Security by design
Bij Softcrow is beveiliging geen toevoeging achteraf, maar de basis waarop alles is gebouwd. Dat begint bij de vraag waar en onder welk recht we opslaan, en loopt door tot in de techniek: zero-knowledge, kwantumveilige aanlevering en de tooling waarmee je aanlevert.
Soevereine opslag, buiten de werking van de CLOUD- en USA PATRIOT Act
De opslaginfrastructuur van Softcrow is volledig binnen de EU gehost. De CLOUD Act en de USA PATRIOT Act zijn er niet op van toepassing.
Voor escrow is dat van belang. Een depot bevat het intellectueel eigendom van de leverancier. Soevereine, CLOUD- en USA PATRIOT Act-vrije opslag betekent dat het versleutelde depot niet via een buitenlands rechtsstelsel kan worden gevorderd.
SecureStorage: de technische fundering
Onder alle diensten van Softcrow ligt SecureStorage: de eigen zero-knowledge opslaginfrastructuur. SecureStorage is geen losse dienst maar de technische basis waarop Software Escrow, SaaS Escrow en CloudSecure® draaien.
De kenmerken van SecureStorage:
- Client-side versleuteling: de leverancier versleutelt met AES-256, vóór aanlevering. Softcrow ontvangt uitsluitend versleutelde bestanden
- End-to-end versleuteld (E2EE): Softcrow houdt geen sleutels, de data is wiskundig onleesbaar voor Softcrow én voor de hostingpartijen
- Append-only: aanleveren kan altijd, maar aangeleverde data kan niet worden gewijzigd of verwijderd
- Wekelijkse SHA256-integriteitscontrole van elk depot
- ZFS-bestandssysteem met block-level checksums en periodieke scrubbing: silent data corruption (bit rot) wordt gedetecteerd en, met redundantie, automatisch hersteld
- ISO 27001 gecertificeerde datacenters binnen de EU
- Dagelijkse back-up in twee onafhankelijke ISO 27001 gecertificeerde datacenters binnen de EU
Zero-knowledge opslag
Softcrow is een zero-knowledge escrowprovider: de leverancier versleutelt client-side en Softcrow heeft nooit toegang tot de sleutel of de inhoud.
Softcrow slaat uitsluitend versleutelde depots op. De leverancier versleutelt het depot zelf, vóór aanlevering. De encryptiesleutel wordt nooit met Softcrow gedeeld, maar uitsluitend met de begunstigde.
Het depot is daarmee end-to-end versleuteld (E2EE): van leverancier naar begunstigde, zonder dat een tussenliggende partij de inhoud kan inzien. “Zero-knowledge” verwijst in deze context naar de positie van Softcrow als bewaarder, geen sleutel, geen toegang. Het is een architectuurprincipe, niet te verwarren met een zero-knowledge proof (ZKP) uit de cryptografie. Softcrow levert geen wiskundig bewijs; toegang is simpelweg uitgesloten doordat de encryptiesleutel ons nooit bereikt.
Dit betekent dat Softcrow technisch gezien niet bij de inhoud van een depot kan, zelfs als dat gewenst zou zijn. Geen toegang, geen inzage, geen risico op belangenverstrengeling. De neutraliteit van Softcrow als Trusted Third Party is daarmee niet alleen een belofte, maar in de architectuur verankerd.
Kwantumveilige aanlevering
Met de opkomst van kwantumcomputers worden traditionele versleutelingsmethoden steeds kwetsbaarder. De Softcrow CLI is daarop voorbereid.
De CLI maakt uitsluitend gebruik van AES-256 symmetrische versleuteling, aangedreven door 256-bit hardware-level entropie. Dit heeft twee belangrijke gevolgen:
- Bestand tegen Grover’s algoritme: AES-256 biedt ook na kwantumhalvering nog 128 bit effectieve beveiliging, wat rekenkundig onkraakbaar is
- Immuun voor Shor’s algoritme: doordat de CLI uitsluitend symmetrische versleuteling gebruikt, zijn er geen publieke of private sleutelparen die door Shor’s algoritme kunnen worden gebroken
In combinatie met de zero-knowledge architectuur, waarin Softcrow de encryptiesleutel nooit ziet, verzendt of opslaat, is een depot cryptografisch vergrendeld, volledig privé en wiskundig onkraakbaar, ongeacht hoe de technologie zich ontwikkelt.
CLI en eigen tooling
Bij Softcrow ben je vrij in de tooling voor compressie en versleuteling. Lever je aan via de web uploader, dan comprimeer en versleutel je het depot met de tooling van je keuze. De web uploader accepteert elk versleuteld bestand, ongeacht hoe het is aangemaakt. Softcrow adviseert AES256-ZIP. Dat is kwantumveilig, mits je een voldoende sterke sleutel gebruikt. Verder heeft Softcrow geen belang bij de methode of software die je kiest. Leg in de depotspecificatie wel vast welke compressie- en versleutelingsmethode je hebt toegepast. Zo kan de begunstigde het depot bij afgifte openen.
Wil je het jezelf makkelijker maken, dan biedt Softcrow een eigen Command Line Client (CLI). Die is beschikbaar voor al onze klanten. Daarin zijn compressie, versleuteling en aanlevering kwantumveilig geïntegreerd. Je kunt de CLI bovendien volledig automatiseren, bijvoorbeeld vanuit een pipeline. Zo kies je in één keer voor veiligheid, gemak én compatibiliteit bij afgifte. Dat geldt ook als die release pas over tientallen jaren plaatsvindt.
Open-source platform
Het Softcrow platform is volledig gebouwd op open-source software, draaiend op Debian Linux. Open-source betekent dat de software die we gebruiken publiekelijk auditeerbaar is, geen verborgen backdoors, geen vendor lock-in, geen gesloten componenten die je op hun woord moet vertrouwen.
Dit is een bewuste keuze die aansluit op hetzelfde principe als zero-knowledge: beveiliging die je kunt verifiëren, niet alleen beloven.
Geen vendor lock-in bij afgifte
Depots worden versleuteld en gecomprimeerd in het AES256-ZIP formaat. Dit is een bewuste keuze met drie voordelen tegelijk.
- Kwantumveilig: AES256-ZIP met een goede symmetrische sleutel biedt dezelfde kwantumresistentie als de rest van het platform
- Geen vendor lock-in: bij afgifte van het depot is de Softcrow CLI niet vereist. Voor een standaard depot volstaat een gangbaar archiefprogramma dat AES256-ZIP ondersteunt: 7-Zip (Windows, Linux en macOS) of WinZip (Windows). Voor incrementele depots is het open-source programma Restic vereist voor extractie
- Toekomstbestendig: bij overeenkomsten die tientallen jaren kunnen lopen is onafhankelijkheid van propriëtaire software geen luxe maar een vereiste. Compatibiliteit is hier een beveiligingsprincipe
Wil je meer weten over hoe wij beveiliging technisch hebben ingericht?