Auditointi ja vaatimustenmukaisuus
Kryptografisesti allekirjoitettu, peukalointia osoittava auditointijälki.
Jokainen toiminto - istunnot, komennot, salaisuuksien käyttö, käytäntömuutokset - tiivistetään, linkitetään edelliseen merkintään ja allekirjoitetaan TPM:ään sinetöidyllä Ed25519-avaimella. Kuka tahansa julkisella avaimellasi voi todentaa ketjun offline-tilassa.
audit:8419 · tool.readb3:9f8c…
prev_hash↓
audit:8420 · tool.edit7f:21c8…
prev_hash↓
audit:8421 · session.spawna4:6055…
prev_hash↓
audit:8422 · vault.readc8:1142…
verified↓
Chain intact · 1,284,309 entries—
Miten se toimii
1
Toiminto tapahtuu
Käyttäjä luo istunnon, agentti lukee tiedoston, ylläpitäjä muokkaa käytäntöä.
2
Tiivistetty ja linkitetty
Merkintä tiivistetään (sha256) viitaten edellisen rivin tiivisteeseen.
3
Ed25519-allekirjoitettu
Allekirjoitus luodaan TPM:ään sinetöidyllä avaimella - ei koskaan poistu laitteistosta.
4
Todennettu offline-tilassa
Kuka tahansa yrityksen julkisella avaimella voi todentaa ketjun - ilman API-kutsua meille.
Syvät sukellukset
Hash-ketjutus
Jokaisen merkinnän prev_hash-kenttä on edellisen rivin sha256-tiiviste. Poista rivi N ja rivit N+1 eteenpäin eivät enää toden - ketju on havaittavasti rikki.
Allekirjoitus ja TPM-sinetöinti
Itse isännöinnissä allekirjoitusavain sinetöidään TPM:ään ja puretaan vain audit-signer-prosessin sisällä. Hallinnoidussa pilvessä avain sijaitsee pilvi-KMS:ssä (AWS KMS, GCP KMS tai HashiCorp Vault Transit) - samat takuut.
Sivutettu todentaminen
Suuret ketjut todennetaan 10 000 rivin segmenteissä edistymispalkin kanssa - ei tarvitse ladata 1,2 miljoonaa riviä muistiin.
Todenna ketju itse
shell · verify CLI
$ synaptyx audit verify --from 8400 --to 8500
[segment 8400-8499] ok signed_at=2026-05-24T10:42:18Z
[segment 8500-8500] ok signed_at=2026-05-24T10:42:24Z
─────────────────────────────────────────────────────────
chain intact: 1,284,309 entries · 0 tampered · 0 gaps
Peukalointia osoittava, ei vain peukalointia kestävä.
Et saa lupauksia siitä, ettemme muuta tietueita - saat matemaattisen takuun siitä, että emme pysty siihen. Vaikka tietokantamme vaarantuisi, rikkinäinen ketju todistaa murron.
Vertailu
| Synaptyx | Tavalliset tietokantalokit | Vain lisättävä loki | |
|---|---|---|---|
| Peukalointia osoittava | kyllä | ei | ei allekirjoitusta |
| Kryptografinen todiste | Ed25519 + sha256 | ei mitään | ei mitään |
| Offline-todentaminen | CLI - vain julkinen avain | ei | toimittaja vaaditaan |
| Vuokralaiskohtainen allekirjoitusavain | TPM-sinetöity | ei | jaettu avain |
| Sivutettu todentaminen | 10 000 segmentin osat | ei | lataa kaikki muistiin |
UKK
Uusi avain luodaan. Ennen rotaatiota olevat rivit pysyvät todennettavina vanhalla julkisella avaimella; rotaation jälkeiset rivit käyttävät uutta. Katoaminen ilman rotaatiota tarkoittaa, että ketju muuttuu vain lisättäväksi ilman tulevia allekirjoituksia, mutta kaikki siihen asti allekirjoitettu on edelleen todennettavissa.
Tilintarkastaja todentaa ketjun komennolla synaptyx audit verify --from <n> --to <n> - jokaisen merkinnän Ed25519-allekirjoitus tarkistetaan yrityksesi julkaistua avainta vasten. Pitkäaikaiseen säilytykseen koko allekirjoitettu loki voidaan myös suoratoistaa SIEM:iin tai heidän hallitsemaansa S3 WORM -ämpäriin.
Allekirjoittaminen tapahtuu eräinä (10-50 merkintää per allekirjoitus) ja toimii omassa audit-signer-goroutiinissa. Toiminnon viive lisääntyy noin 2 ms p99.
Audit-signeria ajavan hostin TPM 2.0 -sirussa - sinetöitynä siruun, ei koskaan viety selväkielisenä, ja purettu vain kyseisellä hostilla.
Valmis hallitsemaan tekoäly-infrastruktuuriasi?
Pyydä pääsyä minuuteissa - tai kerro meille air-gap-käyttöönotostasi.