Vad är nollkunskapskryptering? En enkel guide

Q: Är nollkunskapskryptering långsammare än vanlig kryptering?

Krypteringsoperationerna är identiska — AES-256-GCM körs med samma hastighet oavsett vem som håller nyckeln. Den enda extra kostnaden är nyckelderivering: att köra PBKDF2 med hundratusentals iterationer tar ungefär 0,5–2 sekunder på en modern iPhone. Detta sker en gång vid valvupplåsning, inte per fil.

Q: Betyder nollkunskap att appen inte samlar in någon data alls?

Inte nödvändigtvis. Nollkunskap hänvisar till krypteringsarkitekturen — leverantören kan inte komma åt krypterat innehåll. Appen kan fortfarande samla in anonym analys eller kraschrapporter med användartillåtelse. Vad den inte kan samla in är innehållet i krypterade filer, krypteringsnyckeln eller uppgiften som används för att härleda den.

Q: Hur jämförs nollkunskapskryptering med Apples Advanced Data Protection?

Apples Advanced Data Protection utökar end-to-end-kryptering till de flesta iCloud-datakategorier. Viktiga skillnader från dedikerade nollkunskapsappar: ADP är opt-in (av som standard), kräver ett Apple ID och skyddar data enbart inom Apples ekosystem. En nollkunskapsvalvapp fungerar oberoende av Apples infrastruktur, kräver inget konto och kan lägga till funktioner som trovärdig förnekbarhet som ADP inte erbjuder.

Nollkunskapskryptering innebär att leverantören inte kan komma åt din data.

Nollkunskapskryptering är en kryptografisk arkitektur där tjänsteleverantören inte kan komma åt användardata eftersom krypteringsnycklar härleds och lagras uteslutande på användarens enhet och aldrig överförs till leverantörens servrar. Till skillnad från standard molnkryptering där leverantören håller nycklarna innebär nollkunskapskryptering att även med ett domstolsbeslut, ett dataintrång eller en otillförlitlig anställd har leverantören ingenting att lämna över. NISTskrikna riktlinjer för nyckelhantering (SP 800-57) fastslår principen att nyckelförvaring avgör dataåtkomst — nollkunskapskryptering tar detta till sin logiska slutsats.

Hur nollkunskapskryptering fungerar

Den enklaste analogin: ett hotellsafe där bara du anger kombinationen, och hotellet aldrig lär sig den. Om du glömmer kombinationen kan hotellet inte öppna safet åt dig. Det är inte ett fel i designen. Det är designen.

I tekniska termer fungerar nollkunskapskryptering genom tre steg:

Nyckelderivering på enheten. Användaren anger en inloggningsuppgift (ett lösenord, en lösenordsfras eller ett mönster). En nyckelderiveringsfunktion (vanligtvis PBKDF2 eller Argon2) kombinerar denna inloggningsuppgift med ett unikt kryptografiskt salt för att producera en krypteringsnyckel. Detta sker helt på användarens enhet.
Kryptering före överföring. All data krypteras på enheten med den härledda nyckeln innan den lämnar enheten för molnlagring eller säkerhetskopiering. Den krypterade utdatan (chiffertext) är det som laddas upp.
Leverantören ser aldrig nyckeln. Krypteringsnyckeln finns bara i enhetens minne under aktiv användning. Den överförs aldrig till leverantörens servrar. Leverantören lagrar krypterade blobbar som är oskiljbara från slumpmässig data.

Den kritiska begränsningen: om användaren tappar bort sina inloggningsuppgifter och inte har en återhämtningsfras är datan permanent otillgänglig. Det finns inget "glömt lösenord"-flöde som fungerar utan en oberoende lagrad återhämtningsmekanism. Om en tjänst erbjuder lösenordsåterställning via e-post och din data dyker upp igen använder den tjänsten inte nollkunskapskryptering. Den håller dina nycklar.

Nollkunskapskryptering vs. andra typer av kryptering

Termen "kryptering" förekommer i marknadsföringsmaterial för nästan varje molntjänst. Skillnaderna mellan typerna är betydande.

Typ	Vem håller nyckeln	Leverantören kan läsa data	Överlever leverantörsintrång	Exempel
Ingen kryptering	Ej tillämpligt	Ja	Nej	Dropbox (standardnivå)
Kryptering under transport (TLS)	Leverantören	Ja (i vila på deras servrar)	Nej	Google Foton
Serversideskryptering i vila	Leverantören	Ja (de håller dekrypteringsnyckeln)	Delvis (beror på intrångets omfång)	iCloud (standard)
Leverantörsförvaltad E2E-kryptering	Leverantören genererar, användaren lagrar	Tekniskt nej, men leverantören hade åtkomst vid nyckelgenerering	Delvis	iCloud Advanced Data Protection
Nollkunskapskryptering	Bara användaren (härledd på enheten)	Nej. Matematiskt omöjligt.	Ja. Krypterade blobbar är oanvändbara utan användarens nyckel.	Signal, Proton Mail, Vaultaire

Distinktionen mellan "kryptering i vila" och "nollkunskapskryptering" är den mest förväxlade. Med kryptering i vila krypterar leverantören din data på sina servrar med nycklar de kontrollerar. Detta skyddar mot fysisk stöld av serverhårdvara. Det skyddar inte mot leverantören som läser din data, en statlig stämningsansökan för data och nycklar, eller ett insiderhot. Leverantören har dekrypteringsförmågan.

Med nollkunskapskryptering har leverantören aldrig dekrypteringsförmågan. Den krypterade datan på deras servrar är lika ogenomskinlig för dem som för en extern angripare.

Varför nollkunskapskryptering spelar roll

Dataintrång exponerar miljarder poster årligen

Identity Theft Resource Center rapporterade 3 205 datakompromisser i USA 2023, som påverkade ungefär 353 miljoner individer. När en leverantör som håller krypteringsnycklar utsätts för intrång får angriparen potentiellt tillgång till både krypterad data och nycklarna för att dekryptera den. Nollkunskapsarkitektur eliminerar denna risk helt. Den intrångade servern innehåller bara chiffertext som är beräkningsmässigt omöjlig att dekryptera.

Juridisk tvång är ett verkligt hot

Statliga myndigheter i flera jurisdiktioner kan tvinga leverantörer att lämna över lagrad data. Om leverantören håller krypteringsnycklar måste de efterleva. Under nollkunskapsarkitektur är leverantörens svar på en stämning den krypterade blobben, som är oanvändbar utan användarens inloggningsuppgifter. Apples Advanced Data Protection för iCloud rör sig i denna riktning men introducerades bara i iOS 16.2 (december 2022) och är inte aktiverad som standard.

"Lita på oss" är inte en säkerhetsarkitektur

Standard kryptering förlitar sig på leverantörens löfte att inte komma åt din data. Nollkunskapskryptering ersätter det löftet med en matematisk garanti. Leverantören kan inte komma åt datan även om de vill, även om en anställd slår om, även om de förvärvas av ett företag med andra integritetsvärden. Arkitekturen verkställer begränsningen.

NIST-standarden bakom kryptografin

AES-256-GCM, den chiffer som oftast används i nollkunskapsimplementationer, standardiserades av National Institute of Standards and Technology i SP 800-38D (2007). AES i sig valdes av NIST genom en offentlig tävling 2001 och ersatte den åldrande DES-standarden. "256" hänvisar till nyckellängden i bitar — en 256-bitars nyckel har 2^256 möjliga värden, ett tal så stort att brute-force-attacken skulle kräva mer energi än solen kommer producera under sin återstående livstid.

GCM (Galois/Counter Mode) lägger till autentiserad kryptering, vilket innebär att dekrypteringsprocessen detekterar eventuell manipulering av chiffertexten. Om en enda bit av krypterad data ändras misslyckas dekrypteringen snarare än att producera korrupt utdata. Detta förhindrar angripare från att manipulera krypterad data utan att det upptäcks.

PBKDF2 (Password-Based Key Derivation Function 2), specificerad i RFC 8018, konverterar en användartillhandahållen inloggningsuppgift till en kryptografisk nyckel genom upprepad hashning. Att köra hash-funktionen hundratusentals gånger gör varje lösenordsgissning beräkningsmässigt dyr och omvandlar ett enkelt mönster eller lösenord till en nyckel som motstår brute-force-attacker.

Hur Vaultaire implementerar nollkunskapskryptering

Vaultaire är en valvapp för iPhone byggd på nollkunskapsarkitektur. Så här fungerar implementationen på varje lager.

Nyckelderivering. Användaren ritar ett mönster på ett 5x5-rutnät med 25 punkter. Sekvensen av punkter, i ordning, matas in i PBKDF2 med HMAC-SHA512 och ett unikt per-valv-kryptografiskt salt. Utdatan är en 256-bitars AES-krypteringsnyckel. Mönstret lagras aldrig på enheten. Inte som en hash, inte som en representation, inte i någon form.

Filkryptering. Varje importerad fil krypteras med AES-256-GCM med den härledda nyckeln och en slumpmässigt genererad initialiseringsvektor (IV) unik för den filen. Identiska filer producerar olika chiffertext eftersom IV skiljer sig.

Metadatakryptering. Filnamn, skapelsedatum och miniatyrbildsdata krypteras separat med ChaCha20, en annan chiffer som ger kryptografisk mångfald och eliminerar cache-timing-sidokanalsattacker.

Nyckelhantering. Apple Secure Enclave lagrar nyckeldata i en dedikerad hårdvaruprocessor med eget krypterat minne. Nycklar raderas från appminnet när Vaultaire stängs eller användaren byter app.

Inget valvregister. Det finns ingen databas som listar valv, inga antal, inga namn. Varje mönster öppnar ett annat valv. Appen själv kan inte avgöra hur många valv som finns. Se hela säkerhetsarkitekturen och förklaringen av mönsterkryptering.

Hur man avgör om en app använder äkta nollkunskapskryptering

Tre tester som tar under en minut:

Glömt-lösenord-testet. Om appen kan återställa ditt lösenord via e-post och din data dyker upp igen håller appen dina krypteringsnycklar. Inte nollkunskap.
Ny-enhet-testet. Om du loggar in på en ny enhet och din data visas utan att överföra nycklar från den gamla enheten eller ange en återhämtningsfras har servern dina nycklar. Inte nollkunskap.
Kontotest. Om appen kräver en e-postadress eller ett telefonnummer har leverantören en länk mellan din identitet och din data. Detta är inte nödvändigtvis diskvalificerande, men kombinerat med något av ovanstående bekräftar det att leverantören kan komma åt din data.

Appar som klarar alla tre: Signal, Proton Mail, Standard Notes, Vaultaire. Appar som misslyckas med minst ett: de flesta molnlagringstjänster, de flesta "valv"-appar i App Store.

Vanliga frågor

Är nollkunskapskryptering detsamma som end-to-end-kryptering?

De överlappar men är inte identiska. End-to-end-kryptering (E2EE) innebär att data krypteras på avsändarens enhet och dekrypteras bara på mottagarens enhet. Nollkunskapskryptering innebär att leverantören inte kan komma åt datan. En tjänst kan vara end-to-end-krypterad utan att vara nollkunskap om leverantören genererade eller har tillgång till nycklarna vid något tillfälle. Nollkunskapskryptering är den strängare standarden.

Vad händer om jag tappar bort mitt lösenord med nollkunskapskryptering?

Din data blir permanent otillgänglig. Det finns ingen huvudnyckel, ingen bakdörr och ingen återhämtningsprocess som fungerar utan en separat lagrad återhämtningsfras. Det är den grundläggande avvägningen: absolut integritet kräver absolut ansvar. Vissa nollkunskapsappar (inklusive Vaultaire) genererar en återhämtningsfras vid valvskapandet som kan regenerera krypteringsnyckeln om den primära inloggningsuppgiften tappas bort.

Kan brottsbekämpning komma åt nollkunskapskrypterad data?

Brottsbekämpning kan tvinga leverantören att lämna över lagrad data. Med nollkunskapskryptering är den data som leverantören lämnar över en krypterad blob som är oanvändbar utan användarens nyckel. Huruvida brottsbekämpning kan tvinga användaren att lämna nyckeln är en separat juridisk fråga som varierar beroende på jurisdiktion. Domstolar i USA har generellt beslutat att tvingad biometrisk upplåsning (Face ID, fingeravtryck) är tillåtet, medan tvingad lösenord/mönsterupplysning är mer omtvistad under det femte tillägget.

Är nollkunskapskryptering långsammare än vanlig kryptering?

Krypterings- och dekrypteringsoperationerna är identiska. AES-256-GCM körs med samma hastighet oavsett vem som håller nyckeln. Den enda extra kostnaden är nyckelderivering: att köra PBKDF2 med hundratusentals iterationer tar ungefär 0,5–2 sekunder på en modern iPhone. Detta sker en gång vid valvupplåsning, inte per fil. I praktiken märker inte användare någon hastighetsskillnad.

Betyder nollkunskap att appen inte samlar in någon data alls?

Inte nödvändigtvis. Nollkunskap hänvisar specifikt till krypteringsarkitekturen. Leverantören kan inte komma åt det krypterade innehållet. Appen kan fortfarande samla in anonym analys, kraschrapporter eller användningsmetadata om användaren väljer att delta. Vad den inte kan samla in är innehållet i krypterade filer, krypteringsnyckeln eller inloggningsuppgiften som används för att härleda den. Vaultaires integritetspolicy beskriver exakt vilken valfri data som samlas in med användartillåtelse.

Hur jämförs nollkunskapskryptering med Apples Advanced Data Protection?

Apples Advanced Data Protection (ADP), introducerad i iOS 16.2, utökar end-to-end-kryptering till de flesta iCloud-datakategorier. Med ADP aktiverat kan Apple inte komma åt skyddad data. De viktiga skillnaderna från en dedikerad nollkunskapsapp: ADP är opt-in (av som standard), kräver ett Apple ID och skyddar data enbart inom Apples ekosystem. En nollkunskapsvalvapp som Vaultaire fungerar oberoende av Apples infrastruktur, kräver inget konto och lägger till funktioner som trovärdig förnekbarhet och tvångsläge som ADP inte erbjuder.

Sammanfattning

Nollkunskapskryptering är arkitekturen där leverantören matematiskt sett inte kan komma åt användardata eftersom krypteringsnycklar aldrig lämnar användarens enhet. Det skiljer sig från standard kryptering, kryptering i vila och till och med vissa former av end-to-end-kryptering på ett kritiskt sätt: leverantörens oförmåga att komma åt data verkställs av matematik, inte policy. Avvägningen — att förlora nyckeln innebär att förlora datan — är inte ett fel. Det är mekanismen som gör garantin verklig.

Läs säkerhetsarkitekturen