Sikker deling
Del sertifiserte digitale verdier med hvem som helst - uten å svekke krypteringen din. Gi skrivebeskyttet tilgang til bestemte versjoner av filene dine samtidig som du beholder full kontroll.
Beta: Sikker deling er for øyeblikket i beta. Kjernekrypteringen og tilgangskontrollen er fullt fungerende, men enkelte funksjoner (deling med flere mottakere, massedeling, blockchain-forankrede revisjonsspor) er fortsatt under utvikling.
Når du bør bruke sikker deling
Del sertifisert innhold med tredjeparter uten å gi fra deg kontoen din eller miste kontrollen over filene dine.
Rettssaker
Del en sertifisert revisjon med motpartens advokat eller en domstol. Legg ved vilkår de må godta før de får se innholdet.
Due diligence
La en revisor, investor eller partner gjennomgå sertifiserte dokumenter med et fullstendig revisjonsspor over hvem som fikk tilgang til hva og når.
Levering til kunde
Send endelige leveranser til en kunde med bevis på sertifiseringstidsstempelet.
Forsikringskrav
Del sertifisert bevis med en forsikringsleverandør med kontrollert, tidsbegrenset tilgang.
Gjennomgang ved samarbeid
Gi en kollega eller ekstern anmelder skrivebeskyttet tilgang til en bestemt versjon, uten å dele legitimasjonen til hvelvet ditt.
Velg delingsmodus
Begge modus bruker samme ende-til-ende-kryptering. Den eneste forskjellen er hvordan dekrypteringsnøkkelen når mottakeren.
Nøkkelkort (zero-knowledge)
Det sikreste alternativet. Bernstein genererer et PDF-nøkkelkort som inneholder en unik tilgangsnøkkel. Du leverer det til mottakeren selv - gjennom en hvilken som helst kanal du stoler på. Dekrypteringsnøkkelen berører aldri Bernsteins servere.
Slik fungerer det for mottakeren:
- 1Du sender dem nøkkelkortet (utenfor Bernstein) sammen med delings-URL-en.
- 2De åpner delings-URL-en i nettleseren sin.
- 3De ber om en verifiseringskode sendt til e-posten sin.
- 4De skriver inn den 6-sifrede koden for å bekrefte identiteten sin.
- 5De skriver inn tilgangsnøkkelen fra nøkkelkortet.
- 6Hvis det er lagt ved vilkår, gjennomgår og godtar de dem.
- 7Innholdet dekrypteres i nettleseren deres - filene kan vises og lastes ned.
Direktedeling
Det praktiske alternativet. Bernstein sender mottakeren en e-post med en sikker lenke. Dekrypteringsnøkkelen er bygget inn i URL-fragmentet, som ved design aldri lagres på serveren - den forblir utelukkende i nettleseren.
Slik fungerer det for mottakeren:
- 1De mottar en e-post med en lenke.
- 2De klikker på lenken og ber om en verifiseringskode.
- 3De skriver inn den 6-sifrede koden for å bekrefte identiteten sin.
- 4Hvis det er lagt ved vilkår, gjennomgår og godtar de dem.
- 5Innholdet dekrypteres i nettleseren deres - filene kan vises og lastes ned.
Å velge mellom de to
Begge modus er ende-til-ende-krypterte. Velg ut fra sikkerhetskravene og behovet ditt for enkelhet.
| Nøkkelkort (zero-knowledge) | Direktedeling | |
|---|---|---|
| Nøkkellevering | Du leverer det selv (PDF-nøkkelkort) | Bygget inn i e-postlenken |
| Enkelhet | Krever et eget overleveringstrinn | Ett klikk fra e-posten |
| Servereksponering | Nøkkelen berører aldri noen server | Nøkkelen passerer gjennom e-post, men lagres aldri av Bernstein |
| Best for | Svært sensitivt innhold, regulerte bransjer, maksimal kontroll | Daglig deling, ikke-tekniske mottakere, hastighet |
Tommelfingerregel: Bruk nøkkelkort når innholdet er svært sensitivt og du vil kontrollere hvert trinn i nøkkeloverleveringen. Bruk direktedeling når enkelhet er viktig og e-postlevering er akseptabelt.
Slik fungerer krypteringen
Bernstein bruker en tolagsnøkkelmodell for deling, bygget på AES-256-GCM-kryptering via Web Crypto API.
DEK (Data Encryption Key)
Den symmetriske nøkkelen (AES-256-GCM) som krypterer innholdet i revisjonen din. Dette er den samme nøkkelen som ble brukt da du opprinnelig sertifiserte filene dine. Den ligger i nettleserens krypterte hvelv og sendes aldri til serveren i klartekst.
KEK (Key Encryption Key)
En ny symmetrisk nøkkel (AES-256-GCM) som genereres i nettleseren din når du oppretter en deling. KEK-en krypterer (pakker inn) DEK-en, og produserer en innpakket DEK som bare kan pakkes ut av noen som har KEK-en.
Når du oppretter en deling
Generer nøkler
Nettleseren din genererer en tilfeldig Key Encryption Key (KEK) og laster inn revisjonens Data Encryption Key (DEK) fra det krypterte hvelvet ditt.
Pakk inn DEK
DEK-en krypteres med KEK-en, og produserer en innpakket DEK som lagres på serveren.
Lever KEK
I direktedelingsmodus bygges KEK-en inn i fragmentet av e-postlenken. I nøkkelkortmodus bygges den inn i en PDF generert i nettleseren din - aldri sendt til serveren.
Når mottakeren åpner en deling
Hent innpakket DEK
Mottakerens nettleser henter den krypterte innpakkede DEK-en fra serveren.
Pakk ut DEK
Ved hjelp av KEK-en (fra URL-fragmentet eller nøkkelkortet) pakker nettleseren ut DEK-en.
Dekrypter innhold
DEK-en dekrypterer revisjonens metadata og filinnhold. All dekryptering skjer på klientsiden - serveren har aldri tilgang til klarteksten.
Identitetsverifisering
Før noe innhold leveres, må mottakeren bevise at de kontrollerer e-postadressen som er angitt i delingen.
Tilgangskontroller
Konfigurer nøyaktig hvordan og når det delte innholdet ditt kan åpnes.
Utløpsdato
Delingen blir utilgjengelig etter denne datoen. La stå tom for ingen utløp.
Vilkår og betingelser
Legg til juridiske vilkår mottakeren uttrykkelig må godta før de får se innholdet.
Umiddelbar tilbakekalling
Tilbakekall enhver aktiv deling når som helst. Mottakeren mister umiddelbart tilgangen - selv om økten deres fortsatt er gyldig.
Maks antall åpninger
Begrens hvor mange ganger innholdet kan vises.
Maks antall nedlastinger
Begrens hvor mange filnedlastinger som er tillatt.
Vannmerke på forhåndsvisninger
Vis et vannmerke på forhåndsviste filer for ekstra beskyttelse.
Fullstendig revisjonsspor
Hver deling genererer en fullstendig hendelseslogg. For delinger med verifiserbar revisjon aktivert kjedes hendelser sammen med SHA-256-hasher, og skaper en manipulasjonssikker logg.
Hver hendelse registrerer mottakerens IP-adresse og brukeragent. Du kan eksportere hele revisjonsloggen som JSON.
Ofte stilte spørsmål
Delingen er låst til mottakerens e-postadresse. Selv om noen andre får tak i lenken, kan de ikke bestå OTP-verifiseringstrinnet fordi koden sendes til den opprinnelige mottakerens e-post. I nøkkelkortmodus vil de også trenge nøkkelkortet.
Nei. Serveren lagrer bare den krypterte innpakkede DEK-en og de krypterte fil-blobbene. Uten KEK-en (som serveren aldri beholder) kan ikke innholdet dekrypteres. I nøkkelkortmodus når KEK-en aldri engang serveren.
Den gjeldende økten deres ugyldiggjøres umiddelbart. Alle etterfølgende forespørsler om innhold eller nedlasting avvises. Innhold som allerede er dekryptert i nettleseren deres, forblir tilgjengelig til de lukker fanen, men ingen nye data kan hentes.
For øyeblikket rettes hver deling mot én mottaker. For å dele med flere personer oppretter du en egen deling for hver. Deling med flere mottakere står på veikartet.
Du må opprette en ny deling og generere et nytt nøkkelkort. Hvert nøkkelkort inneholder en unik nøkkel knyttet til en bestemt deling - det finnes ingen måte å gjenopprette eller regenerere et tapt nøkkelkort på.
Når mottakeren bekrefter OTP-en sin, er økten deres gyldig i 24 timer. Etter det må de verifisere på nytt med en ny OTP for å fortsette å få tilgang til innholdet.
AES-256-GCM for nøkkelgenerering og innpakking av DEK (via Web Crypto API), AES-256-GCM med initialiseringsvektorer per del for filkryptering, kryptografisk sikre tilfeldige 6-sifrede OTP-koder og SHA-256-hashkjeding for verifiserbare revisjonskjeder.
Nei. Deling er knyttet til en bestemt revisjon - et sertifisert øyeblikksbilde av prosjektet ditt. Du må ha minst én sertifisert revisjon for å opprette en deling.