Перейти к содержимому
Synaptyx
Аудит и комплаенс

Криптографически подписанный журнал аудита с защитой от подделки.

Каждое действие - сессии, команды, доступ к секретам, изменения политик - хешируется, связывается с предыдущей записью и подписывается ключом Ed25519, запечатанным в TPM. Любой, у кого есть ваш публичный ключ, может проверить цепочку офлайн.

prev_hash
prev_hash
prev_hash
verified

Как это работает

1
Происходит действие
Пользователь запускает сессию, агент читает файл, администратор меняет политику.
2
Хеширование и связывание
Запись хешируется (sha256) со ссылкой на хеш предыдущей строки.
3
Подпись Ed25519
Подпись создаётся ключом, запечатанным в TPM - он никогда не покидает оборудование.
4
Проверка офлайн
Любой, у кого есть публичный ключ компании, может проверить цепочку - без обращения к нам.

Подробнее

Цепочка хешей
Поле prev_hash каждой записи - это sha256 предыдущей строки. Удалите строку N, и строки N+1 и далее перестанут проходить проверку - разрыв цепочки виден сразу.
Подпись и запечатывание в TPM
При self-host ключ подписи запечатан в TPM и распечатывается только внутри процесса audit-signer. В управляемом облаке ключ хранится в облачном KMS (AWS KMS, GCP KMS или HashiCorp Vault Transit) - те же гарантии.
Постраничная проверка
Большие цепочки проверяются сегментами по 10 тыс. строк с индикатором прогресса - не нужно загружать 1,2 млн строк в память.

Проверьте цепочку сами

shell · verify CLI
$ synaptyx audit verify --from 8400 --to 8500 [segment 8400-8499] ok signed_at=2026-05-24T10:42:18Z [segment 8500-8500] ok signed_at=2026-05-24T10:42:24Z ───────────────────────────────────────────────────────── chain intact: 1,284,309 entries · 0 tampered · 0 gaps

Защита от подделки - это доказуемость, а не просто устойчивость.

Вы получаете не обещание, что мы не изменим записи, а математическую гарантию, что мы не можем этого сделать. Даже если наша база данных скомпрометирована, разорванная цепочка доказывает факт взлома.

Сравнение

SynaptyxОбычные логи БДAppend-only лог
Защита от подделкиданетбез подписи
Криптографическое доказательствоEd25519 + sha256нетнет
Проверка офлайнCLI · только pubkeyнетнужен вендор
Ключ подписи на тенантзапечатан в TPMнетобщий ключ
Постраничная проверкасегменты по 10 тыс.нетзагрузка всего в память

Частые вопросы

Генерируется новый ключ. Строки до ротации остаются проверяемыми старым pubkey; строки после - новым. Потеря без ротации означает, что цепочка становится append-only без будущих подписей, но всё подписанное до этого момента по-прежнему проверяемо.
Аудитор проверяет цепочку командой synaptyx audit verify --from <n> --to <n> - подпись Ed25519 каждой записи сверяется с опубликованным ключом вашей компании. Для долгого хранения весь подписанный журнал также стримится в ваш SIEM или S3 WORM-бакет под их контролем.
Подпись выполняется пакетами (10-50 записей на подпись) в отдельной горутине audit-signer. К задержке действия добавляется около 2 мс p99.
Внутри чипа TPM 2.0 хоста, на котором работает audit-signer - запечатан в чипе, никогда не экспортируется в открытом виде и распечатывается только на этом хосте.

Готовы управлять своей AI-инфраструктурой?

Запросите доступ за пару минут - или обсудите с нами вашу установку в air-gap.

Начать