Dulkóðunarsýnin
Uppfært fyrir 2026
Í desember 2022 tilkynnti LastPass notendum um brot. Skilaboðin voru rólæg: lykilorð voru "dulkóðuð". Geymsluinnihald var "tryggt".
Að árinu 2025 hafði yfir $438 milljónum verið stolið frá LastPass notendum. Þjófnaðurinn kom beint úr "öruggum" geymslum þeirra.
Hvernig? LastPass hélt lyklunum.
Öryggislið þitt verður að þekkja þetta áður en það velur skýtæki. Þetta á við hvaða verkfæri sem er sem meðhöndlar viðkvæmar skrár -- þar á meðal PII-nafnleysuvæðingarplöttfórmur.
Þjónahlið vs. núllþekkingardulkóðun
Flest skýtæki segja að þau "dulkóði skrár þínar". En þau nota þjónahlið dulkóðun (SSE). Hér er hvað það þýðir:
| Eiginleiki | Þjónahlið dulkóðun | Núllþekkingararkitektúr |
|---|---|---|
| Hvar dulkóðun á sér stað | Á þjóna birgis | Á tækið þitt (vafri/skjáborð) |
| Hvem heldur lyklum | Birgirinn | Eingöngu þú |
| Birgir getur lesið innihald þitt | Já | Nei |
| Þjónabrot afhjúpar skrár | Já | Nei (eingöngu dulmál) |
| Birgir getur verið neyddur til að deila innihaldi | Já | Nei (þeir hafa það ekki) |
| Lögreglaaðgangur | Í gegnum birgi | Ekki mögulegt án lykils þíns |
LastPass hélt lyklunum. Þetta var banvæni gállinn. Árásarmenn brutu inn og fengu bæði dulmálið og verkfærin til að brjóta það. Þeir notuðu félagslegar aðferðir, veikt lykilorðsbrot og gömul reikningsmetagögn.
Hvers vegna þetta skiptir máli fyrir GDPR 25. grein
GDPR 25. grein (Persónuvernd í hönnun) er skýr. Stjórnendur verða að nota "viðeigandi tæknilegar og skipulagslegar ráðstafanir". Þessar verða að vera innbyggðar frá upphafi.
Evrópska persónuverndarráðið (EDPB) hefur bætt við að þetta feli í sér dulmálslægar gagnahamlingar. Kerfið sjálft verður að loka á aðgang að gögnum. Aðgangsstýringar einar og sér duga ekki.
Birgir sem heldur lyklum þínum getur ekki uppfyllt 25. grein í þrengstu mynd hennar. Hér er ástæðan:
- Brot á kerfi þeirra gæti afhjúpað gögn þín.
- Dómsboð á birginn gæti afhent innihaldið þitt.
- Slæmur starfsmaður gæti skoðað skrár þínar.
- Árás á aðfangakeðjuna gæti afhjúpað allt.
Þýski alríkisfulltrúi gagnaverndar (BfDI) hefur gefið út leiðbeiningar um þetta. Svo hefur austurríska Datenschutzbehörde. Báðar segja að núllþekking sé besta tæknilega valið fyrir vinnslu með mikla áhættu.
Raunveruleikaathugun SaaS-brota
AppOmni / Cloud Security Alliance 2024 skýrslan fann 300% aukningu í SaaS-brotum frá 2022 til 2024. Lykilstaðreyndir:
- Tími í brot: 9 mínútur (áður mælt í klukkustundum)
- Þriðja-aðila hlutverk í brotum: tvöfaldaðist á ári (Verizon DBIR 2025)
- Conduent-brot: 25,9 milljóna færslur afhjúpaðar (Kennitölur, heilbrigðisskrár)
- NHS-birgirbrot: 9 milljón sjúklingar afhjúpaðir
Stefnuorð duga ekki lengur. Sterk arkitektúr er lágmarksstaðallinn. Þetta á við um alla vinnslu með mikla áhættu.
Hvernig raunverulegur núllþekkingararkitektúr lítur út
Raunverulegt núllþekkingakerfi hefur þessa skýru einkenni:
1. Lyklaafleiding á biðlarahlið Lykillinn þinn kemur frá lykilorðinu þínu. Minnisharð KDF (Argon2id, bcrypt eða scrypt) keyrir á tækið þitt. Lykillinn yfirgefur það aldrei.
2. Dulkóðun á biðlarahlið Innihald þitt er dulkóðað áður en það yfirgefur vafra eða forrit þitt. Þjónninn fær eingöngu dulmál. Án lykils er það dulmál gagnslaust.
3. Engin lyklageymsla á þjónahlið Birgirinn geymir enga lykla, enga lyklahluta og enga lyklaafrit. Þú notar eigin endurheimtarsetning til að fá aftur aðgang.
4. Dulritunarstaðfestanleiki Kerfið verður að vera vel skjölað. Það verður að vera opið fyrir endurskoðun. Óljósar "enda-í-enda dulkóðun" fullyrðingar án tæknilegar upplýsinga eru rauð fán.
Hvernig anonym.legal útfærir núllþekkingu
Núllþekkingsinnskráning anonym.legal notar:
- Argon2id lyklaafleiding: 64MB minni, 3 ítrekanir -- OWASP-val fyrir öryggisforrit
- AES-256-GCM dulkóðun: Keyrir að fullu í vafra þínum eða skjáborðsforriti áður en eitthvað innihald er sent
- 24-orða BIP39 endurheimtarsetning: Eina leiðin til að endurheimta aðgang -- ekki geymt af anonym.legal
- Enginn þjónahlið lyklaðgangur: Þjónar anonym.legal fá eingöngu AES-256-GCM dulmál sem þeir geta ekki afkóðað
Fullkomið brot á þjóna anonym.legal myndi gefa eingöngu dulkóðaðar blobbur. Án lykils hvers notanda -- sem er eingöngu á tækjum þeirra -- eru þessar blobbur gagnslausar.
Sjá yfirlit yfir öryggi og reglufylgni og reglufylgnigögn fyrir frekari upplýsingar.
Matslisti birgja
Þegar þú velur skýtæki fyrir viðkvæmar skrár skaltu spyrja þessara spurninga:
Arkitektúrspurningar:
- Hvar á sér dulkóðun stað -- á tækið þitt eða á þjóna birgis?
- Hvem skapar lyklana?
- Hvar eru lyklar geymdir?
- Getur birgirinn afhent klártextaafrit af innihaldi þínu ef dómsboð er gefið?
- Hvað gerist við skrár þínar ef birgirinn er keyptur?
Brotaþolsspurningar:
- Ef kerfi birgisins er fullkomlega brotið, hvaðar skrár eru afhjúpaðar?
- Ef starfsmaður birgis verður villtur, hvaðar skrár getur hann séð?
- Ef árás á aðfangakeðjuna verður, hvað er afhjúpað?
Reglugerðarspurningar:
- Getur birgirinn sýnt gögn fyrir GDPR 25. grein?
- Hefur utanaðkomandi endurskoðandi skoðað kerfið?
- Er til ISO 27001 eða SOC 2 vottun sem nær yfir dulkóðun?
Hvað birgir sem getur ekki svarað "núll -- innihald er dulkóðað áður en það yfirgefur tæki þitt" á brotaspurningarnar er að nota þjónahlið dulkóðun. Skoðaðu FAQ og orðasafn okkar fyrir fleiri hugtök.
Notkunartilvik: Þýsk sjúkratryggingafélag vegna áreiðanleika
Reglufylgnistarfsmaður hjá stóru þýsku sjúkratryggingafélagi (Krankenkasse) þurfti skýtæki til nafnleysuvæðingar. Verkefnið: vinna úr kvartanaskrám tryggingartaka. DPO-maðurinn hafði fjórar kröfur:
- Birgir getur ekki nálgast skrár tryggingartaka
- Engin vinnsla utan Þýskalands
- GDPR 32. grein tæknilegar ráðstafanir skjalaðar
- Brotaáhætta sem hægt er að tilkynna til DPA er minnkuð til lágmarks
Stórt bandarískt nafnleysuvæðingarSaaS féll á fyrsta atriðið. Þjónustulið þeirra gat endurstillt notandageymslur -- sönnun um þjónahlið lyklaðgang. Annað verkfæri geymdi unninn texta í 30 daga vegna "endurskoðunarslóðar" -- aftur, þjónahlið aðgangur.
anonym.legal uppfyllti allar fjórar kröfurnar. DPO-maðurinn gat skrifað: "Jafnvel fullkomið brot á birgi skilar engum nothæfum skrám tryggingartaka -- lyklar eru eingöngu á vinnustöðvum okkar." GDPR 32. grein skjölun var lokið á fjórum klukkustundum.
Skoðaðu dæmissögur okkar fyrir fleiri dæmi úr raunveruleikanum.
ICO-framfylgnifordæmið
Í desember 2025 sektaði breska upplýsingaeftirlitið LastPass UK-eininguna £1,2 milljóna. Ástæðan: "Bilun við að útfæra viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir."
Sektin var ekki vegna brotsins sjálfs. Hún var vegna arkitektúrvalanna sem gerðu brotið svo skaðlegt. Slæm KDF-stillingar, afhjúpuð metagögn og þjónahlið lyklageymsla leika öll hlutverk.
Eftirlitsaðilar spyrja nú: takmarkaði kerfið áhrif brots? Núllþekkingararkitektúr svarar því skýrt. Það er besta sönnunin á þeirri ætlan.
Þegar núllþekkingararkitektúr hentar ekki
Núllþekkingardulkóðun hefur málamiðlanir. Þær skipta máli fyrir sum notkunartilvik:
Endurheimtarflækjur: Ef notendur missa lykla sína eru skrár þeirra farnar að eilífu. Það er engin bakdyr. Mikil starfsmannavelta eða léleg lyklasstjórnarvenjur gera þetta að raunverulegri áhættu.
Samstarfsnudd: Dulkóðað innihald getur eingöngu verið deilt ef hinn aðilinn hefur réttu afkóðunarverkfærin. Þetta er hægara en einföld tengilsdeling í hefðbundnum skýjaforritum.
Reglugerðarjaðartilvik: Sumar svæðar krefjast lögregluaðgangs að gögnum samkvæmt dómsúrskurði. Núllþekkingakerfi loka á þetta af hönnun. Þetta gæti valdið lagalegum málum í fjármálaþjónustu eða fjarskiptum, þar sem reglur um lögmæta hlustun gilda.
Reiknileg auka úrvinnsla: Bæði Argon2id lyklaafleiding og AES-256-GCM dulkóðun bæta við töf. Þetta skiptir mestu máli við rauntíma, mikið magn vinnslu.
Fyrir teymi sem vinna milljónir skjala á dag gæti blönduð nálgun virkað betur. Dulkóðaðu eingöngu viðkvæmustu reitina. Geymdu metagögn opið. Sjá verðlagsáætlanir fyrir magnaþrep.
Niðurstaðan
"Við dulkóðum skrár þínar" er ekki öryggisloforð. Það er markaðssetningarsetning sem þarf skoðun.
Raunverulegar spurningarnar eru einfaldar. Hvem heldur lyklum? Hvar á sér dulkóðun stað? Hvað er afhjúpað ef kerfi birgis er brotið?
Fyrir teymi sem vinna viðkvæmar skrár samkvæmt GDPR, HIPAA eða sambærilegum reglum, mótgar þessir arkitektúrvalir bæði lagalega áhættu þína og raunverulega brotautsetninguna.
LastPass dulkóðaði innihald notenda sinna. Núllþekkingararkitektúr hefði gert 2022-brotið að engu. $438 milljónirnar sem stáðu af notendum voru kostnaður arkitektúrstytta.
anonym.legal notar núllþekkingararkitektúr fyrir PII-nafnleysuvæðingu. Argon2id lyklaafleiding keyrir í vafra þínum eða skjáborðsforriti. AES-256-GCM dulkóðun á sér stað áður en eitthvað innihald yfirgefur tæki þitt. Þjónar anonym.legal geyma eingöngu dulmál sem þeir geta ekki afkóðað. Lærðu meira á um-síðunni eða skoðaðu táknakerfið.