Η Ψευδαίσθηση Κρυπτογράφησης
Τον Δεκέμβριο του 2022, το LastPass ανακοίνωσε παραβίαση. Η επίσημη δήλωση περιελάμβανε καθησυχαστική γλώσσα: οι κωδικοί χρηστών ήταν "κρυπτογραφημένοι". Τα δεδομένα θησαυροφυλακίου ήταν "ασφαλισμένα".
Μέχρι το 2025, πάνω από $438 εκατομμύρια είχαν κλαπεί από χρήστες LastPass—αποστραγγισμένα απευθείας από τα υποτιθέμενα κρυπτογραφημένα θησαυροφυλάκιά τους.
Πώς; Το LastPass κρατούσε τα κλειδιά.
Αυτή είναι η κρίσιμη διάκριση που κάθε ομάδα ασφάλειας επιχείρησης πρέπει να κατανοήσει πριν επιλέξει οποιοδήποτε cloud εργαλείο που χειρίζεται ευαίσθητα δεδομένα—συμπεριλαμβανομένων πλατφορμών ανωνυμοποίησης PII.
Κρυπτογράφηση Πλευράς Διακομιστή vs. Αρχιτεκτονική Μηδενικής Γνώσης
Τα περισσότερα cloud εργαλεία που ισχυρίζονται ότι "κρυπτογραφούν τα δεδομένα σας" χρησιμοποιούν κρυπτογράφηση πλευράς διακομιστή (SSE). Να τι σημαίνει αυτό στην πραγματικότητα:
| Ιδιότητα | Κρυπτογράφηση Πλευράς Διακομιστή | Αρχιτεκτονική Μηδενικής Γνώσης |
|---|---|---|
| Πού γίνεται η κρυπτογράφηση | Στον διακομιστή του προμηθευτή | Στη συσκευή σας (πρόγραμμα περιήγησης/επιφάνεια εργασίας) |
| Ποιος κρατά τα κλειδιά | Ο προμηθευτής | Μόνο εσείς |
| Ο προμηθευτής μπορεί να διαβάσει τα δεδομένα σας | Ναι | Όχι |
| Παραβίαση διακομιστή εκθέτει δεδομένα | Ναι | Όχι (μόνο κρυπτοκείμενο) |
| Ο προμηθευτής μπορεί να υποχρεωθεί να παραδώσει δεδομένα | Ναι | Όχι (δεν τα έχει) |
| Πρόσβαση ρυθμιστικών/αρχών επιβολής νόμου | Μέσω προμηθευτή | Αδύνατο χωρίς το κλειδί σας |
Το LastPass χρησιμοποιούσε κρυπτογράφηση πλευράς διακομιστή με κλειδιά που έλεγχε. Όταν οι επιτιθέμενοι παραβίασαν την υποδομή τους, απέκτησαν τόσο το κρυπτοκείμενο όσο και τα μέσα τελικής αποκρυπτογράφησής του.
Γιατί Αυτό Έχει Σημασία για το GDPR Άρθρο 25
Το GDPR Άρθρο 25 (Προστασία Δεδομένων από Σχεδιασμό) απαιτεί από τους υπεύθυνους επεξεργασίας δεδομένων να εφαρμόζουν "κατάλληλα τεχνικά και οργανωτικά μέτρα" που ενσωματώνουν την προστασία δεδομένων στην επεξεργασία "από σχεδιασμό και εξ ορισμού".
Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) έχει διευκρινίσει ότι αυτό περιλαμβάνει κρυπτογραφική ελαχιστοποίηση δεδομένων—που σημαίνει ότι η ίδια η αρχιτεκτονική θα πρέπει να καθιστά τα δεδομένα απρόσιτα σε μη εξουσιοδοτημένα μέρη.
Ο Γερμανός Ομοσπονδιακός Επίτροπος Προστασίας Δεδομένων (BfDI) και η Αυστριακή Datenschutzbehörde έχουν εκδώσει κατευθυντήριες γραμμές δηλώνοντας ότι η αρχιτεκτονική μηδενικής γνώσης είναι η προτιμητέα τεχνική υλοποίηση για επεξεργασία υψηλού κινδύνου.
Ο Πραγματικός Κόσμος των Παραβιάσεων SaaS
Η έκθεση AppOmni/Cloud Security Alliance 2024 τεκμηρίωσε αύξηση 300% στις παραβιάσεις SaaS από το 2022 έως το 2024.
Αρχιτεκτονική Μηδενικής Γνώσης του anonym.legal
Το anonym.legal χρησιμοποιεί αρχιτεκτονική μηδενικής γνώσης:
- Τα κλειδιά παράγονται στη συσκευή σας - ποτέ δεν μεταδίδονται
- Η κρυπτογράφηση γίνεται πριν αποστολή - μόνο κρυπτοκείμενο φτάνει στους διακομιστές μας
- Δεν μπορούμε να αποκρυπτογραφήσουμε τα δεδομένα σας - μαθηματικά αδύνατο
- Ακόμα και σε περίπτωση παραβίασης - μόνο κρυπτογραφημένα blob εκτίθενται
Αυτή η αρχιτεκτονική ικανοποιεί τις αυστηρότερες απαιτήσεις GDPR Άρθρου 25.
Πηγές: