14 — Criptografia Aplicada à Koder Stack

Escolhas criptográficas concretas da Koder Stack: TLS, identity (Koder ID), kzip, key management, deployment em EVEO, e considerações específicas de produto.

Este arquivo é vivo — atualizar quando decisões arquiteturais relevantes mudarem.


1. Visão geral

A Koder Stack atende dois imperativos por design:

  • Self-hosted first (policies/self-hosted-first.kmd): nada de SaaS de terceiro pra crypto-critical paths quando há alternativa Koder ou OSS auditável.
  • Multi-tenant by default (policies/multi-tenant-by-default.kmd): todo schemaAPI carrega koder_user_id desde commit 1; isolamento via RLSkey-prefix.

Crypto-relevant components mapeados:

Componente Path Função
Koder ID services/foundation/id OAuth/OIDC provider; sole provider em toda Stack
Koder Flow flow.koder.dev Git hosting; usa TLS + SSH
Koder Jet infra/net/jet Web server único (substitui Caddy/nginx)
servicesfoundationcerts em s.khost1:9421 DNS-01 ACME via ClouDNS
servicesfoundationreporter retenção 7d events Crypto retention policies
kzip engines/sdk/kzip File encryption, recipient-mode keys
*ervices/crypto