14 — Criptografia Aplicada à Koder Stack
Escolhas criptográficas concretas da Koder Stack: TLS, identity (Koder ID), kzip, key management, deployment em EVEO, e considerações específicas de produto.
Este arquivo é vivo — atualizar quando decisões arquiteturais relevantes mudarem.
1. Visão geral
A Koder Stack atende dois imperativos por design:
- Self-hosted first (
policies/self-hosted-first.kmd): nada de SaaS de terceiro pra crypto-critical paths quando há alternativa Koder ou OSS auditável. - Multi-tenant by default (
policies/multi-tenant-by-default.kmd): todo schemaAPI carregakoder_user_iddesde commit 1; isolamento via RLSkey-prefix.
Crypto-relevant components mapeados:
| Componente | Path | Função |
|---|---|---|
| Koder ID | services/foundation/id |
OAuth/OIDC provider; sole provider em toda Stack |
| Koder Flow | flow.koder.dev |
Git hosting; usa TLS + SSH |
| Koder Jet | infra/net/jet |
Web server único (substitui Caddy/nginx) |
| servicesfoundationcerts | em s.khost1:9421 |
DNS-01 ACME via ClouDNS |
| servicesfoundationreporter | retenção 7d events | Crypto retention policies |
| kzip | engines/sdk/kzip |
File encryption, recipient-mode keys |
| *ervices/crypto |