Plataforma completa degestão de secrets e criptografia
Mais de 35 funcionalidades cobrindo desde vault clássico, Dynamic Secrets, EaaS, PKI e SSH CA até AI Copilot multi-provider, Zero-Knowledge Vault, extensão de navegador MV3 e criptografia pós-quântica (Kyber + Dilithium).
IA, Privacidade e Pós-Quântico (v4.6+)
AI Copilot Multi-Provider
Assistente de segurança com 4 providers (OpenAI, Azure OpenAI, AWS Bedrock/Claude, Ollama self-hosted). Auto-redator mascara segredos, tokens e IPs internos antes de qualquer chamada externa. Custo por tenant rastreado em tempo real.
Zero-Knowledge Vault
Cofres opcionalmente client-side: criptografia AES-256-GCM ou XChaCha20-Poly1305, KDFs Argon2id ou HKDF-SHA256. O servidor não vê o conteúdo claro — endpoints sensíveis (tokenize, encrypt, search) recusam ZK vaults com erro 409.
Extensão Chrome & Firefox (MV3)
Extensão Manifest V3 para Chrome e Firefox. Autofill com captura on-submit, gerador de senhas com 6 perfis, clipboard auto-clear (30s) e integração nativa com Zero-Knowledge Vault para unlock e decrypt-on-reveal.
Post-Quantum Crypto V2
Híbrido clássico + pós-quântico: RSA-OAEP-2048 ou ECDH-P256 combinado com ML-KEM-768 (Kyber). Dual-signature RSA-PSS-3072 + ML-DSA-65 (Dilithium-3). Objetos PQC via KMIP TTLV. Auditoria com Merkle checkpoints assinados.
HIBP Breach Watch
Verificação de credenciais vazadas via k-anonymity (SHA-1 prefix de 5 chars) contra HaveIBeenPwned. Cache 7 dias, opt-in por tenant (CV_BREACH_WATCH_ENABLED). Nenhum hash completo sai da plataforma.
One-Time Share
Compartilhamento self-destruct de segredos via link único. Tokens de 256 bits, TTL máx. 30 dias, leitura única (paridade Keeper Send / Bitwarden Send). Ideal para enviar credenciais a fornecedores e novos colaboradores.
OIDC Issuer · CV como IdP
CipherVault emite id_tokens EC P-256/ES256 que o AWS aceita em AssumeRoleWithWebIdentity. Permite federar acesso à AWS sem chaves estáticas — paridade Pulumi ESC + GitHub Actions.
Endpoint Discovery V2 (Guardian)
cv-guardian descobre contas de endpoint (Linux passwd + SSH authorized_keys) e reporta ao backend via /endpoint-accounts. Frontend agrega 4 stat cards, busca e filtros por host, usuário e estado de rotação.
Vault e Criptografia
Cofre de Secrets e Credenciais
Senhas, tokens, chaves SSH e certificados com AES-256-GCM. Cofres por ambiente (Dev/Hml/Prd), versionamento, attach-secret e exportação ZIP segura.
Fortress · Vault Ultra-Crítica
8 camadas criptográficas: Shamir 3-of-5, Blind Index HMAC, KMS envelope, HKDF+Pepper, AES-GCM duplo, AAD context binding e armazenamento segregado.
Encryption-as-a-Service (EaaS)
API REST para criptografar e descriptografar dados sob demanda. AES-256-GCM com versionamento de chaves, AAD opcional, DEK cache 60s e KEK envelope.
Tokenization / FPE
Format-Preserving Encryption determinístico em 3 formatos (preserving, UUID, alfanumérico). Permite JOIN/lookup em DB sem revelar valor real.
HSM / KMS Externo
Camada de abstração com 3 providers: local, AWS KMS e PKCS#11 (Thales, AWS CloudHSM, Azure Dedicated HSM). Health probe /health/hsm para validar bind ativo.
Identidade, Acesso e Governança
IAM Granular + RBAC vault-aware
IAM com 22 permissões por papel. RBAC vault-aware (owner/contributor/reader), cofres pessoais isolados e Route Guards no frontend.
Approvals / Dual-Control N-de-M
Quórum configurável N-de-M por ação (não fixo 2-de-2). Aplicado a operações destrutivas: delete vault, export ZIP, fortress break-glass, mfa_disable, SIEM/RBAC change.
MFA, SAML 2.0 e SSO
MFA via TOTP e Email OTP. SAML 2.0 SP/IdP-initiated com SLO e JIT role mapping. OAuth2 com Google, GitHub, Microsoft e Keycloak.
Workload Identity + SPIFFE/SPIRE
Auth methods nativos para Kubernetes SA, AWS IAM, GCP IAM, Azure MSI e SPIFFE/SPIRE (JWT-SVID). Troca claim externa por JWT CipherVault de 1h. Sem credenciais estáticas.
Secrets Dinâmicos e PKI
Dynamic Secrets
Credenciais JIT efêmeras com TTL ≤24h. Engines suportadas: PostgreSQL, MySQL, MongoDB, AWS STS, GCP IAM e Azure SP.
PKI as a Service
CAs internas RSA-2048 self-signed com role-based issuance. CSR e generateKey modes, TTL cap 90d e endpoint CRL público.
SSH Certificate Authority
CA SSH Ed25519 lazy-bootstrapped. Certificados efêmeros ≤24h para acesso seguro a servidores, com suporte a KRL (Key Revocation List).
DevOps e Integrações
CI/CD Scanner (8 ferramentas)
Escaneie repositórios e pipelines com 8 scanners em paralelo: Gitleaks, TruffleHog, Semgrep, detect-secrets, Whispers, Talisman, shhgit e git-secrets. SARIF 2.1.0.
AppConnections Zero-Trust
Aplicações se conectam via 3 modos: client_secret legacy, mTLS X.509 e mTLS+DPoP (RFC 9449 full). CSD com 3 políticas configuráveis (warn/block/revoke), janela 1-60min.
OIDC Federation para CI/CD
GitHub Actions, GitLab CI, CircleCI, Jenkins, Bamboo e Custom. Provider config global + authorization per AppConnection. Sem credenciais estáticas.
Kubernetes Injector (Webhook)
Mutating Admission Webhook injeta secrets como volume tmpfs em pods anotados. Modos init e sidecar, sidecar non-root uid 65534, failurePolicy: Ignore.
SDKs Oficiais em 9 Linguagens
Bibliotecas mantidas em Python, Node.js/TypeScript, Java, Go, C#/.NET, Rust, PHP, Ruby e C++. Consumer (mTLS+DPoP RFC 9449) e AdminClient (JWT). SDK adicional @ciphervault/zk-sdk para Zero-Knowledge no browser e CLI.
Terraform Provider + CLI Go
Provider Terraform oficial com 8 resources (secret, vault, EaaS key, PKI CA, PKI role, SSH role, dynamic backend, dynamic role). CLI Go cv com 8 grupos de comandos.
Rotação Automática Multi-DB
Rotação nativa em PostgreSQL, MySQL/MariaDB, SQL Server, Oracle, MongoDB, Redis, Elasticsearch, AWS IAM e API Genérica. Self-rotation cloud (AWS, GCP, IBM).
Secretless Proxy
Sidecar transparente que injeta credenciais em apps sem chave local. MVP atual: PostgreSQL (CleartextPassword).
Detecção, Auditoria e Compliance
Leak Detection
Monitora vazamentos em repositórios públicos, dark web e feeds de inteligência. Inserção manual e auto-merge com Risk Scoring.
Attack Paths + What-if Simulation
3 templates pré-modelados (AWS privesc, K8s secret exposure, CI/CD token leak) e simulação what-if com blast radius (vaults/connections/paths afetados) + TTC.
Risk Scoring (6 fatores)
Score 0-100 baseado em tipo de credencial, ambiente, privilégios, vazamentos detectados, idade/rotação e exposição. isCompromised flag prioriza ação imediata.
SIEM Forwarders (6 connectors)
Auto-forward de audit_logs para Splunk HEC, Elastic, Microsoft Sentinel, IBM QRadar, Google SecOps/Chronicle e SentinelOne Singularity. Cache TTL 60s.
Auditoria Imutável + Compliance
Logs imutáveis com severity (low/medium/high/critical). Mapeamento completo SOC 2 Type II (CC6.x, CC7.x) e ISO 27001:2022 Annex A. LGPD nativa.
Operações de Produção
Backup PITR + WAL Archiving
Point-in-Time Recovery contínuo via WAL archiving. RPO = 0 com replicação síncrona, RTO ~15min. Procedimentos pg_dump + restore documentados oficialmente.
Leader Lock + Graceful Shutdown
Leader election via Redis garante que jobs (Approvals expiration, Dynamic reconcile, orphan cleanup) executem uma única vez entre réplicas. SIGTERM revoga leases ativas.
Rate Limiting Token-Bucket
Proteção contra abuso de Dynamic Secrets com algoritmo token-bucket (cap 30, refill 0.5/s) por actor. Métrica cv_dynamic_lease_rate_limited_total exposta.
Performance Benchmarks
Fortress: ~50ms write / ~30ms read por secret (CPU-bound: Shamir + HKDF + duplo AES-GCM). DPoP iat ≤60s, JWKS cache 5min, SIEM forwarder cache 60s, sensor heartbeat ≤60s.
Audit Retention + Purge Job
Retenção configurável de audit logs (default 1 ano para conformidade ISO 27001). Job de purge automático para registros mais antigos que N dias.
Concurrent Session Detection
Detecta uso simultâneo do mesmo certificado (kid) em IPs diferentes — possível indicador de cópia de credenciais. 3 políticas configuráveis com janela 1-60 min.
Plataforma Cloud-Native (v4.x)
Confidential Computing (TEEs)
Execução em hardware confidencial com 3 ambientes: AWS Nitro Enclaves (validação ECDSA completa), Intel SGX DCAP (parsing + nonce + measurement allowlist) e AMD SEV-SNP (1184 bytes parsing).
Multi-Region com CRDT Sync
Replicação multi-região com 5 tipos de CRDTs (GCounter, PNCounter, GSet, LWWRegister, ORSet). Eventual consistency abaixo de 1 segundo entre regiões via push protocol a cada 5s.
Kubernetes Federation Multi-Cluster
Topologia Pull-from-CV: cada cluster busca secrets do CipherVault central. Funciona em air-gap, evita network ingress complexo e isola falhas entre clusters.
Kubernetes Operator (CRDs)
Operator nativo com Custom Resource Definitions: CipherVaultSecret, CipherVaultLease. Gerencia ciclo de vida de secrets/leases via reconciliation loops do controller-runtime.
API, Deploy e Observabilidade
API REST + Webhooks
API REST completa documentada via Swagger. Webhooks para eventos de secret, user e tenant. Personal Access Tokens com TTL configurável e audit trail.
Deploy Multi-Modal
SaaS gerenciado, on-premise (Docker Compose), Kubernetes (Helm chart) ou air-gapped. Terraform AWS oficial com VPC, RDS, ECS Fargate, S3, ECR.
High Availability + Multi-Region
3 topologias documentadas (Active-Passive, Active-Active regional, Multi-Region). RPO=0 com replicação síncrona, RTO ~15min, leader-lock para jobs.
Observabilidade Nativa
Prometheus + Grafana built-in. Métricas custom: cv_dynamic_lease_rate_limited_total, cv_process_*, proxy_connections_active, proxy_lease_requests_total. Health probe HSM + Postgres + Redis.