BYOK: per-tenant encryption keys через customer-managed KMS

## Что это Bring Your Own Key (BYOK) для крипто-чувствительных тенантов: workspace-credentials шифруются ключом, который тенант контролирует в своём KMS (AWS KMS, Azure Key Vault, GCP KMS, HashiCorp Vault). Мы только используем ключ через эфемерный API-call — никогда не храним. Что входит: - HKDF-derivation поверх KMS-ключа - Multi-KMS support: AWS / Azure / GCP / Vault - Key rotation: тенант ротирует свой root → cascade re-encrypt всех credentials - Crypto-shredding: тенант может удалить ключ → все данные «крипто-уничтожены» (proof-of-deletion для GDPR) - Performance: encryption-result кэш в memory (≤ 5 min TTL) - Audit emit на каждый KMS-call ## Зачем Без BYOK тенант доверяет нам с своими крипто-ключами — это barrier для финансовых, healthcare и defense клиентов. С BYOK они math-доказуемо контролируют доступ — даже мы не можем read без их KMS. ## Источники вдохновения - [InsForge/InsForge](https://github.com/InsForge/InsForge) - [trailbaseio/trailbase](https://github.com/trailbaseio/trailbase) - [moby/profiles](https://github.com/moby/profiles) ## 🔗 Linear - [PZD-376](https://linear.app/kuhjie/issue/PZD-376) — backing ticket