Mitä on zero-knowledge-salaus? Yksinkertainen opas
Zero-knowledge-salaus tarkoittaa, että palveluntarjoaja ei pysty purkamaan dataasi. Tämä ei perustu käytäntöihin tai lupauksiin, vaan matematiikkaan: avaimia ei yksinkertaisesti ole palvelinpuolella.
Zero-knowledge vs. tavallinen pilvisalaus
| Ominaisuus | Tavallinen pilvisalaus | Zero-knowledge-salaus |
|---|---|---|
| Kuka hallitsee salausavaimia | Palveluntarjoaja | Vain sinä |
| Voi palveluntarjoaja purkaa salauksen | Kyllä | Ei |
| Voi viranomaisvaatimus saada datan | Kyllä | Ei (avaimia ei ole) |
| Tietomurto paljastaa datan | Mahdollisesti | Ei (vain salattu data) |
| Voiko salasanan palauttaa | Usein kyllä | Ei |
Miten zero-knowledge-salaus toimii
Zero-knowledge-arkkitehtuurissa avaimet eivät koskaan poistu laitteeltasi:
- Syötät salasanan laitteellasi.
- Salasanasta johdetaan kryptografinen avain paikallisesti (esim. PBKDF2-HMAC-SHA512:lla).
- Data salataan tällä avaimella laitteella ennen lähettämistä tai tallentamista.
- Palvelimelle lähetetään vain salattu data - ei avaimia, ei salasanaa.
- Palvelintarjoaja näkee vain salakirjoituksen, jota se ei pysty purkamaan.
Miksi "emme lue dataasi" -käytäntö ei riitä
Monilla palveluntarjoajilla on käytäntö, jossa luvataan, ettei dataa lueta. Käytäntö voi muuttua. Omistaja voi vaihtua. Viranomainen voi vaatia dataa, ja palveluntarjoaja voi olla velvollinen noudattamaan vaatimusta.
Zero-knowledge poistaa tarpeen luottaa käytäntöihin: palveluntarjoajalla ei ole avainta, joten sillä ei ole teknistä kykyä luovuttaa dataa.
Miten tunnistaa aito zero-knowledge-sovellus
- Salausavainten kerrotaan johdettavan laitteella salasanasta.
- Palveluntarjoajalla ei ole salausavaimia.
- Salasanaa ei voi palauttaa palveluntuen kautta.
- Mieluiten avoin lähdekoodi tai ulkoinen tietoturva-auditointi.
Varoitusmerkki: jos sovellus pystyy lähettämään salasanan sähköpostitse, se ei ole zero-knowledge.
Vaultairen zero-knowledge-arkkitehtuuri
Vaultaire johtaa salausavaimet salasanastasi PBKDF2-HMAC-SHA512-algoritmilla (310 000 iteraatiota) laitteellasi. Avaimet tallennetaan vain Secure Enclaveen - ne eivät poistu laitteelta koskaan.
Kuvat salataan AES-256-GCM:llä ennen tallentamista. Vaultairen palvelimilla tai iCloud-varmuuskopiossa on vain salattu data - meillä ei ole avaimia sen purkamiseen.
Lue lisää AES-256-salauksesta tai päästä-päähän-salauksesta.
Zero-knowledge - matematiikka, ei lupauksia.
Lataa Vaultaire ilmaiseksiUsein kysytyt kysymykset
- Mitä zero-knowledge tarkoittaa?
- Zero-knowledge tarkoittaa, että palveluntarjoajalla ei ole teknistä pääsyä dataan. Salausavaimet johdetaan käyttäjän salasanasta laitteella, eikä niitä koskaan lähetetä palvelimille. Palveluntarjoaja ei voi purkaa salausta edes halutessaan.
- Onko zero-knowledge sama kuin E2EE?
- Käsitteet liittyvät toisiinsa mutta eroavat. E2EE kuvaa siirtopolkua: data salataan lähettäjällä ja puretaan vain vastaanottajalla. Zero-knowledge kuvaa palveluntarjoajan tiedonsaantia: he eivät pysty lukemaan dataa edes palvelinpuolelta.
- Miten zero-knowledge-salaus varmistetaan?
- Etsi sovelluksen tietosuojaselosteesta ja teknisistä asiakirjoista: 1) Sanotaanko, että salausavaimet eivät poistu laitteelta? 2) Onko avoinlähdekoodi tai ulkoinen auditointi? 3) Onko salasanaa mahdollista palauttaa palvelintuen kautta - jos on, se ei ole zero-knowledge.