Что такое шифрование с нулевым разглашением? Простое руководство
Шифрование с нулевым разглашением означает, что провайдер не может получить доступ к вашим данным.
Шифрование с нулевым разглашением — это криптографическая архитектура, при которой провайдер услуг не может получить доступ к данным пользователя, поскольку ключи шифрования формируются и хранятся исключительно на устройстве пользователя и никогда не передаются на серверы провайдера. В отличие от стандартного облачного шифрования, где провайдер хранит ключи, шифрование с нулевым разглашением означает: даже по судебному ордеру, при утечке данных или со стороны недобросовестного сотрудника провайдеру нечего передать. Руководство NIST по управлению ключами (SP 800-57) устанавливает принцип: владение ключом определяет доступ к данным. Шифрование с нулевым разглашением доводит этот принцип до логического завершения.
Как работает шифрование с нулевым разглашением
Простейшая аналогия: сейф в гостинице, где только вы устанавливаете комбинацию, а гостиница её никогда не узнаёт. Если вы забудете комбинацию, гостиница не сможет открыть сейф. Это не недостаток конструкции. Это и есть конструкция.
Технически шифрование с нулевым разглашением работает в три этапа:
Формирование ключа на устройстве. Пользователь предоставляет учётные данные (пароль, кодовую фразу или графический ключ). Функция формирования ключа (обычно PBKDF2 или Argon2) объединяет эти данные с уникальной криптографической солью для создания ключа шифрования. Это происходит исключительно на устройстве пользователя.
Шифрование перед передачей. Все данные шифруются на устройстве с помощью производного ключа до того, как покинут устройство для облачного хранения или резервного копирования. Зашифрованный результат (шифротекст) — это то, что загружается.
Провайдер никогда не видит ключ. Ключ шифрования существует только в памяти устройства во время активного использования. Он никогда не передаётся на серверы провайдера. Провайдер хранит зашифрованные блоки, неотличимые от случайных данных.
Критическое ограничение: если пользователь теряет свои учётные данные и не имеет фразы восстановления, данные становятся навсегда недоступными. Не существует функции «забыл пароль», работающей без независимо хранящегося механизма восстановления. Если сервис предлагает сброс пароля по email и ваши данные снова появляются, это не шифрование с нулевым разглашением. Сервис хранит ваши ключи.
Шифрование с нулевым разглашением vs другие типы шифрования
Слово «шифрование» встречается в маркетинговых материалах почти каждого облачного сервиса. Различия между типами существенны.
| Тип | Кто хранит ключ | Провайдер может читать данные | Защищает при утечке у провайдера | Пример |
|---|---|---|---|---|
| Без шифрования | Н/П | Да | Нет | Dropbox (стандартный уровень) |
| Шифрование при передаче (TLS) | Провайдер | Да (при хранении на их серверах) | Нет | Google Фото |
| Серверное шифрование при хранении | Провайдер | Да (они хранят ключ дешифрования) | Частично (зависит от масштаба утечки) | iCloud (стандартный) |
| E2E-шифрование с управлением ключами провайдером | Провайдер создаёт, пользователь хранит | Технически нет, но провайдер имел доступ при создании ключа | Частично | iCloud с расширенной защитой данных |
| Шифрование с нулевым разглашением | Только пользователь (формируется на устройстве) | Нет. Математически невозможно. | Да. Зашифрованные блоки бесполезны без ключа пользователя. | Signal, Proton Mail, Vaultaire |
Наиболее часто путают «шифрование при хранении» и «шифрование с нулевым разглашением». При шифровании при хранении провайдер шифрует ваши данные на своих серверах с помощью ключей, которые он контролирует. Это защищает от физической кражи серверного оборудования. Но не защищает от провайдера, читающего ваши данные, от судебного ордера на данные и ключи или от внутренних угроз. Провайдер сохраняет возможность дешифрования.
При шифровании с нулевым разглашением провайдер никогда не имеет возможности дешифрования. Зашифрованные данные на их серверах так же непрозрачны для них, как и для любого внешнего злоумышленника.
Почему важно шифрование с нулевым разглашением
Утечки данных ежегодно затрагивают миллиарды записей
Центр по вопросам кражи личных данных сообщил о 3205 компрометациях данных в США в 2023 году, затронувших приблизительно 353 миллиона человек. Когда провайдер, хранящий ключи шифрования, подвергается взлому, злоумышленник потенциально получает доступ как к зашифрованным данным, так и к ключам для их расшифровки. Архитектура с нулевым разглашением полностью устраняет этот риск. Взломанный сервер содержит только шифротекст, дешифрование которого вычислительно невозможно.
Правовое принуждение — реальная угроза
Государственные органы в нескольких юрисдикциях могут обязать провайдеров передать хранящиеся данные. Если провайдер хранит ключи шифрования, он обязан подчиниться. При архитектуре с нулевым разглашением ответ провайдера на судебный ордер — это зашифрованный блок, бесполезный без учётных данных пользователя. Расширенная защита данных Apple для iCloud движется в этом направлении, но была представлена только в iOS 16.2 (декабрь 2022 года) и не включена по умолчанию.
«Доверьтесь нам» — это не архитектура безопасности
Стандартное шифрование основывается на обещании провайдера не получать доступ к вашим данным. Шифрование с нулевым разглашением заменяет это обещание математической гарантией. Провайдер не может получить доступ к данным, даже если захочет, даже если сотрудник окажется недобросовестным, даже если компанию приобретёт организация с иными ценностями в области конфиденциальности. Архитектура обеспечивает это ограничение.
Стандарт NIST, лежащий в основе криптографии
AES-256-GCM, наиболее часто используемый шифр в реализациях с нулевым разглашением, был стандартизирован Национальным институтом стандартов и технологий в SP 800-38D (2007). Сам AES был выбран NIST в ходе открытого конкурса в 2001 году, заменив устаревший стандарт DES. «256» обозначает длину ключа в битах — 256-битный ключ имеет 2²⁵⁶ возможных значений, число настолько большое, что брутфорс потребовал бы больше энергии, чем Солнце произведёт за оставшееся время своей жизни.
GCM (режим счётчика Галуа) добавляет аутентифицированное шифрование, то есть процесс расшифровки обнаруживает любое изменение шифротекста. Если изменён хотя бы один бит зашифрованных данных, расшифровка завершается ошибкой, а не выдаёт повреждённый результат. Это предотвращает манипуляции с зашифрованными данными без обнаружения.
PBKDF2 (функция формирования ключей на основе пароля 2), указанная в RFC 8018, преобразует учётные данные пользователя в криптографический ключ посредством повторного хеширования. Многократное выполнение хеш-функции делает каждую попытку угадать пароль вычислительно дорогостоящей, превращая простой ключ или пароль в ключ, устойчивый к атакам перебора.
Как Vaultaire реализует шифрование с нулевым разглашением
Vaultaire — приложение-хранилище для iPhone, построенное на архитектуре с нулевым разглашением. Вот как работает реализация на каждом уровне.
Формирование ключа. Пользователь рисует ключ на сетке 5×5 из 25 точек. Последовательность точек в порядке их касания подаётся в PBKDF2 с HMAC-SHA512 и уникальной криптографической солью для каждого хранилища. Результат — 256-битный ключ шифрования AES. Ключ никогда не хранится на устройстве. Ни в виде хеша, ни в виде представления, ни в какой-либо форме.
Шифрование файлов. Каждый импортированный файл шифруется с помощью AES-256-GCM с производным ключом и случайно сгенерированным вектором инициализации (IV), уникальным для данного файла. Идентичные файлы производят разный шифротекст, поскольку IV отличается.
Шифрование метаданных. Имена файлов, даты создания и данные миниатюр шифруются отдельно с помощью ChaCha20 — другого шифра, обеспечивающего криптографическое разнообразие и устраняющего атаки по сторонним каналам с анализом времени кеша.
Управление ключами. Secure Enclave Apple хранит ключевой материал в выделенном аппаратном сопроцессоре с собственной зашифрованной памятью. Ключи удаляются из памяти приложения при закрытии Vaultaire или переключении пользователя на другое приложение.
Нет реестра хранилищ. Не существует базы данных с перечнем хранилищ, их количеством или именами. Каждый ключ открывает другое хранилище. Само приложение не может определить, сколько хранилищ существует. Подробнее об архитектуре безопасности и шифровании с графическим ключом.
Как проверить, использует ли приложение реальное шифрование с нулевым разглашением
Три теста, занимающих менее минуты:
Тест «забыл пароль». Если приложение может сбросить пароль по email и ваши данные снова появляются, приложение хранит ваши ключи шифрования. Не нулевое разглашение.
Тест нового устройства. Если вы входите на новом устройстве и ваши данные появляются без переноса ключей со старого устройства или ввода фразы восстановления, сервер хранит ваши ключи. Не нулевое разглашение.
Тест учётной записи. Если приложение требует адрес электронной почты или номер телефона, у провайдера есть связь между вашей личностью и вашими данными. Само по себе это не является дисквалификацией, но в сочетании с любым из вышеперечисленного подтверждает, что провайдер может получить доступ к вашим данным.
Приложения, прошедшие все три теста: Signal, Proton Mail, Standard Notes, Vaultaire. Приложения, не прошедшие хотя бы один: большинство облачных сервисов, большинство «хранилищ» в App Store.
Часто задаваемые вопросы
Шифрование с нулевым разглашением — то же самое, что сквозное шифрование?
Они пересекаются, но не идентичны. Сквозное шифрование (E2EE) означает, что данные шифруются на устройстве отправителя и расшифровываются только на устройстве получателя. Шифрование с нулевым разглашением означает, что провайдер не может получить доступ к данным. Сервис может использовать E2EE, не являясь при этом системой с нулевым разглашением, если провайдер создавал ключи или имел к ним доступ в какой-то момент. Шифрование с нулевым разглашением — более строгий стандарт.
Что произойдёт, если я потеряю пароль при шифровании с нулевым разглашением?
Ваши данные станут навсегда недоступными. Нет мастер-ключа, нет бэкдора и нет процесса восстановления, работающего без отдельно сохранённой фразы восстановления. Это фундаментальный компромисс: абсолютная конфиденциальность требует абсолютной ответственности. Некоторые приложения с нулевым разглашением (в том числе Vaultaire) генерируют фразу восстановления при создании хранилища, которая может восстановить ключ шифрования при потере основных учётных данных.
Может ли полиция получить доступ к данным, зашифрованным с нулевым разглашением?
Правоохранительные органы могут обязать провайдера передать хранящиеся данные. При шифровании с нулевым разглашением данные, которые передаёт провайдер, представляют собой зашифрованный блок, бесполезный без ключа пользователя. Возможность обязать пользователя предоставить ключ — отдельный правовой вопрос, который варьируется в зависимости от юрисдикции. Суды в США в целом считают принудительную биометрическую разблокировку (Face ID, отпечаток пальца) допустимой, тогда как принудительное раскрытие пароля/графического ключа вызывает больше споров в рамках Пятой поправки.
Шифрование с нулевым разглашением медленнее обычного?
Операции шифрования и дешифрования идентичны. AES-256-GCM работает с одинаковой скоростью независимо от того, кто хранит ключ. Единственные дополнительные затраты — формирование ключа: выполнение PBKDF2 с сотнями тысяч итераций занимает примерно 0,5–2 секунды на современном iPhone. Это происходит один раз при разблокировке хранилища, а не для каждого файла. На практике пользователи не замечают разницы в скорости.
Означает ли нулевое разглашение, что приложение вообще не собирает данные?
Не обязательно. Нулевое разглашение относится исключительно к архитектуре шифрования. Провайдер не может получить доступ к зашифрованному содержимому. Приложение по-прежнему может собирать анонимную аналитику, отчёты об ошибках или метаданные использования с согласия пользователя. Что оно не может собирать — содержимое зашифрованных файлов, ключ шифрования или учётные данные, используемые для его формирования. Политика конфиденциальности Vaultaire детально описывает, какие необязательные данные собираются с разрешения пользователя.
Как шифрование с нулевым разглашением соотносится с расширенной защитой данных Apple?
Расширенная защита данных (ADP) Apple, представленная в iOS 16.2, распространяет сквозное шифрование на большинство категорий данных iCloud. При включённой ADP Apple не может получить доступ к защищённым данным. Ключевые отличия от специализированного приложения с нулевым разглашением: ADP является опциональной функцией (по умолчанию отключена), требует Apple ID и защищает данные только в экосистеме Apple. Приложение-хранилище с нулевым разглашением, такое как Vaultaire, работает независимо от инфраструктуры Apple, не требует учётной записи и добавляет такие функции, как правдоподобное отрицание и режим принуждения, которых ADP не предоставляет.
Итог
Шифрование с нулевым разглашением — это архитектура, при которой провайдер математически не может получить доступ к данным пользователя, поскольку ключи шифрования никогда не покидают устройство пользователя. Оно отличается от стандартного шифрования, шифрования при хранении и даже некоторых форм сквозного шифрования в одном критическом аспекте: невозможность провайдера получить доступ к данным обеспечивается математикой, а не политикой. Компромисс — потеря ключа означает потерю данных — это не баг. Это механизм, делающий гарантию реальной.