Šifrēšanas Iluūzija
Decembrī 2022 LastPass paziņoja par pārkāpumu. Oficiālais paziņojums ietvertais pārliecinošais valodas: lietotāja paroles bija "šifrētas." Seifs dati bija "drošības."
- gadā, vairāk nekā $438 miljoni tika nozagti no LastPass lietotājiem — tieši iztukšots no viņu it kā šifrēto apkartiem.
Kā? LastPass turējis atslēgas.
Šī ir kritiski izšķire, ko katrs uzņēmuma drošības komanda jāsaprot pirms atlases jebkādu mākoņa rīku, kas apstrādā sensitīvus datus — arī PII anomimiāzācijas platformas.
Servera Šifrēšana pret Zero-Knowledge Arhitektūru
Lielāka daļa mākoņa rīki, kas apgalvo "šifrēt jūsu datus" izmanto servera šifrēšanu (SSE). Lūk, kā tas faktiski darbojas:
| Īpašums | Servera Šifrēšana | Zero-Knowledge Arhitektūra |
|---|---|---|
| Kur šifrēšana notiek | Uz piegādātāja servera | Uz jūsu ierīces (pārlūks/darbvirsma) |
| Kurš tur atslēgas | Piegādātājs | Tikai jūs |
| Piegādātājs var lasīt jūsu datus | Jā | Nē |
| Servera pārkāpums atklāj datus | Jā | Nē (tikai šifrēts teksts) |
| Piegādātājs var tikt piespiestu ražot datus | Jā | Nē (viņiem nav tā) |
| Regulējošu/likumvēlētāju piekļuve | Caur piegādātāju | Nav iespējama bez jūsu atslēgas |
LastPass izmantoja servera šifrēšanu ar atslēgām, ko viņi kontrolēja. Kad uzbrucēji pārkāpa viņu infrastruktūru, viņi iegūja gan šifrēto tekstu, gan nozīmīgus decryptie — sociālas inženierijas darbinieki, brute-forsē vājas...