Regler for effektiv brug af kryptografi, herunder håndtering af kryptografiske nøgler, bør defineres og implementeres.
Private nøgler (RSA 4096-bit nøgler strengt taget) forlader aldrig hardware-tokenet og kræver fysisk PIN-indtastning og bekræftelse med touch for hver handling. Selv kompromitterede arbejdsstationer kan ikke få adgang til nøgler.
Lad os kryptere certifikater fornyes automatisk hver 3. måned. Nøgler til Sealed Secrets-controlleren roterer månedligt. Ingen manuel rotationsoverhead, nul nøgleudløbshændelser.
Vi håndhæver commit-signering med yubikey, ellers vil commits ikke blive sendt - blokeret af gitea-brugere.
Vi håndhæver, at alle commits skal signeres ved hjælp af vores YubiKey GPG-nøgler. Usignerede eller lokale nøglesignerede commits afvises af Gitea-brugere. , der sikrer proveniens, autenticitet og manipulationssikret ændringshistorik på tværs af kodebasen.