Daten, die per envoy versendet werden, sind vom Versand bis zum Empfang durchgängig verschlüsselt.
Das bedeutet, dass Daten nicht nur auf der Transportstrecke (wie bei https und sftp), sondern auch während ihrer Zwischenspeicherung auf dem envoy Server ununterbrochen und sicher verschlüsselt sind.
Dazu verwendet envoy eine Kombination aus symmetrischer (AES-128) und asymmetrischer Verschlüsselung (RSA-4096),
Für envoy Benutzer ist dieser Prozess durch die in envoy integrierte Schlüsselverwaltung vollkommen transparent.
Bei der Benutzer-Aktivierung wird für jeden Benutzer ein RSA-Schlüsselpaar erzeugt. Der private Schlüssel verbleibt immer beim Benutzer, der öffentliche Schlüssel wird an den envoy Server übertragen.
Beim Versenden eines Pakets wird ein symmetrischer Schlüssel K erzeugt, der zum Verschlüsseln der Paket-Daten mit AES-128 verwendet wird. Für jedem Empfängern wird dieser Schlüssel dann mit dessen öffentlichen Schlüssel (RSA-4096) als KR verschlüsselt. KR ist somit nur noch für den Besitzer des passenden privaten Schlüssels zu entschlüsseln.
Zum Empfangen der Daten wird vom Empfänger zunächst der für ihn verschlüsselte Schlüssel KR vom Server geladen. Der private Schlüssel wird dann zur Entschlüsselung verwendet, wodurch wieder der Schlüssel K vorliegt, mit dem die empfangenen Daten entschlüsselt werden können.