Veilig delen
Deel gecertificeerde digitale bestanden met iedereen - zonder uw versleuteling te compromitteren. Verleen alleen-lezen toegang tot specifieke versies van uw bestanden met behoud van volledige controle.
Bèta: Veilig delen is momenteel in bèta. De kern van de versleuteling en toegangscontrole is volledig functioneel, maar sommige functies (delen met meerdere ontvangers, bulk delen, blockchain-verankerde audittrails) zijn nog in ontwikkeling.
Wanneer Veilig delen gebruiken
Deel gecertificeerde inhoud met derden zonder uw account over te dragen of de controle over uw bestanden te verliezen.
Juridische procedures
Deel een gecertificeerde revisie met de tegenpartij of een rechtbank. Voeg voorwaarden toe die zij moeten accepteren voordat ze kunnen bekijken.
Due diligence
Laat een auditor, investeerder of partner gecertificeerde documenten beoordelen met een volledig auditspoor van wie wat heeft bekeken en wanneer.
Levering aan klanten
Stuur definitieve deliverables naar een klant met bewijs van het certificeringstijdstempel.
Verzekeringsclaims
Leg gecertificeerd bewijs voor aan een verzekeraar met gecontroleerde, tijdgebonden toegang.
Samenwerking en beoordeling
Geef een collega of externe beoordelaar alleen-lezen toegang tot een specifieke versie, zonder uw kluis-inloggegevens te delen.
Kies uw deelmodus
Beide modi gebruiken dezelfde end-to-end versleuteling. Het enige verschil is hoe de ontsleutelingssleutel de ontvanger bereikt.
Keycard (Zero-Knowledge)
De veiligste optie. Bernstein genereert een PDF-keycard met een unieke toegangssleutel. U levert deze zelf af aan de ontvanger - via elk kanaal dat u vertrouwt. De ontsleutelingssleutel raakt nooit de servers van Bernstein.
Hoe het werkt voor de ontvanger:
- 1U stuurt hen de keycard (buiten Bernstein om) samen met de deel-URL.
- 2Zij openen de deel-URL in hun browser.
- 3Zij vragen een verificatiecode aan die naar hun e-mail wordt gestuurd.
- 4Zij voeren de 6-cijferige code in om hun identiteit te bevestigen.
- 5Zij voeren de toegangssleutel van de keycard in.
- 6Als er voorwaarden zijn bijgevoegd, beoordelen en accepteren zij deze.
- 7De inhoud wordt in hun browser ontsleuteld - bestanden zijn te bekijken en te downloaden.
Direct delen
De handige optie. Bernstein stuurt de ontvanger een e-mail met een beveiligde link. De ontsleutelingssleutel is opgenomen in het URL-fragment, dat standaard nooit op de server wordt opgeslagen - het blijft volledig in de browser.
Hoe het werkt voor de ontvanger:
- 1Zij ontvangen een e-mail met een link.
- 2Zij klikken op de link en vragen een verificatiecode aan.
- 3Zij voeren de 6-cijferige code in om hun identiteit te bevestigen.
- 4Als er voorwaarden zijn bijgevoegd, beoordelen en accepteren zij deze.
- 5De inhoud wordt in hun browser ontsleuteld - bestanden zijn te bekijken en te downloaden.
Kiezen tussen beide
Beide modi zijn end-to-end versleuteld. Kies op basis van uw beveiligingseisen en gemaksbehoeften.
| Keycard (Zero-Knowledge) | Direct delen | |
|---|---|---|
| Sleutellevering | U levert zelf af (PDF-keycard) | Opgenomen in de e-maillink |
| Gebruiksgemak | Vereist een aparte overdrachtsstap | Eén klik vanuit e-mail |
| Serverblootstelling | Sleutel raakt nooit een server | Sleutel passeert via e-mail maar wordt nooit door Bernstein opgeslagen |
| Geschikt voor | Zeer gevoelige inhoud, gereguleerde sectoren, maximale controle | Dagelijks delen, niet-technische ontvangers, snelheid |
Vuistregel: Gebruik Keycard wanneer de inhoud zeer gevoelig is en u elke stap van de sleuteloverdracht wilt controleren. Gebruik Direct delen wanneer gemak belangrijk is en levering via e-mail acceptabel is.
Hoe de versleuteling werkt
Bernstein gebruikt een tweelaagssleutelmodel voor delen, gebouwd op AES-256-GCM-versleuteling via de Web Crypto API.
DEK (Data Encryption Key)
De symmetrische sleutel (AES-256-GCM) die de inhoud van uw revisie versleutelt. Dit is dezelfde sleutel die werd gebruikt toen u uw bestanden oorspronkelijk certificeerde. Deze bevindt zich in de versleutelde kluis van uw browser en wordt nooit in platte tekst naar de server gestuurd.
KEK (Key Encryption Key)
Een nieuwe symmetrische sleutel (AES-256-GCM) die in uw browser wordt gegenereerd wanneer u een deling aanmaakt. De KEK versleutelt (wikkelt) de DEK, waardoor een gewikkelde DEK ontstaat die alleen kan worden uitgewikkeld door iemand die de KEK bezit.
Wanneer u een deling aanmaakt
Sleutels genereren
Uw browser genereert een willekeurige Key Encryption Key (KEK) en laadt de Data Encryption Key (DEK) van uw revisie uit uw versleutelde kluis.
DEK wikkelen
De DEK wordt versleuteld met de KEK, waardoor een gewikkelde DEK ontstaat die op de server wordt opgeslagen.
KEK bezorgen
Bij Direct delen wordt de KEK opgenomen in het e-maillinkfragment. Bij Keycard wordt deze opgenomen in een PDF die in uw browser wordt gegenereerd - nooit naar de server gestuurd.
Wanneer de ontvanger een deling opent
Gewikkelde DEK ophalen
De browser van de ontvanger haalt de versleutelde gewikkelde DEK op van de server.
DEK uitwikkelen
Met behulp van de KEK (uit het URL-fragment of de keycard) wikkelt de browser de DEK uit.
Inhoud ontsleutelen
De DEK ontsleutelt de revisiemetadata en bestandsinhoud. Alle ontsleuteling vindt plaats aan de clientzijde - de server heeft nooit toegang tot de leesbare tekst.
Identiteitsverificatie
Voordat er inhoud wordt geleverd, moet de ontvanger bewijzen dat hij/zij het in de deling opgegeven e-mailadres beheert.
Toegangscontrole
Configureer precies hoe en wanneer uw gedeelde inhoud kan worden bekeken.
Vervaldatum
De deling wordt ontoegankelijk na deze datum. Laat leeg voor geen vervaldatum.
Voorwaarden
Voeg juridische voorwaarden toe die de ontvanger uitdrukkelijk moet accepteren voordat hij/zij de inhoud kan bekijken.
Directe intrekking
Trek een actieve deling op elk moment in. De ontvanger verliest onmiddellijk toegang - zelfs als zijn/haar sessie nog geldig is.
Maximaal aantal weergaven
Beperk het aantal keren dat de inhoud kan worden bekeken.
Maximaal aantal downloads
Beperk het aantal toegestane bestandsdownloads.
Watermerk op previews
Toon een watermerk op voorvertoonde bestanden voor extra bescherming.
Volledig auditspoor
Elke deling genereert een compleet gebeurtenislogboek. Bij delingen met verifieerbare audit worden gebeurtenissen geketend met SHA-256-hashes, waardoor een fraudebestendig logboek ontstaat.
Elke gebeurtenis registreert het IP-adres en de user agent van de ontvanger. U kunt het volledige auditlogboek exporteren als JSON.
Veelgestelde vragen
De deling is gekoppeld aan het e-mailadres van de ontvanger. Zelfs als iemand anders de link verkrijgt, kan diegene de OTP-verificatiestap niet doorlopen omdat de code naar het e-mailadres van de oorspronkelijke ontvanger wordt gestuurd. Bij Keycard-modus zou diegene ook de keycard nodig hebben.
Nee. De server slaat alleen de versleutelde gewikkelde DEK en de versleutelde bestandsblobs op. Zonder de KEK (die de server nooit bewaart) kan de inhoud niet worden ontsleuteld. Bij Keycard-modus bereikt de KEK zelfs nooit de server.
Hun huidige sessie wordt onmiddellijk ongeldig gemaakt. Alle volgende inhoud- of downloadverzoeken worden geweigerd. Inhoud die al in hun browser is ontsleuteld, blijft toegankelijk totdat zij het tabblad sluiten, maar er kunnen geen nieuwe gegevens worden opgehaald.
Momenteel is elke deling gericht op één ontvanger. Om met meerdere mensen te delen, maakt u een aparte deling per persoon aan. Delen met meerdere ontvangers staat op de roadmap.
U moet een nieuwe deling aanmaken en een nieuwe keycard genereren. Elke keycard bevat een unieke sleutel die gekoppeld is aan een specifieke deling - er is geen manier om een verloren keycard te herstellen of opnieuw te genereren.
Zodra de ontvanger zijn/haar OTP heeft geverifieerd, is de sessie 24 uur geldig. Daarna moet opnieuw worden geverifieerd met een nieuwe OTP om toegang te behouden.
AES-256-GCM voor sleutelgeneratie en DEK-wikkeling (via Web Crypto API), AES-256-GCM met per-deel initialisatievectoren voor bestandsversleuteling, cryptografisch veilige willekeurige 6-cijferige OTP-codes en SHA-256-hashkoppeling voor verifieerbare auditketens.
Nee. Delen is gekoppeld aan een specifieke revisie - een gecertificeerde momentopname van uw project. U moet minimaal één gecertificeerde revisie hebben om een deling te kunnen aanmaken.