Hvad er nul-kendskab-kryptering? En enkel guide

Q: Er nul-kendskab-kryptering langsommere end almindelig kryptering?

Krypteringsoperationerne er identiske -- AES-256-GCM kører med samme hastighed uanset hvem der holder nøglen. De eneste ekstra omkostninger er nøgleafledning: kørsel af PBKDF2 med hundredtusindvis af iterationer tager ca. 0,5-2 sekunder på en moderne iPhone. Det sker én gang ved oplåsning af hvælvingen, ikke for hver fil.

Q: Betyder nul-kendskab at appen slet ikke indsamler data?

Ikke nødvendigvis. Nul-kendskab refererer til krypteringsarkitekturen -- udbyderen kan ikke tilgå krypteret indhold. En app kan stadig indsamle anonyme analyser eller fejlrapporter med brugerens samtykke. Hvad den ikke kan indsamle er indholdet af krypterede filer, krypteringsnøglen eller de legitimationsoplysninger der bruges til at aflede den.

Q: Hvordan adskiller nul-kendskab-kryptering sig fra Apples avancerede databeskyttelse?

Apples avancerede databeskyttelse udvider end-to-end-kryptering til de fleste iCloud-datakategorier. Vigtige forskelle fra dedikerede nul-kendskab-apps: ADP er opt-in (slået fra som standard), kræver et Apple-id og beskytter kun data inden for Apples økosystem. En nul-kendskab-hvælvingsapp fungerer uafhængigt af Apples infrastruktur, kræver ingen konto og kan tilføje funktioner som troværdig benægtelse, som ADP ikke tilbyder.

Nul-kendskab-kryptering betyder at udbyderen ikke kan tilgå dine data.

Nul-kendskab-kryptering er en kryptografisk arkitektur hvor tjenesteyderen ikke kan tilgå brugerdata, fordi krypteringsnøgler udelukkende afledes og gemmes på brugerens enhed og aldrig overføres til udbyderens servere. I modsætning til standardcloud-kryptering, hvor udbyderen holder nøglerne, betyder nul-kendskab-kryptering at ikke engang med en retskendelse, ved et databrud eller fra en uærlig medarbejder har udbyderen noget at udlevere. NIST's retningslinjer for nøglehåndtering (SP 800-57) fastlægger princippet om at nøglehåndtering bestemmer dataadgang -- nul-kendskab-kryptering fører dette princip til dets logiske konklusion.

Sådan fungerer nul-kendskab-kryptering

Den enkleste analogi: en hotelpengeskab hvor du selv sætter kombinationen og hotellet aldrig får den at vide. Glemmer du kombinationen, åbner hotellet ikke pengeskabet for dig. Det er ikke en designfejl. Det er designhensigten.

I tekniske termer fungerer nul-kendskab-kryptering i tre trin:

Nøgleafledning på enheden. Brugeren angiver legitimationsoplysninger (adgangskode, adgangssætning eller mønster). En nøgleafledningsfunktion (typisk PBKDF2 eller Argon2) kombinerer disse legitimationsoplysninger med et unikt kryptografisk salt og producerer en krypteringsnøgle. Dette sker udelukkende på brugerens enhed.
Kryptering inden overførsel. Alle data krypteres på enheden med den afledte nøgle inden de forlader enheden til cloud-opbevaring eller backup. Det krypterede output (chiffertekst) er det der uploades.
Udbyderen ser aldrig nøglen. Krypteringsnøglen eksisterer kun i enhedens hukommelse ved aktiv brug. Den overføres aldrig til udbyderens servere. Udbyderen gemmer krypterede blokke der er umulige at skelne fra tilfældige data.

Den afgørende begrænsning: hvis brugeren mister sine legitimationsoplysninger og ikke har nogen gendannelsessætning, er data permanent utilgængelige. Der er intet "glemt adgangskode"-flow der fungerer uden en uafhængigt gemt gendannelsesmekanisme. Hvis en tjeneste tilbyder nulstilling af adgangskode via e-mail og dine data dukker op igen, bruger den tjeneste ikke nul-kendskab-kryptering. Den holder dine nøgler.

Nul-kendskab-kryptering vs. andre typer kryptering

Begrebet "kryptering" optræder i markedsføringsmateriale fra næsten enhver cloud-tjeneste. Forskellene mellem typerne er væsentlige.

Type	Hvem holder nøglen	Udbyderen kan læse data	Overlever udbyderbrud	Eksempel
Ingen kryptering	Ingen	Ja	Nej	Dropbox (standardniveau)
Kryptering under overførsel (TLS)	Udbyder	Ja (i hvile på deres servere)	Nej	Google Fotos
Serversidekryptering i hvile	Udbyder	Ja (holder dekrypteringsnøglen)	Delvist (afhænger af bruddets omfang)	iCloud (standard)
Udbyderstyret E2E-kryptering	Udbyder genererer, bruger gemmer	Teknisk nej, men udbyder havde adgang ved nøglegenerering	Delvist	iCloud Avanceret databeskyttelse
Nul-kendskab-kryptering	Kun bruger (afledt på enhed)	Nej. Matematisk umuligt.	Ja. Krypterede blokke er ubrugelige uden brugerens nøgle.	Signal, Proton Mail, Vaultaire

Forskellen mellem "kryptering i hvile" og "nul-kendskab-kryptering" er den hyppigst forvekslede. Ved kryptering i hvile krypterer udbyderen dine data på sine servere med nøgler han kontrollerer. Det beskytter mod fysisk tyveri af serverhardware. Det beskytter ikke mod udbyderens læsning af dine data, en statslig stævning for data og nøgler, eller en intern trussel. Udbyderen har dekrypteringsevnen.

Med nul-kendskab-kryptering får udbyderen aldrig dekrypteringsevnen. Krypterede data på hans servere er lige så uigennemsigtige for ham som for enhver ekstern angriber.

Hvorfor nul-kendskab-kryptering er vigtigt

Databrud rammer milliarder af poster hvert år

Identity Theft Resource Center registrerede 3.205 databrud i USA i 2023, der berørte ca. 353 millioner personer. Når en udbyder der holder krypteringsnøgler kompromitteres, får angriberen potentielt adgang til både de krypterede data og nøglerne til at dekryptere dem. Nul-kendskab-arkitektur eliminerer denne risiko fuldstændigt. En kompromitteret server indeholder kun chiffertekst der er beregningsmæssigt upraktisk at bryde.

Juridisk tvang er en reel trussel

Statslige myndigheder i forskellige jurisdiktioner kan tvinge udbydere til at udlevere gemte data. Hvis udbyderen holder krypteringsnøgler, skal han efterkomme det. Med nul-kendskab-arkitektur er udbyderens svar på en stævning en krypteret blob der er ubrugelig uden brugerens legitimationsoplysninger. Apples avancerede databeskyttelse til iCloud gik i denne retning, men blev introduceret først i iOS 16.2 (december 2022) og er ikke slået til som standard.

"Stol på os" er ikke en sikkerhedsarkitektur

Standardkryptering er baseret på udbyderens løfte om ikke at tilgå dine data. Nul-kendskab-kryptering erstatter dette løfte med en matematisk garanti. Udbyderen kan ikke tilgå data, selv når han vil, selv når en medarbejder svigter, selv når han købes af en virksomhed med andre fortrolighedsværdier. Arkitekturen håndhæver denne begrænsning.

NIST-standarden bag kryptografien

AES-256-GCM, den chiffer der oftest bruges i nul-kendskab-implementeringer, blev standardiseret af National Institute of Standards and Technology i SP 800-38D (2007). AES selv blev valgt af NIST via en offentlig konkurrence i 2001, og erstattede den aldrende DES-standard. "256" refererer til nøglelængden i bits -- en 256-bit nøgle har 2^256 mulige værdier, et tal så stort at brute force-brydning ville kræve mere energi end solen producerer i resten af sin levetid.

GCM (Galois/Counter Mode) tilføjer autentificeret kryptering, hvilket betyder at dekrypteringsprocessen vil afsløre enhver manipulation af chifferteksten. Hvis én bit af krypterede data ændres, slår dekryptering fejl i stedet for at producere korrupt output. Det forhindrer angribere i at manipulere med krypterede data uden at blive afsløret.

PBKDF2 (Password-Based Key Derivation Function 2), specificeret i RFC 8018, konverterer menneskeangivne legitimationsoplysninger til en kryptografisk nøgle via gentaget hashing. At køre hashfunktionen hundredtusindvis af gange gør hvert forsøg på at gætte adgangskoden beregningsmæssigt dyrt, og transformerer et simpelt mønster eller adgangskode til en nøgle der er modstandsdygtig over for brute force-angreb.

Sådan implementerer Vaultaire nul-kendskab-kryptering

Vaultaire er en iPhone-hvælvingsapp bygget på nul-kendskab-arkitektur. Her er en beskrivelse af implementeringen på hvert lag.

Nøgleafledning. Brugeren tegner et mønster på et 5x5-gitter med 25 punkter. Sekvensen af punkter i rækkefølge behandles via PBKDF2 med HMAC-SHA512 og et unikt kryptografisk salt specifikt for hver hvælving. Resultatet er en 256-bit AES-krypteringsnøgle. Mønsteret gemmes aldrig på enheden. Ikke som et hash, ikke som en repræsentation, ikke i nogen form.

Filkryptering. Hver importeret fil krypteres med AES-256-GCM med den afledte nøgle og en tilfældigt genereret initialiseringsvektor (IV) unik for den pågældende fil. Identiske filer producerer forskellig chiffertekst fordi IV'erne adskiller sig.

Metadatakryptering. Filnavne, oprettelsesdatoer og miniaturebilleddata krypteres separat med ChaCha20, en anden chiffer der giver kryptografisk diversitet og eliminerer side-channel-angreb via cache-timing.

Nøglehåndtering. Apple Secure Enclave gemmer nøglemateriale i en dedikeret hardwarekoprocessor med sin egen krypterede hukommelse. Nøgler slettes fra appens hukommelse når Vaultaire lukkes eller brugeren skifter til en anden app.

Intet hvælvingsregister. Der er ingen database med en liste over hvælvinger, intet antal, ingen navne. Hvert mønster åbner en anden hvælving. Appen selv kan ikke finde ud af hvor mange hvælvinger der eksisterer. Læs hele sikkerhedsarkitekturen og forklaringen af mønsterkryptering.

Sådan afgør du om en app faktisk bruger nul-kendskab-kryptering

Tre tests der tager under et minut:

Test af glemt adgangskode. Hvis appen kan nulstille din adgangskode via e-mail og dine data dukker op igen, holder appen dine krypteringsnøgler. Den er ikke nul-kendskab.
Test på ny enhed. Hvis du logger ind på en ny enhed og dine data vises uden at overføre nøgler fra den gamle enhed eller indtaste en gendannelsessætning, har serveren dine nøgler. Den er ikke nul-kendskab.
Kontotest. Hvis appen kræver en e-mailadresse eller et telefonnummer, har udbyderen en forbindelse mellem din identitet og dine data. Det er ikke i sig selv diskvalificerende, men i kombination med en af ovenstående tests bekræfter det at udbyderen kan tilgå dine data.

Apps der består alle tre tests: Signal, Proton Mail, Standard Notes, Vaultaire. Apps der fejler mindst én: de fleste cloud-lagringstjenester, de fleste "hvælvings"-apps i App Store.

Ofte stillede spørgsmål

Er nul-kendskab-kryptering det samme som end-to-end-kryptering?

De overlapper, men er ikke identiske. End-to-end-kryptering (E2EE) betyder at data krypteres på afsenderens enhed og kun dekrypteres på modtagerens enhed. Nul-kendskab-kryptering betyder at udbyderen ikke kan tilgå dataene. En tjeneste kan være end-to-end-krypteret uden at være nul-kendskab, hvis udbyderen genererede nøglerne eller havde adgang til dem på et tidspunkt. Nul-kendskab-kryptering er en strengere standard.

Hvad sker der hvis jeg mister min adgangskode med nul-kendskab-kryptering?

Dine data bliver permanent utilgængelige. Der er ingen hovednøgle, ingen bagdør og ingen gendannelsesproces der fungerer uden en separat gemt gendannelsessætning. Dette er den grundlæggende afvejning: absolut fortrolighed kræver absolut ansvar. Nogle nul-kendskab-apps (inklusive Vaultaire) genererer en gendannelsessætning ved hvælvingsoprettelse, som kan gendanne krypteringsnøglen ved tab af de primære legitimationsoplysninger.

Kan politiet tilgå data krypteret med nul-kendskab-kryptering?

Myndigheder kan tvinge udbyderen til at udlevere gemte data. Med nul-kendskab-kryptering er de data udbyderen udleverer en krypteret blob der er ubrugelig uden brugerens nøgle. Om myndigheder kan tvinge brugeren til at udlevere nøglen er et separat juridisk spørgsmål der afhænger af jurisdiktionen. Domstole i USA har generelt afgjort at tvungen biometrisk adgang (Face ID, fingeraftryk) er tilladt, mens tvungen videregivelse af adgangskode/mønster er mere omstridt under det femte tillæg.

Er nul-kendskab-kryptering langsommere end almindelig kryptering?

Krypterings- og dekrypteringsoperationerne er identiske. AES-256-GCM kører med samme hastighed uanset hvem der holder nøglen. De eneste ekstra omkostninger er nøgleafledning: kørsel af PBKDF2 med hundredtusindvis af iterationer tager ca. 0,5-2 sekunder på en moderne iPhone. Det sker én gang ved oplåsning af hvælvingen, ikke for hver fil. I praksis bemærker brugere ikke hastighedsforskellen.

Betyder nul-kendskab at appen slet ikke indsamler data?

Ikke nødvendigvis. Nul-kendskab refererer specifikt til krypteringsarkitekturen. Udbyderen kan ikke tilgå krypteret indhold. En app kan stadig indsamle anonyme analyser, fejlrapporter eller brugsmetadata med brugerens samtykke. Hvad den ikke kan indsamle er indholdet af krypterede filer, krypteringsnøglen eller de legitimationsoplysninger der bruges til at aflede den. Vaultaires fortrolighedspolitik beskriver præcis hvilke valgfrie data der indsamles med brugerens samtykke.

Hvordan adskiller nul-kendskab-kryptering sig fra Apples avancerede databeskyttelse?

Apples avancerede databeskyttelse (ADP), introduceret i iOS 16.2, udvider end-to-end-kryptering til de fleste iCloud-datakategorier. Med ADP aktiveret kan Apple ikke tilgå beskyttede data. Vigtige forskelle fra en dedikeret nul-kendskab-app: ADP er opt-in (slået fra som standard), kræver et Apple-id og beskytter kun data inden for Apples økosystem. En nul-kendskab-hvælvingsapp som Vaultaire fungerer uafhængigt af Apples infrastruktur, kræver ingen konto og tilføjer funktioner som troværdig benægtelse og nødhvælving, som ADP ikke tilbyder.

Sammenfatning

Nul-kendskab-kryptering er en arkitektur hvor udbyderen matematisk ikke kan tilgå brugerdata, fordi krypteringsnøgler aldrig forlader brugerens enhed. Det adskiller sig fra standardkryptering, kryptering i hvile og endda nogle former for end-to-end-kryptering på én afgørende måde: udbyderens manglende evne til at tilgå data håndhæves af matematik, ikke politik. Afvejningen -- tab af nøgle betyder datatab -- er ikke en fejl. Det er den mekanisme der gør garantien reel.

Læs sikkerhedsarkitekturen

Hent Vaultaire gratis