skrivebeskyttet adgang til en bestemt version uden at dele dine vault-loginoplysninger.
Vælg din delingstilstand
Begge tilstande bruger den samme end-to-end-kryptering. Den eneste forskel er, hvordan dekrypteringsnøglen når frem til modtageren.
Keycard (zero-knowledge)
Den mest sikre mulighed. Bernstein genererer et PDF-keycard, der indeholder en unik adgangsnøgle. Du leverer det selv til modtageren - gennem en hvilken som helst kanal, du har tillid til. Dekrypteringsnøglen rører aldrig Bernsteins servere.
Sådan fungerer det for modtageren:
- 1Du sender dem keycardet (uden for Bernstein) sammen med delings-URL'en.
- 2De åbner delings-URL'en i deres browser.
- 3De anmoder om en verificeringskode sendt til deres e-mail.
- 4De indtaster den 6-cifrede kode for at bevise deres identitet.
- 5De indtaster adgangsnøglen fra keycardet.
- 6Hvis der er vedhæftet vilkår, gennemgår og accepterer de dem.
- 7Indholdet dekrypteres i deres browser - filerne kan ses og downloades.
Direkte deling
Den bekvemme mulighed. Bernstein sender modtageren en e-mail med et sikkert link. Dekrypteringsnøglen er indlejret i URL-fragmentet, som ifølge designet aldrig gemmes på serveren - den forbliver udelukkende i browseren.
Sådan fungerer det for modtageren:
- 1De modtager en e-mail med et link.
- 2De klikker på linket og anmoder om en verificeringskode.
- 3De indtaster den 6-cifrede kode for at bevise deres identitet.
- 4Hvis der er vedhæftet vilkår, gennemgår og accepterer de dem.
- 5Indholdet dekrypteres i deres browser - filerne kan ses og downloades.
At vælge mellem de to
Begge tilstande er end-to-end-krypterede. Vælg ud fra dine sikkerhedskrav og behov for bekvemmelighed.
| Keycard (zero-knowledge) | Direkte deling | |
|---|---|---|
| Nøglelevering | Du leverer den selv (PDF-keycard) | Indlejret i e-maillinket |
| Bekvemmelighed | Kræver et separat overleveringstrin | Ét klik fra e-mailen |
| Servereksponering | Nøglen rører aldrig nogen server | Nøglen passerer gennem e-mail, men gemmes aldrig af Bernstein |
| Bedst til | Meget følsomt indhold, regulerede brancher, maksimal kontrol | Daglig deling, ikke-tekniske modtagere, hastighed |
Tommelfingerregel: Brug Keycard, når indholdet er meget følsomt, og du vil kontrollere hvert trin i nøgleoverleveringen. Brug Direkte deling, når bekvemmelighed betyder noget, og levering via e-mail er acceptabel.
Sådan fungerer krypteringen
Bernstein bruger en tolagsmodel for nøgler til deling, bygget på AES-256-GCM-kryptering via Web Crypto API.
DEK (Data Encryption Key)
Den symmetriske nøgle (AES-256-GCM), der krypterer din revisions indhold. Det er den samme nøgle, der blev brugt, da du oprindeligt certificerede dine filer. Den lever i din browsers krypterede vault og sendes aldrig til serveren i klartekst.
KEK (Key Encryption Key)
En ny symmetrisk nøgle (AES-256-GCM), der genereres i din browser, når du opretter en deling. KEK'en krypterer (indpakker) DEK'en og producerer en indpakket DEK, der kun kan pakkes ud af den, der har KEK'en.
Når du opretter en deling
Generér nøgler
Din browser genererer en tilfældig Key Encryption Key (KEK) og indlæser din revisions Data Encryption Key (DEK) fra din krypterede vault.
Indpak DEK
DEK'en krypteres med KEK'en og producerer en indpakket DEK, der gemmes på serveren.
Levér KEK
I tilstanden Direkte deling indlejres KEK'en i e-maillinkets fragment. I Keycard-tilstand indlejres den i en PDF, der genereres i din browser - aldrig sendt til serveren.
Når modtageren åbner en deling
Hent indpakket DEK
Modtagerens browser henter den krypterede, indpakkede DEK fra serveren.
Pak DEK ud
Ved hjælp af KEK'en (fra URL-fragmentet eller keycardet) pakker browseren DEK'en ud.
Dekryptér indhold
DEK'en dekrypterer revisionens metadata og filindhold. Al dekryptering sker på klientsiden - serveren har aldrig adgang til klarteksten.
Identitetsverificering
Før noget indhold leveres, skal modtageren bevise, at de kontrollerer den e-mailadresse, der er angivet i delingen.
Adgangskontrol
Konfigurér præcis hvordan og hvornår dit delte indhold kan tilgås.
Udløbsdato
Delingen bliver utilgængelig efter denne dato. Lad feltet stå tomt for ingen udløbsdato.
Vilkår og betingelser
Tilføj juridiske vilkår, som modtageren udtrykkeligt skal acceptere, før de kan se indholdet.
Øjeblikkelig tilbagekaldelse
Tilbagekald enhver aktiv deling når som helst. Modtageren mister øjeblikkeligt adgangen - selv hvis deres session stadig er gyldig.
Maks. antal åbninger
Begræns hvor mange gange indholdet kan ses.
Maks. antal downloads
Begræns hvor mange fildownloads der er tilladt.
Vandmærkede forhåndsvisninger
Vis et vandmærke på forhåndsviste filer for ekstra beskyttelse.
Komplet revisionsspor
Hver deling genererer en fuld hændelseslog. For delinger med verificerbart revisionsspor aktiveret kædes hændelserne sammen ved hjælp af SHA-256-hashes, hvilket skaber en manipulationssynlig log.
Hver hændelse registrerer modtagerens IP-adresse og user agent. Du kan eksportere den komplette revisionslog som JSON.
Ofte stillede spørgsmål
Delingen er låst til modtagerens e-mailadresse. Selv hvis en anden får fat i linket, kan de ikke bestå OTP-verificeringstrinnet, fordi koden sendes til den oprindelige modtagers e-mail. I Keycard-tilstand vil de også have brug for keycardet.
Nej. Serveren gemmer kun den krypterede, indpakkede DEK og de krypterede filblobs. Uden KEK'en (som serveren aldrig beholder) kan indholdet ikke dekrypteres. I Keycard-tilstand når KEK'en aldrig engang frem til serveren.
Deres nuværende session ugyldiggøres øjeblikkeligt. Alle efterfølgende anmodninger om indhold eller download afvises. Indhold, der allerede er dekrypteret i deres browser, forbliver tilgængeligt, indtil de lukker fanen, men der kan ikke hentes nye data.
I øjeblikket er hver deling målrettet én modtager. For at dele med flere personer skal du oprette en separat deling til hver. Deling med flere modtagere er på roadmappet.
Du skal oprette en ny deling og generere et nyt keycard. Hvert keycard indeholder en unik nøgle knyttet til en bestemt deling - der er ingen måde at gendanne eller regenerere et mistet keycard på.
Når modtageren har verificeret sin OTP, er deres session gyldig i 24 timer. Derefter skal de verificere igen med en ny OTP for at fortsætte med at tilgå indholdet.
AES-256-GCM til nøglegenerering og indpakning af DEK (via Web Crypto API), AES-256-GCM med initialiseringsvektorer pr. del til filkryptering, kryptografisk sikre tilfældige 6-cifrede OTP-koder og SHA-256-hashkædning til verificerbare revisionsspor.
Nej. Deling er knyttet til en bestemt revision - et certificeret øjebliksbillede af dit projekt. Du skal have mindst én certificeret revision for at oprette en deling.