Ein zentraler Secret-Store, in dem alle Zugangsdaten, Schlüssel und sensiblen Konfigurationen innerhalb einer einzigen Vertrauensgrenze gespeichert sind. Jeder Service authentifiziert sich gegenüber demselben Backend und erhält Secrets aus einer einzigen Vertrauenswurzel.
Die Verschlüsselung basiert in der Regel auf einem einzelnen Master Key oder einer kleinen Hierarchie, die von einer gemeinsamen Wurzel abgeleitet ist. Die Zugriffskontrolle wird auf der Policy-Ebene durchgesetzt, aber die zugrunde liegende kryptografische Domäne ist gemeinsam genutzt — das bedeutet, dass alle geschützten Daten mit demselben Schlüsselmaterial entschlüsselt werden können.
Wird der Master Key oder das Root Token kompromittiert, sind sämtliche Secrets im System gleichzeitig offengelegt. Es existiert keine kryptografische Isolation zwischen Tenants, Umgebungen oder Secret-Klassen — nur eine logische Trennung durch ACL-Policies.
Keyra ist ein domänenisoliertes Vault-System, bei dem jeder Vault als unabhängige kryptografische Vertrauensgrenze fungiert. Jeder Vault verfügt über einen eigenen Root Key, einen eigenen Verschlüsselungskontext und eine eigene Vertrauenskette — vollständig getrennt von anderen Vaults.
Secrets werden innerhalb ihrer jeweiligen Domänen mithilfe unabhängiger Schlüsselhierarchien versiegelt. Es existiert kein gemeinsamer Master Key, der mehrere Vaults gleichzeitig entschlüsseln kann. Domänenübergreifender Zugriff erfordert eine explizite, auditierbare Delegation statt einer impliziten Vertrauensvererbung.
Eine Kompromittierung von Vault A legt nur die Secrets von Vault A offen. Vaults B und C bleiben kryptografisch versiegelt — ihr Schlüsselmaterial ist vollständig getrennt. Dadurch wird der Blast Radius begrenzt und ein Single-Point-of-Failure-Vertrauenszusammenbruch im gesamten System verhindert.
Das Kerckhoffs’sche Prinzip besagt, dass Systeme sicher bleiben müssen, selbst wenn alles über das System bekannt ist — mit Ausnahme des Schlüssels.
Keyra wendet dieses Prinzip auf das Enterprise Secrets Management an:
Die Vault-Struktur ist kein Geheimnis
Der Serverstandort ist kein Geheimnis
Eine Kompromittierung der Infrastruktur legt keine Secrets offen
Nur kryptografische Schlüssel gewähren Zugriff
Dadurch entfällt die Abhängigkeit von der Geheimhaltung der Infrastruktur.
Keyra unterstützt moderne Authentifizierungsmethoden:
Passkeys (FIDO2/WebAuthn)
Betriebssystemgebundene kryptografische Identitäten
Dies ermöglicht passwortlosen Vault-Zugriff mit starker kryptografischer Sicherheit.
Für Automatisierung entwickelt, nicht für manuelle Vault-Verwaltung. Beinhaltet:
CLI-Tool
SDK
Secret-Migration aus KeePass und anderen Vaults
Git-Repository für Ciphertext-Domänen
Vollständig skriptbare Vault-Operationen
Traditionelle PAM-Systeme zentralisieren Secrets in einem einzelnen Vault, der durch Infrastrukturkontrollen und Master Keys geschützt ist.
Sie sind zwar leistungsfähig, bringen aber mit sich:
ein einzelner katastrophaler Vertrauenspunkt
hohe operative Komplexität
hohe Infrastrukturanforderungen
schwierige Durchsetzung des Lifecycle-Managements
Werden sie kompromittiert, erhalten Angreifer breitflächigen Zugriff.
Fat Vaults speichern Secrets in einer einzelnen verschlüsselten Datei.
Obwohl die Verschlüsselung stark ist, ist die operative Sicherheit schwach:
Vault-Datei wird häufig zwischen Systemen kopiert
kein sicheres Kollaborationsmodell
keine Identity-Integration
keine Lifecycle-Automatisierung
keine Blast-Radius-Transparenz
keine DevOps-Integration
Die Sicherheit hängt vollständig vom Schutz der Vault-Datei ab.
Sobald sie kopiert wurde, können Secrets unbegrenzt offline angegriffen werden.
Dies führt zu unsichtbarer und unkontrollierter Secret-Verbreitung.
Keyra eliminiert sowohl die Risiken zentralisierter Vaults als auch die Einschränkungen von Fat Vaults.
Keyra bietet:
verteilte kryptografische Vertrauensdomänen
keine einzelne Vault-Datei, die alle Secrets enthält
sichere Zusammenarbeit mit kryptografischer Isolation
vollständige DevOps- und Automatisierungsunterstützung
Identity-basierte Zugriffskontrolle
Blast-Radius-Intelligenz
Die Kompromittierung einer Vault-Domäne führt nicht zur Kompromittierung anderer Domänen.