anonym.legal

By · Last updated 2026-03-03

Atpakaļ uz BloguGDPR un Atbilstība

Nulles zināšanu pret nulles uzticību mākoņa šifrēšanu

LastPass šifrēja savu lietotāju datus — un tika nozagti 438 miljoni USD. Lūk, atšķirība starp servera puses šifrēšanu un patieso nulles zināšanu arhitektūru.

March 3, 20269 min lasīšanai
zero-knowledgeencryptionGDPRdata protectionSaaS securityLastPass

Šifrēšanas ilūzija

Atjaunināts 2026. gadam

  1. gada decembrī LastPass informēja lietotājus par pārkāpumu. Viņu vēstījums bija mierīgs: paroles bija "šifrētas". Seifa saturs bija "drošs".

Līdz 2025. gadam no LastPass lietotājiem tika nozagti vairāk nekā 438 miljoni USD. Zādzība nāca tieši no viņu "drošajiem" seifiem.

Kā? LastPass turēja atslēgas.

Jūsu drošības komandai tas jāzina pirms mākoņa rīka izvēles. Tas attiecas uz jebkuru rīku, kas apstrādā sensitīvus failus — ieskaitot personas datu anonimizācijas platformas.

Servera puses pret nulles zināšanu šifrēšanu

Vairums mākoņa rīku saka, ka tie "šifrē jūsu failus". Bet tie izmanto servera puses šifrēšanu (SSE). Lūk, ko tas nozīmē:

ĪpašībaServera puses šifrēšanaNulles zināšanu arhitektūra
Kur šifrēšana notiekPārdevēja serverīJūsu ierīcē (pārlūkā/darbvirsmā)
Kam ir atslēgasPārdevējamTikai jums
Pārdevējs var lasīt jūsu saturu
Servera pārkāpums atklāj failusNē (tikai šifrēts teksts)
Pārdevēju var piespiest kopīgot saturuNē (viņiem tā nav)
Tiesībaizsardzības piekļuveCaur pārdevējuNav iespējams bez jūsu atslēgas

LastPass turēja atslēgas. Tā bija liktenīgā nepilnība. Uzbrucēji ielauzās un ieguva gan šifrētu tekstu, gan rīkus tā uzlaušanai. Viņi izmantoja sociālas manipulācijas, vāju paroļu brute-force un vecus konta metadatus.

Kāpēc tas svarīgi VDAR 25. pantam

VDAR 25. pants (Privātums pēc dizaina) ir skaidrs. Pārzinošajiem jāizmanto "atbilstoši tehniski un organizatoriski pasākumi". Tiem jābūt iestrādātiem no sākuma.

Eiropas Datu aizsardzības kolēģija (EDPB) ir papildinājusi, ka tas ietver kriptografisko datu minimizēšanu. Sistēmai pašai jābloķē piekļuve ierakstiem. Piekļuves kontrole vien nav pietiekama.

Pārdevējs, kas tur jūsu atslēgas, nevar izpildīt 25. pantu tā stingrā formā. Lūk, kāpēc:

  1. Viņu sistēmas pārkāpums var atklāt jūsu ierakstus.
  2. Pavēste pārdevējam var nodot jūsu saturu.
  3. Ļaunprātīgs darbinieks var skatīt jūsu failus.
  4. Piegādes ķēdes uzbrukums var atklāt visu.

Vācijas Federālā datu aizsardzības komisāre (BfDI) ir izdevusi norādījumus par to. Tāpat arī Austrijas Datenschutzbehörde. Abi saka, ka nulles zināšanu arhitektūra ir labākā tehniskā izvēle augsta riska apstrādei.

SaaS pārkāpumu realitātes pārbaude

AppOmni / Cloud Security Alliance 2024. gada ziņojums atklāja 300% pieaugumu SaaS pārkāpumos no 2022. līdz 2024. gadam. Galvenie fakti:

  • Laiks līdz pārkāpumam: 9 minūtes (agrāk mērīts stundās)
  • Trešo pušu loma pārkāpumos: dubultojusies gadā (Verizon DBIR 2025)
  • Conduent pārkāpums: atklāti 25,9 miljoni ierakstu (sociālās apdrošināšanas numuri, veselības faili)
  • NHS pārdevēja pārkāpums: atklāti 9 miljoni pacientu

Polītikas vārdi vairs nav pietiekami. Spēcīga arhitektūra ir minimālais standarts. Tas attiecas uz visu augsta riska apstrādi.

Kā izskatās patiesā nulles zināšanu arhitektūra

Patiesai nulles zināšanu sistēmai ir šīs skaidras pazīmes:

1. Klienta puses atslēgas atvasināšana Jūsu atslēga nāk no jūsu paroles. Atmiņas ietilpīga KDF (Argon2id, bcrypt vai scrypt) darbojas jūsu ierīcē. Atslēga nekad to neatstāj.

2. Klienta puses šifrēšana Jūsu saturs tiek šifrēts pirms tas atstāj jūsu pārlūku vai lietotni. Serveris saņem tikai šifrētu tekstu. Bez atslēgas šis šifrētais teksts ir bezjēdzīgs.

3. Nav servera puses atslēgu glabāšanas Pārdevējs neglabā atslēgas, atslēgu daļas vai atslēgu rezerves kopijas. Jūs izmantojat savu atjaunošanas frāzi, lai atgūtu piekļuvi.

4. Kriptografiskā pārbaudāmība Sistēmai jābūt labi dokumentētai. Tai jābūt atvērtai auditam. Neskaidri "no gala līdz galam šifrēšanas" apgalvojumi bez tehniskām detaļām ir brīdinājuma signāls.

Kā anonym.legal īsteno nulles zināšanu arhitektūru

anonym.legal nulles zināšanu pieteikšanās izmanto:

  • Argon2id atslēgas atvasināšana: 64 MB atmiņa, 3 iterācijas — OWASP izvēle augsta drošības lietojumprogrammām
  • AES-256-GCM šifrēšana: Darbojas pilnībā jūsu pārlūkā vai darbvirsmas lietotnē pirms jebkāda satura nosūtīšanas
  • 24 vārdu BIP39 atjaunošanas frāze: Vienīgais veids, kā atjaunot piekļuvi — anonym.legal to neglabā
  • Nulles servera puses atslēgu piekļuve: anonym.legal serveri saņem tikai AES-256-GCM šifrētu tekstu, ko nevar atšifrēt

Pilnīgs anonym.legal servera pārkāpums dotu tikai šifrētus blokus. Bez katras lietotāja atslēgas — kas dzīvo tikai viņu ierīcē — šie bloki ir bezjēdzīgi.

Skatiet mūsu drošības un atbilstības pārskatu un atbilstības dokumentāciju pilnīgai informācijai.

Pārdevēja novērtēšanas kontrolsaraksts

Izvēloties mākoņa rīku sensitīviem ierakstiem, uzdodiet šos jautājumus:

Arhitektūras jautājumi:

  • Kur notiek šifrēšana — jūsu ierīcē vai pārdevēja serverī?
  • Kas izveido atslēgas?
  • Kur tiek glabātas atslēgas?
  • Vai pārdevējs var nodot vienkārša teksta kopijas no jūsu satura, ja tiek iesniegta pavēste?
  • Kas notiek ar jūsu failiem, ja pārdevējs tiek iegādāts?

Jautājumi par izturību pret pārkāpumiem:

  • Ja pārdevēja sistēma tiek pilnībā pārkāpta, kādi ieraksti tiek atklāti?
  • Ja pārdevēja darbinieks izrādās ļaunprātīgs, kādu saturu viņš var redzēt?
  • Ja piegādes ķēdes uzbrukums skar pārdevēju, kas tiek atklāts?

Regulatīvie jautājumi:

  • Vai pārdevējs var uzrādīt dokumentāciju par VDAR 25. pantu?
  • Vai ārējais auditors ir pārskatījis sistēmu?
  • Vai ir ISO 27001 vai SOC 2 sertifikāts, kas aptver šifrēšanu?

Jebkurš pārdevējs, kas nevar atbildēt "nulle — saturs tiek šifrēts pirms atstāj jūsu ierīci" uz pārkāpuma jautājumiem, izmanto servera puses šifrēšanu. Pārbaudiet mūsu BUJ un vārdnīcu, lai iegūtu vairāk terminu.

Lietošanas gadījums: Vācu veselības apdrošinātāja pienācīga pārbaude

Atbilstības darbinieks lielā Vācijas veselības apdrošināšanas sabiedrībā (Krankenkasse) vajadzīgs mākoņa anonimizācijas rīks. Uzdevums: apstrādāt apdrošinātāju sūdzību žurnālus. DPA bija četras prasības:

  • Pārdevējs nevar piekļūt apdrošinātāju ierakstiem
  • Nav apstrādes ārpus Vācijas
  • VDAR 32. panta tehniskie pasākumi ir dokumentēti
  • DPA ziņojamais pārkāpuma risks ir minimizēts

Liels ASV anonimizācijas SaaS neizdeva pirmo punktu. Viņu atbalsta komanda varēja atiestatīt lietotāju seifus — pierādījums servera puses atslēgu piekļuvei. Otrais rīks glabāja apstrādāto tekstu 30 dienas "revīzijas žurnāla" vajadzībām — atkal servera puses piekļuve.

anonym.legal izpildīja visas četras prasības. DPA varēja rakstīt: "Pat pilnīgs pārdevēja pārkāpums nerada izmantojamus apdrošinātāju ierakstus — atslēgas pastāv tikai mūsu darba stacijās." VDAR 32. panta dokumentācija tika pabeigta četrās stundās.

Aplūkojiet mūsu gadījumu izpēti, lai iegūtu vairāk reālu piemēru.

ICO izpildes precedents

  1. gada decembrī Apvienotās Karalistes Informācijas komisāra birojs naudas sodu 1,2 miljonus mārciņu piemēroja LastPass Apvienotās Karalistes vienībai. Iemesls: "neatbilstošu tehnisko un organizatorisko drošības pasākumu neesamība."

Sods nebija par pašu pārkāpumu. Tas bija par arhitektūras izvēlēm, kas padarīja pārkāpumu tik kaitīgu. Slikti KDF iestatījumi, atklāti metadati un servera puses atslēgu glabāšana — visi spēlēja lomu.

Regulatori tagad jautā: vai sistēma ierobežoja pārkāpuma ietekmi? Nulles zināšanu arhitektūra uz to skaidri atbild. Tā ir labākais šī nolūka pierādījums.

Kad nulles zināšanu arhitektūra nav piemērota

Nulles zināšanu šifrēšanai ir kompromisi. Tie ir svarīgi dažiem lietošanas gadījumiem:

Atjaunošanas sarežģītība: Ja lietotāji zaudē savas atslēgas, viņu faili ir zaudēti uz visiem laikiem. Nav aizmugurējās durvis. Augsta darbinieku mainīguma vai vājas atslēgu pārvaldības paradumi padara to par reālu risku.

Sadarbības sarežģījumi: Šifrēto saturu var koplietot tikai tad, ja otrai pusei ir pareizi atšifrēšanas rīki. Tas ir lēnāks nekā vienkāršs saites kopīgojums standarta mākoņa lietotnēs.

Regulatīvie robežgadījumi: Dažos reģionos tiesībaizsardzībai ir tiesības piekļūt ierakstiem ar tiesas rīkojumu. Nulles zināšanu sistēmas to bloķē pēc dizaina. Tas var radīt juridiskas problēmas finanšu pakalpojumos vai telekomunikācijās, kur attiecas likumīgas pārtveršanas noteikumi.

Skaitļošanas papildu slodze: Argon2id atslēgas atvasināšana un AES-256-GCM šifrēšana pievieno aizkavi. Tas visvairāk ietekmē reāllaika, liela apjoma apstrādi.

Komandām, kas apstrādā miljonus dokumentu dienā, hibrīda pieeja var darboties labāk. Šifrējiet tikai sensitīvākos laukus. Saglabājiet metadatus atvērtus. Skatiet cenu plānus apjoma pakāpēm.

Secinājums

"Mēs šifrējam jūsu failus" nav drošības solījums. Tā ir mārketinga frāze, kas prasa pārbaudi.

Īstie jautājumi ir vienkārši. Kam ir atslēgas? Kur notiek šifrēšana? Kas tiek atklāts, ja pārdevēja sistēmas tiek pārkāptas?

Komandām, kas apstrādā sensitīvus ierakstus saskaņā ar VDAR, HIPAA vai līdzīgiem noteikumiem, šīs arhitektūras izvēles veido gan jūsu juridisko risku, gan reālo pārkāpumu iedarbību.

LastPass šifrēja savu lietotāju saturu. Nulles zināšanu arhitektūra būtu padarījusi 2022. gada pārkāpumu par nenozīmīgu notikumu. 438 miljoni USD, kas nozagti no lietotājiem, bija arhitektūras saīsnes izmaksas.

anonym.legal izmanto nulles zināšanu arhitektūru personas datu anonimizācijai. Argon2id atslēgas atvasināšana darbojas jūsu pārlūkā vai darbvirsmas lietotnē. AES-256-GCM šifrēšana notiek pirms jebkāds saturs atstāj jūsu ierīci. anonym.legal serveri glabā tikai šifrētu tekstu, ko tie nevar atšifrēt. Uzziniet vairāk mūsu par lapu vai izpētiet tokenu sistēmu.

Avoti

Saistītie Raksti

GDPR un Atbilstība

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR un Atbilstība

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR un Atbilstība

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Vai esat gatavi aizsargāt savus datus?

Sāciet PII anonimizāciju ar 285+ entitāšu veidiem 48 valodās.

Sākt Bezmaksas IzmēģinājumuSkatīt Funkcijas

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.