Was ist Zero-Knowledge-Verschlüsselung? Ein einfacher Leitfaden
Zero-Knowledge-Verschlüsselung bedeutet, dass der Anbieter nicht auf Ihre Daten zugreifen kann.
Zero-Knowledge-Verschlüsselung ist eine kryptographische Architektur, bei der der Dienstanbieter nicht auf Benutzerdaten zugreifen kann, weil Verschlüsselungsschlüssel ausschließlich auf dem Gerät des Benutzers abgeleitet und gespeichert werden und niemals an die Server des Anbieters übermittelt werden. Im Gegensatz zur Standard-Cloud-Verschlüsselung, bei der der Anbieter die Schlüssel hält, bedeutet Zero-Knowledge-Verschlüsselung, dass selbst mit einem Gerichtsbeschluss, einer Datenpanne oder einem unehrlichen Mitarbeiter der Anbieter nichts zu übergeben hat. NISTsRichtlinien zum Schlüsselmanagement (SP 800-57) etablieren das Prinzip, dass Schlüsselverwahrung den Datenzugang bestimmt — Zero-Knowledge-Verschlüsselung nimmt dies zu ihrem logischen Schluss.
Wie Zero-Knowledge-Verschlüsselung funktioniert
Die einfachste Analogie: ein Hoteltresor, bei dem nur Sie die Kombination einstellen und das Hotel sie nie erfährt. Wenn Sie die Kombination vergessen, kann das Hotel den Tresor nicht für Sie öffnen. Das ist kein Fehler im Design. Das ist das Design.
In technischen Begriffen funktioniert Zero-Knowledge-Verschlüsselung durch drei Schritte:
Schlüsselableitung auf dem Gerät. Der Benutzer gibt eine Anmeldeinformation an (Passwort, Passphrase oder Muster). Eine Schlüsselableitungsfunktion (typischerweise PBKDF2 oder Argon2) kombiniert diese Anmeldeinformation mit einem einzigartigen kryptographischen Salt, um einen Verschlüsselungsschlüssel zu erzeugen. Dies geschieht vollständig auf dem Gerät des Benutzers.
Verschlüsselung vor der Übertragung. Alle Daten werden auf dem Gerät mit dem abgeleiteten Schlüssel verschlüsselt, bevor sie das Gerät für den Cloud-Speicher oder das Backup verlassen. Die verschlüsselte Ausgabe (Chiffretext) wird hochgeladen.
Der Anbieter sieht den Schlüssel nie. Der Verschlüsselungsschlüssel existiert nur im Gerätespeicher während der aktiven Nutzung. Er wird niemals an die Server des Anbieters übermittelt. Der Anbieter speichert verschlüsselte Blobs, die von zufälligen Daten nicht zu unterscheiden sind.
Die kritische Einschränkung: Wenn der Benutzer seine Anmeldeinformation verliert und keine Wiederherstellungsphrase hat, sind die Daten dauerhaft unzugänglich. Es gibt keinen „Passwort vergessen"-Ablauf, der ohne einen unabhängig gespeicherten Wiederherstellungsmechanismus funktioniert. Wenn ein Dienst eine Passwort-Zurücksetzung per E-Mail anbietet und Ihre Daten wieder erscheinen, verwendet dieser Dienst keine Zero-Knowledge-Verschlüsselung. Er hält Ihre Schlüssel.
Zero-Knowledge-Verschlüsselung vs. andere Arten von Verschlüsselung
Der Begriff „Verschlüsselung" erscheint in Marketingmaterialien für fast jeden Cloud-Dienst. Die Unterschiede zwischen den Typen sind erheblich.
| Typ | Wer hält den Schlüssel | Anbieter kann Daten lesen | Übersteht Anbieter-Verstoß | Beispiel |
|---|---|---|---|---|
| Keine Verschlüsselung | N/A | Ja | Nein | Dropbox (Standard-Stufe) |
| Verschlüsselung während der Übertragung (TLS) | Anbieter | Ja (im Ruhezustand auf ihren Servern) | Nein | Google Fotos |
| Serverseitige Verschlüsselung im Ruhezustand | Anbieter | Ja (sie hält den Entschlüsselungsschlüssel) | Teilweise | iCloud (Standard) |
| Vom Anbieter verwaltete E2E-Verschlüsselung | Anbieter generiert, Benutzer speichert | Technisch nein, aber Anbieter hatte Zugang bei Schlüsselgenerierung | Teilweise | iCloud Advanced Data Protection |
| Zero-Knowledge-Verschlüsselung | Nur Benutzer (auf Gerät abgeleitet) | Nein. Mathematisch unmöglich. | Ja. Verschlüsselte Blobs sind ohne den Schlüssel des Benutzers nutzlos. | Signal, Proton Mail, Vaultaire |
Die Unterscheidung zwischen „Verschlüsselung im Ruhezustand" und „Zero-Knowledge-Verschlüsselung" ist die am häufigsten verwechselte. Mit Verschlüsselung im Ruhezustand verschlüsselt der Anbieter Ihre Daten auf seinen Servern mit von ihm kontrollierten Schlüsseln. Dies schützt vor physischem Diebstahl der Server-Hardware. Es schützt nicht vor dem Anbieter, der Ihre Daten liest, einer Regierungsvorladung nach Daten und Schlüsseln oder einer Insider-Bedrohung.
Mit Zero-Knowledge-Verschlüsselung hat der Anbieter nie die Entschlüsselungsfähigkeit.
Warum Zero-Knowledge-Verschlüsselung wichtig ist
Datenpannen betreffen jährlich Milliarden von Datensätzen
Das Identity Theft Resource Center berichtete 3.205 Datenkompromittierungen in den Vereinigten Staaten im Jahr 2023, die etwa 353 Millionen Personen betrafen. Wenn ein Anbieter, der Verschlüsselungsschlüssel hält, kompromittiert wird, erhält der Angreifer möglicherweise Zugang zu sowohl den verschlüsselten Daten als auch den Schlüsseln zur Entschlüsselung. Zero-Knowledge-Architektur eliminiert dieses Risiko vollständig.
Rechtlicher Zwang ist eine reale Bedrohung
Regierungsbehörden in mehreren Rechtsordnungen können Anbieter zwingen, gespeicherte Daten herauszugeben. Wenn der Anbieter Verschlüsselungsschlüssel hält, müssen sie nachkommen. Unter Zero-Knowledge-Architektur ist die Antwort des Anbieters auf eine Vorladung der verschlüsselte Blob, der ohne die Anmeldeinformation des Benutzers nutzlos ist.
„Vertrau uns" ist keine Sicherheitsarchitektur
Standard-Verschlüsselung stützt sich auf das Versprechen des Anbieters, nicht auf Ihre Daten zuzugreifen. Zero-Knowledge-Verschlüsselung ersetzt dieses Versprechen durch eine mathematische Garantie. Der Anbieter kann nicht auf die Daten zugreifen, selbst wenn er es möchte, selbst wenn ein Mitarbeiter unehrlich wird, selbst wenn er von einem Unternehmen mit anderen Datenschutzwerten übernommen wird.
Der NIST-Standard hinter der Kryptographie
AES-256-GCM, die am häufigsten in Zero-Knowledge-Implementierungen verwendete Chiffre, wurde vom National Institute of Standards and Technology in SP 800-38D (2007) standardisiert. AES selbst wurde von NIST durch einen öffentlichen Wettbewerb im Jahr 2001 ausgewählt. Die „256" bezieht sich auf die Schlüssellänge in Bits — ein 256-Bit-Schlüssel hat 2^256 mögliche Werte, eine Zahl so groß, dass ihre Brutzkraft-Entschlüsselung mehr Energie erfordern würde, als die Sonne in ihrer verbleibenden Lebenszeit produzieren wird.
GCM (Galois/Counter Mode) fügt authentifizierte Verschlüsselung hinzu, was bedeutet, dass der Entschlüsselungsprozess jede Manipulation des Chiffretexts erkennt. Wenn ein einzelnes Bit der verschlüsselten Daten geändert wird, schlägt die Entschlüsselung fehl, anstatt korrumpierte Ausgabe zu produzieren.
PBKDF2 (Password-Based Key Derivation Function 2), spezifiziert in RFC 8018, wandelt eine vom Menschen angegebene Anmeldeinformation durch wiederholtes Hashing in einen kryptographischen Schlüssel um. Das Ausführen der Hash-Funktion Hunderttausende von Malen macht jede Passwortvermutung rechenintensiv.
Wie Vaultaire Zero-Knowledge-Verschlüsselung implementiert
Vaultaire ist eine Safe-App für iPhone, die auf Zero-Knowledge-Architektur aufgebaut ist. Hier ist, wie die Implementierung auf jeder Schicht funktioniert.
Schlüsselableitung. Der Benutzer zeichnet ein Muster auf einem 5x5-Raster aus 25 Punkten. Die Sequenz der Punkte, in Reihenfolge, fließt in PBKDF2 mit HMAC-SHA512 und einem einzigartigen kryptographischen Salt pro Safe ein. Die Ausgabe ist ein 256-Bit-AES-Verschlüsselungsschlüssel. Das Muster wird niemals auf dem Gerät gespeichert. Nicht als Hash, nicht als Darstellung, nicht in irgendeiner Form.
Dateiverschlüsselung. Jede importierte Datei wird mit AES-256-GCM unter Verwendung des abgeleiteten Schlüssels und eines zufällig generierten Initialisierungsvektors (IV), der für diese Datei einzigartig ist, verschlüsselt. Identische Dateien produzieren unterschiedlichen Chiffretext, weil der IV sich unterscheidet.
Metadatenverschlüsselung. Dateinamen, Erstellungsdaten und Thumbnail-Daten werden separat mit ChaCha20 verschlüsselt, einer anderen Chiffre als die Dateiverschlüsselung (AES-256-GCM).
Schlüsselmanagement. Das Apple Secure Enclave speichert Schlüsselmaterial in einem dedizierten Hardware-Koprozessor mit eigenem verschlüsselten Speicher. Schlüssel werden aus dem App-Speicher gelöscht, wenn Vaultaire schließt oder der Benutzer wechselt.
Kein Safe-Register. Es gibt keine Datenbank, die Safes auflistet, keine Anzahl, keine Namen. Jedes Muster öffnet einen anderen Safe. Die App selbst kann nicht bestimmen, wie viele Safes vorhanden sind. Sehen Sie die vollständige Sicherheitsarchitektur und Musterverschlüsselungserklärung.
Wie man erkennt, ob eine App wirklich Zero-Knowledge-Verschlüsselung verwendet
Drei Tests, die weniger als eine Minute dauern:
Der Passwort-Vergessen-Test. Wenn die App Ihr Passwort per E-Mail zurücksetzen kann und Ihre Daten wieder erscheinen, hält die App Ihre Verschlüsselungsschlüssel. Kein Zero-Knowledge.
Der Neues-Gerät-Test. Wenn Sie sich auf einem neuen Gerät anmelden und Ihre Daten erscheinen, ohne Schlüssel vom alten Gerät zu übertragen oder eine Wiederherstellungsphrase einzugeben, hat der Server Ihre Schlüssel. Kein Zero-Knowledge.
Der Konto-Test. Wenn die App eine E-Mail-Adresse oder Telefonnummer erfordert, hat der Anbieter eine Verbindung zwischen Ihrer Identität und Ihren Daten. Dies ist nicht unbedingt disqualifizierend, aber in Kombination mit einem der oben genannten bestätigt es, dass der Anbieter auf Ihre Daten zugreifen kann.
Apps, die alle drei bestehen: Signal, Proton Mail, Standard Notes, Vaultaire. Apps, die mindestens einen verfehlen: die meisten Cloud-Speicherdienste, die meisten „Safe"-Apps im App Store.
Häufig gestellte Fragen
Ist Zero-Knowledge-Verschlüsselung dasselbe wie Ende-zu-Ende-Verschlüsselung?
Sie überschneiden sich, sind aber nicht identisch. Ende-zu-Ende-Verschlüsselung (E2EE) bedeutet, dass Daten auf dem Gerät des Absenders verschlüsselt und nur auf dem Gerät des Empfängers entschlüsselt werden. Zero-Knowledge-Verschlüsselung bedeutet, dass der Anbieter nicht auf die Daten zugreifen kann. Ein Dienst kann E2EE sein ohne Zero-Knowledge zu sein, wenn der Anbieter zu einem Zeitpunkt Zugang zu den Schlüsseln hatte. Zero-Knowledge-Verschlüsselung ist der strengere Standard.
Was passiert, wenn ich mein Passwort bei Zero-Knowledge-Verschlüsselung verliere?
Ihre Daten werden dauerhaft unzugänglich. Es gibt keinen Hauptschlüssel, keine Hintertür und keinen Wiederherstellungsprozess, der ohne eine separat gespeicherte Wiederherstellungsphrase funktioniert. Dies ist der grundlegende Kompromiss: absolute Privatsphäre erfordert absolute Verantwortung. Einige Zero-Knowledge-Apps (einschließlich Vaultaire) generieren bei der Safe-Erstellung eine Wiederherstellungsphrase, die den Verschlüsselungsschlüssel regenerieren kann, wenn die primäre Anmeldeinformation verloren geht.
Können Strafverfolgungsbehörden auf Zero-Knowledge-verschlüsselte Daten zugreifen?
Strafverfolgungsbehörden können den Anbieter zwingen, gespeicherte Daten herauszugeben. Bei Zero-Knowledge-Verschlüsselung ist die herausgegebene Datei ein verschlüsselter Blob, der ohne den Schlüssel des Benutzers nutzlos ist. Ob Strafverfolgungsbehörden den Benutzer zwingen können, den Schlüssel zu liefern, ist eine separate Rechtsfrage, die je nach Rechtsordnung variiert.
Ist Zero-Knowledge-Verschlüsselung langsamer als reguläre Verschlüsselung?
Die Verschlüsselungs- und Entschlüsselungsoperationen sind identisch. AES-256-GCM läuft mit derselben Geschwindigkeit, unabhängig davon, wer den Schlüssel hält. Die einzigen zusätzlichen Kosten sind die Schlüsselableitung: PBKDF2 mit Hunderttausenden von Iterationen dauert auf einem modernen iPhone etwa 0,5-2 Sekunden. Dies geschieht einmal beim Safe-Entsperren, nicht pro Datei. In der Praxis bemerken Benutzer keinen Geschwindigkeitsunterschied.
Bedeutet Zero-Knowledge, dass die App überhaupt keine Daten sammelt?
Nicht unbedingt. Zero-Knowledge bezieht sich speziell auf die Verschlüsselungsarchitektur. Der Anbieter kann nicht auf die verschlüsselten Inhalte zugreifen. Die App kann immer noch anonyme Analysen, Absturzberichte oder Nutzungsmetadaten sammeln, wenn der Benutzer einwilligt. Was sie nicht sammeln kann, sind die Inhalte verschlüsselter Dateien, der Verschlüsselungsschlüssel oder die zur Ableitung verwendeten Anmeldedaten. Vaultaires Datenschutzrichtlinie beschreibt genau, welche optionalen Daten mit Benutzergenehmigung gesammelt werden.
Wie vergleicht sich Zero-Knowledge-Verschlüsselung mit Apples Advanced Data Protection?
Apples Advanced Data Protection (ADP), eingeführt in iOS 16.2, erweitert die Ende-zu-Ende-Verschlüsselung auf die meisten iCloud-Datenkategorien. Mit aktiviertem ADP kann Apple nicht auf die geschützten Daten zugreifen. Die wesentlichen Unterschiede zu einer dedizierten Zero-Knowledge-App: ADP ist opt-in (standardmäßig deaktiviert), erfordert eine Apple-ID und schützt Daten nur innerhalb von Apples Ökosystem. Eine Zero-Knowledge-Safe-App wie Vaultaire funktioniert unabhängig von Apples Infrastruktur, erfordert kein Konto und fügt Funktionen wie glaubhafte Abstreitbarkeit und Notfall-Modus hinzu, die ADP nicht bietet.
Zusammenfassung
Zero-Knowledge-Verschlüsselung ist die Architektur, bei der der Anbieter mathematisch nicht auf Benutzerdaten zugreifen kann, weil Verschlüsselungsschlüssel nie das Gerät des Benutzers verlassen. Sie unterscheidet sich von Standard-Verschlüsselung, Verschlüsselung im Ruhezustand und sogar einigen Formen der Ende-zu-Ende-Verschlüsselung in einem kritischen Punkt: Die Unfähigkeit des Anbieters, auf Daten zuzugreifen, wird durch Mathematik erzwungen, nicht durch Politik. Der Kompromiss — den Schlüssel zu verlieren bedeutet, die Daten zu verlieren — ist kein Fehler. Es ist der Mechanismus, der die Garantie real macht.