Problém: Zero-Knowledge jako marketingový buzzword
Zero-Knowledge se stalo jedním z nejvíce nadužívaných termínů v SaaS marketingu. Společnosti od správců hesel po cloudová úložiště tvrdí ZK bezpečnost – ale jejich implementace se dramaticky liší od skutečné kryptografické ZK architektury.
Pro bezpečnostní profesionály hodnotící dodavatele je odlišení skutečného ZK od marketingového vymýšlení kritické.
Co skutečné Zero-Knowledge vyžaduje
Skutečná ZK architektura vyžaduje:
- Šifrování na klientovi: Klíče jsou generovány a uloženy na vašem zařízení, ne serverem poskytovatele
- Žádný přístup poskytovatele: Poskytovatel nemůže dešifrovat vaše data ani za soudního příkazu
- Ověřitelná implementace: Kryptografická architektura je zdokumentována a ideálně open-source
- Nezávislý audit: Třetí strana ověřila ZK tvrzení
Červené vlajky falešných ZK tvrzení
Červená vlajka 1: „Zero-Knowledge šifrování" bez specifikace klíčového managementu
Pokud dodavatel nemůže odpovědět: „Kde jsou generovány šifrovací klíče?" – není to ZK.
Červená vlajka 2: „Nemůžeme číst vaše data" bez technických podrobností
Toto může znamenat, že data jsou šifrovaná serverem s klíčem dodavatele – ne ZK.
Červená vlajka 3: Žádná odpověď na vládní příkazy dotaz
ZK poskytovatelé nemohou vyhovět příkazům k dešifrování zákaznických dat, protože klíče nemají. Pokud dodavatel vyhýbá otázce, pravděpodobně má přístup ke klíčům.
Červená vlajka 4: Closed-source bez nezávislého auditu
Skutečné ZK implementace jsou typicky open-source (nebo mají publikovanou kryptografickou specifikaci) protože bezpečnost závisí na algoritmu, ne tajnosti.
Otázky k položení potenciálním ZK dodavatelům
- Kde jsou šifrovací klíče generovány – na klientovi nebo serveru?
- Máte přístup k plaintext datům zákazníků?
- Jak byste odpověděli na vládní příkaz k dešifrování zákaznických dat?
- Byla vaše ZK implementace externě auditována? Sdělte zprávu.
- Je vaše kryptografická architektura zdokumentovaná veřejně?
- Co se stane s mými daty pokud přestanete podnikat?
- Mohu exportovat mé šifrovací klíče?
Hodnotící rámec
| Kritérium | Červená vlajka | Zelená vlajka |
|---|---|---|
| Generování klíčů | Server-side | Client-side |
| Přístup poskytovatele | Ano nebo vyhýbá | Kryptograficky nemožné |
| Vládní příkazy | „Spolupracujeme" | „Nemáme přístup" |
| Audit | Žádný nebo interní | Nezávislý, publikovaný |
| Zdrojový kód | Closed | Open nebo veřejná spec |
| Klíčový export | Ne | Ano |
Skutečné ZK produkty v roce 2025
Dobré příklady skutečné ZK implementace:
- Signal: End-to-end šifrované zprávy, open-source, externě auditovány
- Bitwarden (self-hosted): Open-source správce hesel, klient-side šifrování
- anonym.legal šifrovací klíče: Lokálně generovány, anonym.legal nemá přístup
Závěr
Zero-Knowledge je mocná bezpečnostní architektura – ale pouze pokud je skutečně implementovaná. Při hodnocení dodavatelů, ptejte se tvrdé technické otázky a požadujte ověřitelný důkaz.