Säker delning
Dela certifierade digitala tillgångar med vem som helst - utan att kompromissa med din kryptering. Ge läsåtkomst till specifika versioner av dina filer och behåll full kontroll.
Beta: Säker delning är för närvarande i beta. Krypteringen och åtkomstkontrollen fungerar fullt ut, men vissa funktioner (delning med flera mottagare, massdelning, blockkedjebaserade revisionsloggar) är fortfarande under utveckling.
När du bör använda säker delning
Dela certifierat innehåll med tredje parter utan att lämna ifrån dig ditt konto eller tappa kontrollen över dina filer.
Rättsliga förfaranden
Dela en certifierad version med motpartens ombud eller en domstol. Bifoga villkor som de måste acceptera innan de kan visa innehållet.
Due diligence
Låt en revisor, investerare eller partner granska certifierade dokument med en fullständig revisionslogg över vem som kom åt vad och när.
Kundleverans
Skicka slutliga leverabler till en kund med bevis på certifieringstidsstämpeln.
Försäkringsanspråk
Lämna ut certifierade bevis till en försäkringsleverantör med kontrollerad, tidsbegränsad åtkomst.
Samarbetsgranskning
Ge en kollega eller extern granskare läsåtkomst till en specifik version utan att dela dina valvuppgifter.
Välj ditt delningsläge
Båda lägena använder samma ände-till-ände-kryptering. Den enda skillnaden är hur dekrypteringsnyckeln når mottagaren.
Nyckelkort (nollkunskap)
Det säkraste alternativet. Bernstein genererar ett PDF-nyckelkort med en unik åtkomstnyckel. Du levererar det till mottagaren själv - via valfri kanal du litar på. Dekrypteringsnyckeln når aldrig Bernsteins servrar.
Så här fungerar det för mottagaren:
- 1Du skickar nyckelkortet (utanför Bernstein) tillsammans med delningens URL.
- 2De öppnar delningens URL i sin webbläsare.
- 3De begär en verifieringskod som skickas till deras e-post.
- 4De anger den 6-siffriga koden för att styrka sin identitet.
- 5De anger åtkomstnyckeln från nyckelkortet.
- 6Om villkor bifogas granskar och accepterar de dem.
- 7Innehållet dekrypteras i deras webbläsare - filer kan visas och laddas ned.
Direktdelning
Det bekväma alternativet. Bernstein skickar mottagaren ett e-postmeddelande med en säker länk. Dekrypteringsnyckeln är inbäddad i URL-fragmentet, vilket av design aldrig lagras på servern - det stannar helt i webbläsaren.
Så här fungerar det för mottagaren:
- 1De får ett e-postmeddelande med en länk.
- 2De klickar på länken och begär en verifieringskod.
- 3De anger den 6-siffriga koden för att styrka sin identitet.
- 4Om villkor bifogas granskar och accepterar de dem.
- 5Innehållet dekrypteras i deras webbläsare - filer kan visas och laddas ned.
Välja mellan de två
Båda lägena är krypterade från ände till ände. Välj baserat på dina säkerhetskrav och bekvämlighetsbehov.
| Nyckelkort (nollkunskap) | Direktdelning | |
|---|---|---|
| Nyckelleverans | Du levererar det själv (PDF-nyckelkort) | Inbäddad i e-postlänken |
| Bekvämlighet | Kräver ett separat överlämningssteg | Ett klick från e-post |
| Serverexponering | Nyckeln berör aldrig någon server | Nyckeln passerar via e-post men lagras aldrig av Bernstein |
| Bäst för | Känsligt innehåll, reglerade branscher, maximal kontroll | Vardagsdelning, icke-tekniska mottagare, snabbhet |
Tumregel: Använd nyckelkort när innehållet är mycket känsligt och du vill kontrollera varje steg i nyckelleveransen. Använd direktdelning när bekvämlighet är viktig och e-postleverans är acceptabelt.
Hur krypteringen fungerar
Bernstein använder en tvålagers nyckelmodell för delning, byggd på AES-256-GCM-kryptering via Web Crypto API.
DEK (Data Encryption Key)
Den symmetriska nyckeln (AES-256-GCM) som krypterar innehållet i din version. Det är samma nyckel som används när du ursprungligen certifierade dina filer. Den finns i ditt webbläsares krypterade valv och skickas aldrig till servern i klartext.
KEK (Key Encryption Key)
En ny symmetrisk nyckel (AES-256-GCM) som genereras i din webbläsare när du skapar en delning. KEK krypterar (wrappas) DEK och producerar en wrappade DEK som bara kan unwrappas av någon som håller KEK.
När du skapar en delning
Generera nycklar
Din webbläsare genererar en slumpmässig Key Encryption Key (KEK) och läser in versionens Data Encryption Key (DEK) från ditt krypterade valv.
Wrappa DEK
DEK krypteras med KEK och producerar en wrappade DEK som lagras på servern.
Leverera KEK
I direktdelningsläge är KEK inbäddad i e-postlänkens fragment. I nyckelkortsläge är den inbäddad i en PDF som genereras i din webbläsare - skickas aldrig till servern.
När mottagaren öppnar en delning
Hämta wrappade DEK
Mottagarens webbläsare hämtar den krypterade wrappade DEK från servern.
Unwrappa DEK
Med KEK (från URL-fragmentet eller nyckelkortet) unwrappar webbläsaren DEK.
Dekryptera innehåll
DEK dekrypterar versionsmetadata och filinnehåll. All dekryptering sker på klientsidan - servern har aldrig tillgång till klartexten.
Identitetsverifiering
Innan något innehåll levereras måste mottagaren bevisa att de kontrollerar den e-postadress som anges i delningen.
Åtkomstkontroller
Konfigurera exakt hur och när ditt delade innehåll kan nås.
Utgångsdatum
Delningen blir otillgänglig efter detta datum. Lämna tomt för ingen utgång.
Villkor
Lägg till juridiska villkor som mottagaren måste acceptera uttryckligen innan de kan visa innehållet.
Omedelbar återkallelse
Återkalla valfri aktiv delning när som helst. Mottagaren förlorar omedelbart åtkomst - även om deras session fortfarande är giltig.
Maximalt antal öppningar
Begränsa hur många gånger innehållet kan visas.
Maximalt antal nedladdningar
Begränsa hur många filnedladdningar som är tillåtna.
Vattenstämpla förhandsgranskningar
Visa en vattenstämpel på förhandsgranskade filer för extra skydd.
Fullständig revisionslogg
Varje delning genererar en fullständig händelselogg. För delningar med verifierbar revision aktiverad kedjekopplas händelser med SHA-256-hashar och skapar en manipuleringssäker logg.
Varje händelse registrerar mottagarens IP-adress och user agent. Du kan exportera den fullständiga revisionsloggen som JSON.
Vanliga frågor
Delningen är låst till mottagarens e-postadress. Även om någon annan får länken kan de inte passera OTP-verifieringssteget eftersom koden skickas till den ursprungliga mottagarens e-post. I nyckelkortsläge skulle de också behöva nyckelkortet.
Nej. Servern lagrar bara den krypterade wrappade DEK och krypterade filblobbar. Utan KEK (som servern aldrig behåller) kan innehållet inte dekrypteras. I nyckelkortsläge når KEK aldrig ens servern.
Deras nuvarande session ogiltigförklaras omedelbart. Alla efterföljande innehålls- eller nedladdningsförfrågningar nekas. Innehåll som redan dekrypterats i deras webbläsare förblir tillgängligt tills de stänger fliken, men ingen ny data kan hämtas.
För närvarande riktar sig varje delning till en mottagare. För att dela med flera personer, skapa en separat delning för var och en. Delning med flera mottagare finns på planen.
Du måste skapa en ny delning och generera ett nytt nyckelkort. Varje nyckelkort innehåller en unik nyckel kopplad till en specifik delning - det finns inget sätt att återskapa eller återgenerera ett förlorat nyckelkort.
När mottagaren verifierar sitt OTP är deras session giltig i 24 timmar. Därefter måste de verifiera igen med ett nytt OTP för att fortsätta komma åt innehållet.
AES-256-GCM för nyckelgenerering och DEK-wrappning (via Web Crypto API), AES-256-GCM med per-del initialiseringsvektorer för filkryptering, kryptografiskt säkra slumpmässiga 6-siffriga OTP-koder och SHA-256-hashlänkning för verifierbara revisionskedjor.
Nej. Delning är kopplad till en specifik version - en certifierad ögonblicksbild av ditt projekt. Du måste ha minst en certifierad version för att skapa en delning.