anonym.legal
Takaisin BlogiinGDPR & Vaatimustenmukaisuus

Nollatietoisuus vs. Nollaluottamus: Miksi 'Salattu'...

LastPass salasi käyttäjiensä tiedot myös — ja $438 miljoonaa varastettiin silti.

March 3, 20269 min lukuaika
zero-knowledgeencryptionGDPRdata protectionSaaS securityLastPass

Salausilluusio

Joulukuussa 2022 LastPass ilmoitti tietomurrosta. Virallisessa lausunnossa käytettiin rauhoittavaa kieltä: käyttäjien salasanat olivat "salattuja." Tietovaraston tiedot olivat "turvassa."

Vuoteen 2025 mennessä yli $438 miljoonaa oli varastettu LastPass-käyttäjiltä — suoraan heidän oletettavasti salatuista tietovarastoistaan.

Kuinka? LastPass piti avaimia.

Tämä on kriittinen ero, jonka jokaisen yrityksen tietoturvatiimin on ymmärrettävä ennen kuin valitaan mitään pilvipohjaista työkalua, joka käsittelee arkaluontoisia tietoja — mukaan lukien PII-anonymisointialustat.

Palvelinpuolen salaus vs. Nollatietoisuusarkkitehtuuri

Useimmat pilvityökalut, jotka väittävät "salavan tietosi," käyttävät palvelinpuolen salausta (SSE). Tässä on, mitä se oikeasti tarkoittaa:

OminaisuusPalvelinpuolen salausNollatietoisuusarkkitehtuuri
Missä salaus tapahtuuMyyjän palvelimellaLaiteellasi (selain/työpöytä)
Kuka pitää avaimiaMyyjäVain sinä
Myyjä voi lukea tietosiKylläEi
Palvelinmurron seurauksena tiedot paljastuvatKylläEi (vain salattu teksti)
Myyjää voidaan pakottaa tuottamaan tietojaKylläEi (heillä ei ole niitä)
Sääntelyviranomaisten/lainvalvonnan pääsyMyyjän kauttaEi mahdollista ilman avaintasi

LastPass käytti palvelinpuolen salausta avaimilla, joita he hallitsivat. Kun hyökkääjät murtautuivat heidän infrastruktuuriinsa, he saivat sekä salatun tekstin että keinot purkaa se — sosiaalisen manipuloinnin, heikkojen pääsalasanojen murtamisen ja vanhempien tilien metadatan hyödyntämisen kautta.

Miksi tämä on tärkeää GDPR:n artikla 25:n kannalta

GDPR:n artikla 25 (Yksityisyys suunnittelussa) vaatii, että tietojen käsittelijät toteuttavat "sopivia teknisiä ja organisatorisia toimenpiteitä," jotka integroivat tietosuojan käsittelyyn "suunnittelun ja oletusarvon mukaan."

Euroopan tietosuojaneuvosto (EDPB) on selventänyt, että tämä sisältää kryptografisen tietojen minimoinnin — tarkoittaen, että arkkitehtuurin itsensä tulisi tehdä tiedot saavuttamattomiksi valtuuttamattomilta osapuolilta, ei vain suojattuna pääsynvalvonnalla.

Myyjä, joka pitää salausavaimia, ei voi täyttää artikla 25:ttä tiukimmassa tulkinnassa, koska:

  1. Menestyksekäs murto heidän infrastruktuuriinsa voisi paljastaa tietosi
  2. Laillinen haaste myyjälle voisi tuottaa tietosi
  3. Myyjän epärehellinen työntekijä voisi päästä käsiksi tietoihisi
  4. Myyjän avainhallintapalvelun toimitusketjun kompromissi voisi paljastaa tietosi

Saksan liittovaltion tietosuojakomissaari (BfDI) ja Itävallan Datenschutzbehörde ovat molemmat antaneet ohjeita, joissa todetaan, että nollatietoisuusarkkitehtuuri on suositeltava tekninen toteutus korkean riskin käsittelylle.

SaaS-tietomurron todellisuus

AppOmni / Cloud Security Alliance 2024 -raportti dokumentoi 300 %:n kasvun SaaS-tietomurroissa vuosina 2022–2024. Hyökkäysten monimutkaisuus on lisääntynyt dramaattisesti:

  • Keskimääräinen aika murtoon: 9 minuuttia (alennettu tunneista)
  • Kolmansien osapuolten osuus murroissa: kaksinkertaistunut vuodesta vuoteen (Verizon DBIR 2025)
  • Conduent-murto: 25,9 miljoonaa tietuetta paljastettu (sosiaaliturvatunnukset, terveysvakuutustiedot)
  • NHS-myymälän murto: 9 miljoonaa potilasta paljastettu

Tässä uhkaympäristössä arkkitehtoniset takeet ovat korvannut politiikkalupaukset vähimmäisvaatimuksena korkean riskin tietojen käsittelylle.

Miltä todellinen nollatietoisuusarkkitehtuuri näyttää

Aito nollatietoisuusarkkitehtuuri omaa nämä todennettavat ominaisuudet:

1. Asiakaspuolen avaimen johdanto Salausavain johdetaan salasanastasi käyttäen muistin kestäviä KDF:itä (Argon2id, bcrypt tai scrypt) laitteellasi. Johdettu avain ei koskaan poistu laitteeltasi.

2. Asiakaspuolen salaus Tiedot salataan ennen kuin ne lähtevät selaimestasi tai työpöytäsovelluksestasi. Palvelin vastaanottaa vain salattua tekstiä — merkityksetöntä ilman avainta.

3. Ei palvelinpuolen avainten tallennusta Myyjä ei tallenna avaimia, avainfragmentteja tai avainten varmuuskopioita. Palautus tapahtuu käyttäjän hallitsemalla palautuslausekkeella.

4. Kryptografinen todennettavuus Arkkitehtuurin tulisi olla dokumentoitavissa ja auditoitavissa — ihanteellisesti avoin ulkoiselle tarkastelulle. Epämääräisiä "päästä päähän salaus" -väitteitä ilman teknisiä yksityiskohtia tulisi käsitellä skeptisesti.

Kuinka anonym.legal toteuttaa nollatietoisuuden

anonym.legalin nollatietoisuusautentikointi käyttää:

  • Argon2id avaimen johdanto: 64MB muisti, 3 iteraatiota — OWASP:n suosittelema parametrit korkean turvallisuuden sovelluksille
  • AES-256-GCM salaus: Sovelletaan kokonaan selaimessa/työpöydällä ennen kuin mitään tietoja siirretään
  • 24-sanan BIP39 palautuslauseke: Ainoa tapa palauttaa pääsy — ei tallennettu anonym.legalin toimesta
  • Nolla palvelinpuolen avainten pääsy: anonym.legalin palvelimet vastaanottavat vain AES-256-GCM salattua tekstiä ilman avaimia sen purkamiseen

Täydellinen anonym.legalin palvelinmurto tuottaisi salattuja tietopaloja, joita ei voida purkaa ilman jokaisen käyttäjän johdettua avainta — joka on olemassa vain heidän laitteellaan.

Myyjän arviointilista

Kun arvioit mitä tahansa pilvityökalua, joka käsittelee arkaluontoisia tietoja, kysy nämä kysymykset:

Arkkitehtuurikysymykset:

  • Missä salaus/purku tapahtuu — laitteellasi vai myyjän palvelimella?
  • Kuka tuottaa salausavaimet?
  • Missä salausavaimet tallennetaan?
  • Voiko myyjä tuottaa selkokielisiä kopioita tiedoistasi vastauksena haasteeseen?
  • Mitä tapahtuu tiedoillesi, jos myyjä ostetaan?

Murron kestävyyskysymykset:

  • Jos myyjän koko infrastruktuuri on vaarantunut, mitä tietoja paljastuu?
  • Jos myyjän työntekijä menee epärehelliseksi, mitä tietoja he voivat käyttää?
  • Jos toimitusketjun hyökkäys vaarantaa myyjän infrastruktuurin, mitä paljastuu?

Sääntelykysymykset:

  • Voiko myyjä tuottaa asiakirjoja, jotka täyttävät GDPR:n artikla 25?
  • Onko arkkitehtuuri tarkastettu riippumattoman tietoturvaauditoijan toimesta?
  • Onko olemassa ISO 27001 tai SOC 2 -sertifiointia, joka kattaa salauksen toteutuksen?

Mikä tahansa myyjä, joka ei voi selkeästi vastata "nolla — tietosi on salattu ennen kuin se lähtee laitteeltasi" murron kestävyyskysymyksiin, luottaa palvelinpuolen salausta.

Käyttötapaus: Saksan terveysvakuuttajan huolellisuus

Yhden suuren saksalaisen terveysvakuutusyhtiön (Krankenkasse) compliance officer tarvitsi pilvianonymisointityökalun käsitelläkseen vakuutuksenottajien valitustietoja. DPO:n tarkistuslista sisälsi:

  • Myyjä ei voi käyttää vakuutuksenottajien tietoja
  • Ei tietojenkäsittelyä infrastruktuurissa Saksan ulkopuolella
  • GDPR:n artikla 32 tekniset toimenpiteet dokumentoitu
  • DPA:lle raportoitavan murron riski minimoitu

Yksi johtavista Yhdysvalloissa toimivista anonymisointisovelluksista epäonnistui ensimmäisessä kriteerissä: heidän tukitiiminsä voisi nollata käyttäjien tietovarastoja, mikä viittasi palvelinpuolen avainpääsyyn. Toinen työkalu tallensi käsiteltyä tekstiä 30 päiväksi "audit trail" -tarkoituksiin — jälleen, palvelinpuolen pääsy.

anonym.legalin nollatietoisuusarkkitehtuuri täytti kaikki neljä kriteeriä. DPO pystyi dokumentoimaan: "Jopa täydellinen myyjän infrastruktuurin kompromissi ei tuota käyttökelpoisia vakuutuksenottajatietoja — salausavaimet ovat olemassa vain työasemillamme." GDPR:n artikla 32 dokumentaatio valmistui neljässä tunnissa.

ICO:n täytäntöönpanon ennakkotapaus

Joulukuussa 2025, Yhdistyneen kuningaskunnan tietosuojakomissaari määräsi LastPassin Yhdistyneen kuningaskunnan toimijalle 1,2 miljoonan punnan sakon "sopivien teknisten ja organisatoristen turvallisuustoimenpiteiden toteuttamatta jättämisestä."

Sakko ei ollut itse murron vuoksi — se oli arkkitehtuuripäätöksistä, jotka tekivät murrosta katastrofaalisen: riittämättömät KDF-iteraatiot vanhemmille tileille, metadatan paljastuminen ja perusvalinta pitää avaimet palvelinpuolella.

Sääntelyviranomaiset arvioivat nyt ei vain sitä, tapahtuiko murto, vaan myös sitä, vähensikö arkkitehtuuri murtoon liittyvää vaikutusta. Nollatietoisuusarkkitehtuuri on selkein tekninen osoitus tästä aikomuksesta.

Johtopäätös

"Me salamme tietosi" ei ole turvallisuustakuu — se on markkinointiväite, joka vaatii tarkastelua.

Tärkeitä kysymyksiä ovat: kuka pitää avaimia, missä salaus tapahtuu, ja mitä paljastuu, jos myyjän infrastruktuuri vaarantuu?

Organisaatioille, jotka käsittelevät arkaluontoisia tietoja GDPR:n, HIPAA:n tai minkä tahansa vertailukelpoisen kehyksen alaisena, arkkitehtoninen vastaus näihin kysymyksiin määrittää sekä sääntelyaltistuksesi että todellisen murron riskisi.

LastPass salasi käyttäjiensä tiedot. Nollatietoisuusarkkitehtuuri olisi tehnyt vuoden 2022 murrosta ei-tapahtuman. Käyttäjiltä varastettu $438 miljoonaa oli arkkitehtonisen oikopolun hinta.

anonym.legal toteuttaa nollatietoisuusarkkitehtuuria PII-anonymisoinnissa: Argon2id avaimen johdanto tapahtuu selaimessasi tai työpöytäsovelluksessasi, AES-256-GCM salaus tapahtuu ennen kuin tiedot lähtevät laitteeltasi, ja anonym.legalin palvelimet tallentavat vain salattua tekstiä, jota ne eivät voi purkaa.

Lähteet:

Liittyvät Artikkelit

GDPR & Vaatimustenmukaisuus

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Vaatimustenmukaisuus

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Vaatimustenmukaisuus

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Valmiina suojaamaan tietojasi?

Aloita PII-anonymisointi yli 285 entiteettityypillä 48 kielellä.

Aloita Ilmainen KokeiluKatso Ominaisuudet