• 2 min de lectura
Supabase añade cifrado a nivel de campo con búsqueda
Supabase se integra ahora con CipherStash, permitiendo a los equipos cifrar campos sensibles mientras siguen realizando búsquedas, uniones e índices sobre datos de Postgres.

Imagen: Hacker News
Supabase ha lanzado una integración con CipherStash que aporta cifrado a nivel de campo con capacidad de búsqueda a los proyectos de Supabase sin exigir cambios en el esquema. La configuración es un único comando de CLI: npx stash init --supabase.
CipherStash es una plataforma de Control de Acceso a Nivel de Datos (DLAC) para aplicaciones basadas en Postgres. En lugar de limitarse a permisos a nivel de fila o tabla, DLAC aplica políticas a valores cifrados individuales. Esas políticas se hacen cumplir en el momento del descifrado y no en la capa de consultas.
Eso resuelve un compromiso común para equipos que manejan datos regulados. El cifrado tradicional a nivel de campo convierte los valores en bytes aleatorios desde el punto de vista de Postgres, lo que rompe las consultas WHERE email = ?, deshabilita el indexado útil y hace que las uniones fallen a menos que las aplicaciones recuperen las filas y las descifren en memoria. La alternativa es dejar los datos sensibles en texto plano.
CipherStash se presenta como una tercera opción. Los datos se cifran en la aplicación antes de llegar a la base de datos, con una clave única por valor. Cada campo cifrado se almacena como una única carga JSON que contiene el texto cifrado y Metadatos Cifrados Buscables (SEM). Según la compañía, eso proporciona a Postgres suficiente información para filtrar, ordenar y unir datos cifrados sin exponer el valor original.
La integración funciona mediante un wrapper cifrado del SDK de Supabase y es compatible con Supabase.js, Drizzle y Prisma Next en aplicaciones TypeScript. CipherStash afirma que las columnas cifradas siguen siendo compatibles con:

Recomendado
SQLite manejó 315 millones de solicitudes diarias en un portátil
- cláusulas WHERE
- coincidencia difusa de texto
- ORDER BY
- consultas JSON
Las claves se gestionan mediante ZeroKMS, el servicio de gestión de claves de conocimiento cero de CipherStash. La compañía afirma que las claves nunca salen del control del cliente, por lo que ni CipherStash ni Supabase pueden acceder a los datos en texto plano. Las claves también pueden dividirse entre regiones para cumplir requisitos de residencia vinculados a marcos como FedRAMP e IL4.
Para los casos en que un wrapper del SDK no sea práctico —como trabajos de análisis, herramientas de administración, workers en segundo plano en otros lenguajes o acceso directo a la base de datos— CipherStash Proxy puede situarse delante de Postgres y encargarse del cifrado y descifrado a través del protocolo de red de Postgres sin cambios en el código.
CipherStash dirige la integración a equipos que operan bajo HIPAA, GDPR y SOC 2, donde el cifrado con capacidad de búsqueda podría reducir tanto la carga de cumplimiento como la exposición en caso de brechas.
Enterprise Editor
Marcus follows the money. He covers enterprise software, cloud architecture, and the tectonic shifts in Big Tech strategy. He translates dense earnings calls and complex M&A activity into actionable insights about where the industry is actually heading. If a tech giant makes a silent pivot, Marcus is usually the first to notice.
vía Hacker News


