Zero-Knowledge Security Questionnaire...

Die RFP-Vraag

Enterprise-kopers vra nou in hulle Request for Proposal (RFP) letterlik:

"Q23: Bevredig jou platform zero-knowledge-argitektuur?"

Vendors het geleer om almal antwoord "Ja" — en dat beteken niks.

Dit is die vraestelle wat saak:

Die Ware Vrae

Vraag 1: Kriptografiese Primitiewe

Swak RFP-vraag: "Gebruik jy enkriptering?"

Werklik RFP-vraag: "Q3.2.1: Gee spesifieks:

• Watter enkripterings-algoritme? (AES-256-GCM, ChaCha20, iets anders)
• Watter sleukel-uitleidingsfunksie? (Argon2id, PBKDF2, iets anders)
• Argon2id-parameters (Memory: ? MB, Time: ? sekondes, Parallelism: ?)
• Watter testraamwerk het hierdie keukes geverifieer? (NIST, cryptolabs, iets anders)"

Roodvlagge-antwoorde:

• "Ons use proprietary encryption"
• "We use AES-256 but don't disclose parameters"
• "Our encryption is based on industry standards"

Groen-vlagge-antwoorde:

• "AES-256-GCM, Argon2id (Memory: 64MB, Time: 3s, Parallelism: 4)"
• "Verified by independent security audit (CTO-2024-xxx)"

Vraag 2: Sleukel-Generasie

Werklik RFP-vraag: "Q3.3.1: Waar vind sleukel-generasie plaas? □ Uitsluitend op kliënt-toestel □ Uitsluitend op bediener □ Hibried (bediener genereert, kliënt ontvang) □ Ander (verduidelik)

Q3.3.2: Kan jou bedieners ooit onversleutelde sleutels sien? Ja / Nee

Q3.3.3: Watter geskiedenis het sleukolieking-veiligheid ("mitigation")?

Q3.3.4: Lewer jy sleutel-rotasie-funksionaliteit? Ja / Nee If ja:

• Client-beheerd?
• Server-beheerd?
• Automated schedule?"

Roodvlagge-antwoorde:

• "Bediener-beheerd sleukel-generasie"
• "Ons stoor beide data en sleutels op bediener"
• "Sleukel-rotasie is ons verantwoordelikheid"

Groen-vlagge-antwoorde:

• "Uitsluitend op kliënt-toestel. Bediener-syang nooitongeversleutelde sleutels"
• "Kliënt-geïnitieerde sleutel-rotasie"

Vraag 3: Reglementasie-Skakaeling

Werklik RFP-vraag: "Q4.2.1: In welke scenario's kan jy kliënt-data vrygestel word? □ Regterstoegang (subpoena, warrant) □ Reglementasie-ondersoek (DPA, reguleerder) □ Breuk-notifikasie (incident response) □ Requeering van bediener-administrateur □ Ander (verduidelik)

Vir elke boks: Kan jou bedieners onversleutelde data vrygestel?

Q4.2.2: As 'n regterstoegang binnekom, wat kan jy fysiek vrygestel: □ Encrypted-data slegs □ Encrypted-data + sleutels □ Unversleutelde data (volledig) □ Ander (verduidelik)"

Roodvlagge-antwoorde:

• "We comply with all government requests"
• "We can decrypt and provide unencrypted data if legally required"
• "Our data is encrypted at rest but not in transit"

Groen-vlagge-antwoorde:

• "Compliance is limited to encrypted data. We have no decryption capability"
• "Even with legal order, we cannot decrypt"
• "Client retains all keys. Only the client can comply with decryption requests"

Vraag 4: Independent Verification

Werklik RFP-vraag: "Q5.1: Lewer jy: □ Open-bron-kriptogratis? (Ja/Nee) □ Security-audit-verslag? (Ja/Nee) If ja, van welke firm? (List). When (date)? □ Penetration-toetsen? (Ja/Nee) If ja, results URL? □ ISO 27001 / SOC2 / ISO 27018? (Ja/Nee)

Q5.2: Kan kliënte eie sekuriteits-oorditte uitvoer? Ja / Nee If ja, watter beperkings?"

Roodvlagge-antwoorde:

• "We don't disclose our source code"
• "Security audits are NDA'd"
• "We can't allow pen-tests due to risk"

Groen-vlagge-antwoorde:

• "Open-source cryptography. Latest audit: [independent firm], [date]"
• "Customers can conduct penetration tests with notice"
• "SOC2 Type II report available"

Ongereelde Vrae om te Stuur

Wanneer 'n vendor "zero-knowledge" beweer, end hierdie three verfieery-vrae:

1. Die Sleutel-Toets "Gee jou bediener-administrateur ooit toegang tot my onversleutelde sleutels? Ja / Nee."

2. Die Reglementasie-Toets "As 'n wetlike instellinge verplig om my data uit te lever, kan jy dit onversleuteld doen? Ja / Nee."

3. Die Unabhängige-Toets "Kan 'n derde-party-sekuriteits-firm jou bewerings onafhanklik verifieer? Ja / Nee."

Beiden "Nee"-antwoorde = werklik zero-knowledge. Elke "Ja" = bedrog.