End-to-end-krypteret

Secure Sharing

Del certificerede digitale aktiver med hvem som helst - uden at gå på kompromis med din kryptering. Giv skrivebeskyttet adgang til bestemte versioner af dine filer, mens du bevarer fuld kontrol.

Beta: Secure Sharing er i øjeblikket i beta. Selve krypteringen og adgangskontrollen er fuldt funktionelle, men enkelte funktioner (deling med flere modtagere, massedeling, blockchain-forankrede revisionsspor) er stadig under udvikling.

Hvornår du skal bruge Secure Sharing

Del certificeret indhold med tredjeparter uden at overdrage din konto eller miste kontrollen over dine filer.

Retssager

Retssager

Del en certificeret revision med modpartens advokat eller en domstol. Vedhæft vilkår og betingelser, de skal acceptere, før de kan se indholdet.

Due diligence

Due diligence

Lad en revisor, investor eller partner gennemgå certificerede dokumenter med et fuldt revisionsspor over, hvem der tilgik hvad og hvornår.

Levering til kunder

Levering til kunder

Send de endelige leverancer til en kunde med bevis for certificeringens tidsstempel.

Forsikringskrav

Forsikringskrav

Videregiv certificeret bevis til en forsikringsudbyder med kontrolleret, tidsbegrænset adgang.

Gennemgang ved samarbejde

Gennemgang ved samarbejde

Giv en kollega eller ekstern granskere skrivebeskyttet adgang til en bestemt version uden at dele dine vault-loginoplysninger.

To tilstande

Vælg din delingstilstand

Begge tilstande bruger den samme end-to-end-kryptering. Den eneste forskel er, hvordan dekrypteringsnøglen når frem til modtageren.

Keycard (zero-knowledge)

Den mest sikre mulighed. Bernstein genererer et PDF-keycard, der indeholder en unik adgangsnøgle. Du leverer det selv til modtageren - gennem en hvilken som helst kanal, du har tillid til. Dekrypteringsnøglen rører aldrig Bernsteins servere.

Sådan fungerer det for modtageren:

  • 1
    Du sender dem keycardet (uden for Bernstein) sammen med delings-URL'en.
  • 2
    De åbner delings-URL'en i deres browser.
  • 3
    De anmoder om en verificeringskode sendt til deres e-mail.
  • 4
    De indtaster den 6-cifrede kode for at bevise deres identitet.
  • 5
    De indtaster adgangsnøglen fra keycardet.
  • 6
    Hvis der er vedhæftet vilkår, gennemgår og accepterer de dem.
  • 7
    Indholdet dekrypteres i deres browser - filerne kan ses og downloades.

Direkte deling

Den bekvemme mulighed. Bernstein sender modtageren en e-mail med et sikkert link. Dekrypteringsnøglen er indlejret i URL-fragmentet, som ifølge designet aldrig gemmes på serveren - den forbliver udelukkende i browseren.

Sådan fungerer det for modtageren:

  • 1
    De modtager en e-mail med et link.
  • 2
    De klikker på linket og anmoder om en verificeringskode.
  • 3
    De indtaster den 6-cifrede kode for at bevise deres identitet.
  • 4
    Hvis der er vedhæftet vilkår, gennemgår og accepterer de dem.
  • 5
    Indholdet dekrypteres i deres browser - filerne kan ses og downloades.

At vælge mellem de to

Begge tilstande er end-to-end-krypterede. Vælg ud fra dine sikkerhedskrav og behov for bekvemmelighed.

Keycard (zero-knowledge)Direkte deling
NøgleleveringDu leverer den selv (PDF-keycard)Indlejret i e-maillinket
BekvemmelighedKræver et separat overleveringstrinÉt klik fra e-mailen
ServereksponeringNøglen rører aldrig nogen serverNøglen passerer gennem e-mail, men gemmes aldrig af Bernstein
Bedst tilMeget følsomt indhold, regulerede brancher, maksimal kontrolDaglig deling, ikke-tekniske modtagere, hastighed

Tommelfingerregel: Brug Keycard, når indholdet er meget følsomt, og du vil kontrollere hvert trin i nøgleoverleveringen. Brug Direkte deling, når bekvemmelighed betyder noget, og levering via e-mail er acceptabel.

Kryptografi

Sådan fungerer krypteringen

Bernstein bruger en tolagsmodel for nøgler til deling, bygget på AES-256-GCM-kryptering via Web Crypto API.

DEK (Data Encryption Key)

DEK (Data Encryption Key)

Den symmetriske nøgle (AES-256-GCM), der krypterer din revisions indhold. Det er den samme nøgle, der blev brugt, da du oprindeligt certificerede dine filer. Den lever i din browsers krypterede vault og sendes aldrig til serveren i klartekst.

KEK (Key Encryption Key)

KEK (Key Encryption Key)

En ny symmetrisk nøgle (AES-256-GCM), der genereres i din browser, når du opretter en deling. KEK'en krypterer (indpakker) DEK'en og producerer en indpakket DEK, der kun kan pakkes ud af den, der har KEK'en.

Når du opretter en deling

1

Generér nøgler

Din browser genererer en tilfældig Key Encryption Key (KEK) og indlæser din revisions Data Encryption Key (DEK) fra din krypterede vault.

2

Indpak DEK

DEK'en krypteres med KEK'en og producerer en indpakket DEK, der gemmes på serveren.

3

Levér KEK

I tilstanden Direkte deling indlejres KEK'en i e-maillinkets fragment. I Keycard-tilstand indlejres den i en PDF, der genereres i din browser - aldrig sendt til serveren.

Når modtageren åbner en deling

1

Hent indpakket DEK

Modtagerens browser henter den krypterede, indpakkede DEK fra serveren.

2

Pak DEK ud

Ved hjælp af KEK'en (fra URL-fragmentet eller keycardet) pakker browseren DEK'en ud.

3

Dekryptér indhold

DEK'en dekrypterer revisionens metadata og filindhold. Al dekryptering sker på klientsiden - serveren har aldrig adgang til klarteksten.

Identitetsverificering

Før noget indhold leveres, skal modtageren bevise, at de kontrollerer den e-mailadresse, der er angivet i delingen.

  • En 6-cifret engangskode (OTP) sendes til deres e-mail
  • Koden udløber efter 10 minutter
  • Efter 5 mislykkede forsøg låses sessionen
  • Når den er verificeret, er sessionens token gyldigt i 24 timer
Fuld kontrol

Adgangskontrol

Konfigurér præcis hvordan og hvornår dit delte indhold kan tilgås.

Udløbsdato

Delingen bliver utilgængelig efter denne dato. Lad feltet stå tomt for ingen udløbsdato.

Vilkår og betingelser

Tilføj juridiske vilkår, som modtageren udtrykkeligt skal acceptere, før de kan se indholdet.

Øjeblikkelig tilbagekaldelse

Tilbagekald enhver aktiv deling når som helst. Modtageren mister øjeblikkeligt adgangen - selv hvis deres session stadig er gyldig.

Kommer snart

Maks. antal åbninger

Begræns hvor mange gange indholdet kan ses.

Kommer snart

Maks. antal downloads

Begræns hvor mange fildownloads der er tilladt.

Kommer snart

Vandmærkede forhåndsvisninger

Vis et vandmærke på forhåndsviste filer for ekstra beskyttelse.

Komplet revisionsspor

Hver deling genererer en fuld hændelseslog. For delinger med verificerbart revisionsspor aktiveret kædes hændelserne sammen ved hjælp af SHA-256-hashes, hvilket skaber en manipulationssynlig log.

Hver hændelse registrerer modtagerens IP-adresse og user agent. Du kan eksportere den komplette revisionslog som JSON.

  • Invitation sendt eller keycard genereret
  • OTP sendt og verificeret
  • Vilkår accepteret
  • Hver filvisning eller download
  • Deling tilbagekaldt

Ofte stillede spørgsmål

Delingen er låst til modtagerens e-mailadresse. Selv hvis en anden får fat i linket, kan de ikke bestå OTP-verificeringstrinnet, fordi koden sendes til den oprindelige modtagers e-mail. I Keycard-tilstand vil de også have brug for keycardet.

Nej. Serveren gemmer kun den krypterede, indpakkede DEK og de krypterede filblobs. Uden KEK'en (som serveren aldrig beholder) kan indholdet ikke dekrypteres. I Keycard-tilstand når KEK'en aldrig engang frem til serveren.

Deres nuværende session ugyldiggøres øjeblikkeligt. Alle efterfølgende anmodninger om indhold eller download afvises. Indhold, der allerede er dekrypteret i deres browser, forbliver tilgængeligt, indtil de lukker fanen, men der kan ikke hentes nye data.

I øjeblikket er hver deling målrettet én modtager. For at dele med flere personer skal du oprette en separat deling til hver. Deling med flere modtagere er på roadmappet.

Du skal oprette en ny deling og generere et nyt keycard. Hvert keycard indeholder en unik nøgle knyttet til en bestemt deling - der er ingen måde at gendanne eller regenerere et mistet keycard på.

Når modtageren har verificeret sin OTP, er deres session gyldig i 24 timer. Derefter skal de verificere igen med en ny OTP for at fortsætte med at tilgå indholdet.

AES-256-GCM til nøglegenerering og indpakning af DEK (via Web Crypto API), AES-256-GCM med initialiseringsvektorer pr. del til filkryptering, kryptografisk sikre tilfældige 6-cifrede OTP-koder og SHA-256-hashkædning til verificerbare revisionsspor.

Nej. Deling er knyttet til en bestemt revision - et certificeret øjebliksbillede af dit projekt. Du skal have mindst én certificeret revision for at oprette en deling.

Klar til at dele sikkert?

Begynd at dele certificerede digitale aktiver med end-to-end-kryptering. Ingen kompromiser på sikkerheden.