Knowmind · Dokumentation

Konzept

Bring Your Own Key.

Für Knowmind-interne LLM-Calls — Dokumenten-Indexierung, Entitäts-Extraktion, Reranking, Agenten — können Sie eigene Provider-Schlüssel hinterlegen. Knowmind gibt Ihnen Kontrolle über Modellwahl, Datenfluss und Abrechnung.

Unterstützte Provider

Anthropic
US
OpenAI
US
Google Gemini
Global
Mistral AIDE / EU
EU
Aleph Alpha (Pharia)DE / EU
DE
Azure OpenAIDE / EU
EU-konfigurierbar
Ollama (lokal)DE / EU
DE
LM Studio (lokal)DE / EU
DE
vLLM (eigene Hardware)DE / EU
DE

Wie wir Keys schützen

  1. Übertragung:TLS 1.3, Let's-Encrypt-Zertifikat. Eingabe-Formular verschlüsselt vor dem POST gar nicht, weil HTTPS das macht.
  2. Speicherung: AES-256-GCM mit einem pro-Tenant aus dem Master-KEK abgeleiteten Schlüssel (HKDF-SHA256). Der Master-KEK liegt nicht in der Datenbank und nicht in Backups, sondern in einer getrennten Secret-Quelle.
  3. Nutzung: Klartext lebt im RAM des Provider-Adapters für die Dauer eines Calls — Sekunden, nicht Stunden. Keine Logs, keine Tracing-Felder, keine Stack-Traces, in denen ein Key landen könnte.
  4. Frontend-Sicht: Nur maskierte Form sk-ant-***-xx7K. Klartext gibt's nie ans Browser-DOM.
  5. Rotation: Sie ersetzen oder deaktivieren Keys jederzeit selbst. Alte Keys werden inaktiv markiert, nicht gelöscht (Audit-Trail).

Wann BYOK greift, wann nicht

BYOK ist ausschließlich für Aufrufe relevant, die Knowmind selbst macht. Ein typisches Beispiel: Sie laden ein PDF hoch, Knowmind ruft Ihren Anthropic-Key, um Entitäten zu extrahieren. Wenn Sie hingegen via MCP aus Claude Desktop heraus arbeiten, läuft der Modell-Call über Ihre Subscription — Knowmind sieht nur die fertige Recall-Anfrage, nie Ihren Claude-Key. Mehr dazu unter Subscription-Pfad.