Ilusi Penyulitan
Dikemas kini untuk 2026
Pada Disember 2022, LastPass memaklumkan pengguna tentang pelanggaran. Mesej mereka tenang: kata laluan "disulitkan." Kandungan peti simpan "dilindungi."
Menjelang 2025, lebih $438 juta telah dicuri daripada pengguna LastPass. Kecurian itu berlaku terus dari peti simpan "selamat" mereka.
Bagaimana? LastPass memegang kunci-kuncinya.
Pasukan keselamatan anda mesti mengetahui perkara ini sebelum memilih alat awan. Ia terpakai untuk sebarang alat yang mengendalikan fail sensitif — termasuk platform tanpa nama PII.
Penyulitan Sebelah Pelayan vs. Tanpa Pengetahuan
Kebanyakan alat awan mengatakan mereka "menyulitkan fail anda." Tetapi mereka menggunakan penyulitan sebelah pelayan (SSE). Inilah maksudnya:
| Sifat | Penyulitan Sebelah Pelayan | Seni Bina Tanpa Pengetahuan |
|---|---|---|
| Di mana penyulitan berlaku | Di pelayan vendor | Di peranti anda (pelayar/desktop) |
| Siapa yang memegang kunci | Vendor | Hanya anda |
| Vendor boleh membaca kandungan anda | Ya | Tidak |
| Pelanggaran pelayan mendedahkan fail | Ya | Tidak (teks tersulitkan sahaja) |
| Vendor boleh dipaksa berkongsi kandungan | Ya | Tidak (mereka tidak memilikinya) |
| Akses penguatkuasaan undang-undang | Melalui vendor | Tidak mungkin tanpa kunci anda |
LastPass memegang kunci-kuncinya. Itulah kelemahan mematikan. Penyerang menceroboh masuk dan mendapat kedua-dua teks tersulitkan dan alat untuk memecahkannya. Mereka menggunakan tipu muslihat sosial, kuasa kasar kata laluan lemah, dan metadata akaun lama.
Mengapa Ini Penting untuk GDPR Artikel 25
GDPR Artikel 25 (Privasi mengikut Reka Bentuk) adalah jelas. Pengawal mesti menggunakan "langkah teknikal dan organisasi yang sesuai." Ini mesti dibina dari awal.
Lembaga Perlindungan Data Eropah (EDPB) telah menambah bahawa ini termasuk pengurangan data kriptografi. Sistem itu sendiri mesti menghalang akses kepada rekod. Kawalan akses sahaja tidak mencukupi.
Vendor yang memegang kunci anda tidak dapat memenuhi Artikel 25 dalam bentuk ketatnya. Inilah sebabnya:
- Pelanggaran sistem mereka boleh mendedahkan rekod anda.
- Sepina kepada vendor boleh menyerahkan kandungan anda.
- Pekerja yang berniat jahat boleh melihat fail anda.
- Serangan rantaian bekalan boleh mendedahkan segalanya.
Pesuruhjaya Persekutuan Jerman untuk Perlindungan Data (BfDI) telah mengeluarkan panduan mengenai perkara ini. Begitu juga Datenschutzbehörde Austria. Kedua-duanya mengatakan tanpa pengetahuan adalah pilihan teknikal terbaik untuk pemprosesan berisiko tinggi.
Semakan Realiti Pelanggaran SaaS
Laporan AppOmni / Cloud Security Alliance 2024 mendapati kenaikan 300% dalam pelanggaran SaaS dari 2022 hingga 2024. Fakta utama:
- Masa untuk pelanggaran: 9 minit (pernah diukur dalam jam)
- Peranan pihak ketiga dalam pelanggaran: berganda dari tahun ke tahun (Verizon DBIR 2025)
- Pelanggaran Conduent: 25.9 juta rekod terdedah (nombor Jaminan Sosial, fail kesihatan)
- Pelanggaran vendor NHS: 9 juta pesakit terdedah
Kata-kata dasar tidak lagi mencukupi. Seni bina yang kukuh adalah piawaian minimum. Ini terpakai untuk semua pemprosesan berisiko tinggi.
Rupa Seni Bina Tanpa Pengetahuan Sebenar
Sistem tanpa pengetahuan sebenar mempunyai ciri-ciri yang jelas:
1. Terbitan kunci sebelah klien Kunci anda berasal dari kata laluan anda. KDF keras memori (Argon2id, bcrypt, atau scrypt) berjalan pada peranti anda. Kunci tidak pernah meninggalkannya.
2. Penyulitan sebelah klien Kandungan anda disulitkan sebelum meninggalkan pelayar atau aplikasi anda. Pelayan hanya mendapat teks tersulitkan. Tanpa kunci, teks tersulitkan itu tidak berguna.
3. Tiada penyimpanan kunci sebelah pelayan Vendor tidak menyimpan kunci, serpihan kunci, atau sandaran kunci. Anda menggunakan frasa pemulihan sendiri untuk mendapatkan semula akses.
4. Kebolehsahihan kriptografi Sistem mesti didokumentasikan dengan baik. Ia mesti terbuka untuk diaudit. Dakwaan "penyulitan hujung ke hujung" yang samar-samar tanpa butiran teknikal adalah tanda amaran.
Cara anonym.legal Melaksanakan Tanpa Pengetahuan
Log masuk tanpa pengetahuan anonym.legal menggunakan:
- Terbitan kunci Argon2id: Memori 64MB, 3 lelaran — pilihan OWASP untuk aplikasi keselamatan tinggi
- Penyulitan AES-256-GCM: Berjalan sepenuhnya dalam pelayar atau aplikasi desktop anda sebelum sebarang kandungan dihantar
- Frasa pemulihan BIP39 24 kata: Satu-satunya cara untuk memulihkan akses — tidak disimpan oleh anonym.legal
- Sifar akses kunci sebelah pelayan: Pelayan anonym.legal hanya mendapat teks tersulitkan AES-256-GCM yang tidak dapat mereka nyahsulit
Pelanggaran pelayan anonym.legal sepenuhnya hanya akan menghasilkan blok yang disulitkan. Tanpa kunci setiap pengguna — yang hanya ada di peranti mereka — blok-blok ini tidak berguna.
Lihat gambaran keseluruhan keselamatan dan pematuhan dan dokumentasi pematuhan kami untuk butiran penuh.
Senarai Semak Penilaian Vendor
Apabila anda memilih alat awan untuk rekod sensitif, tanya soalan-soalan ini:
Soalan seni bina:
- Di mana penyulitan berlaku — di peranti anda atau di pelayan vendor?
- Siapa yang mencipta kunci?
- Di mana kunci disimpan?
- Bolehkah vendor menyerahkan salinan teks biasa kandungan anda jika dikenakan sepina?
- Apa yang berlaku kepada fail anda jika vendor diambil alih?
Soalan ketahanan terhadap pelanggaran:
- Jika sistem vendor dilanggar sepenuhnya, rekod apa yang terdedah?
- Jika pekerja vendor bertindak jahat, kandungan apa yang boleh mereka lihat?
- Jika serangan rantaian bekalan mengenai vendor, apa yang terdedah?
Soalan peraturan:
- Bolehkah vendor menunjukkan dokumentasi untuk GDPR Artikel 25?
- Adakah pemeriksa luar telah menyemak sistem?
- Adakah ada sijil ISO 27001 atau SOC 2 yang merangkumi penyulitan?
Mana-mana vendor yang tidak dapat menjawab "sifar — kandungan disulitkan sebelum meninggalkan peranti anda" kepada soalan pelanggaran menggunakan penyulitan sebelah pelayan. Semak FAQ dan glosari kami untuk lebih banyak istilah.
Kes Penggunaan: Uji Tuntas Penginsuran Kesihatan Jerman
Pegawai pematuhan di sebuah penginsuran kesihatan besar Jerman (Krankenkasse) memerlukan alat tanpa nama awan. Tugasnya: memproses log aduan pemegang polisi. DPO mempunyai empat keperluan:
- Vendor tidak boleh mengakses rekod pemegang polisi
- Tiada pemprosesan di luar Jerman
- Langkah teknikal GDPR Artikel 32 didokumentasikan
- Risiko pelanggaran yang boleh dilaporkan kepada DPA diminimumkan
Satu SaaS tanpa nama besar AS gagal pada item pertama. Pasukan sokongan mereka boleh menetapkan semula peti simpan pengguna — bukti akses kunci sebelah pelayan. Alat kedua menyimpan teks yang diproses selama 30 hari untuk kegunaan "jejak audit" — sekali lagi, akses sebelah pelayan.
anonym.legal memenuhi keempat-empat kriteria. DPO boleh menulis: "Walaupun pelanggaran vendor sepenuhnya tidak menghasilkan rekod pemegang polisi yang boleh digunakan — kunci hanya wujud di stesen kerja kami." Dokumentasi GDPR Artikel 32 selesai dalam empat jam.
Lihat kajian kes kami untuk lebih banyak contoh dunia sebenar.
Preseden Penguatkuasaan ICO
Pada Disember 2025, Pejabat Pesuruhjaya Maklumat UK mendenda entiti UK LastPass £1.2 juta. Sebabnya: "kegagalan melaksanakan langkah keselamatan teknikal dan organisasi yang sesuai."
Denda itu bukan untuk pelanggaran itu sendiri. Ia untuk pilihan seni bina yang menjadikan pelanggaran begitu berbahaya. Tetapan KDF yang buruk, metadata yang terdedah, dan penyimpanan kunci sebelah pelayan semuanya memainkan peranan.
Pengawal selia kini bertanya: adakah sistem tersebut mengehadkan impak pelanggaran? Seni bina tanpa pengetahuan menjawab soalan itu dengan jelas. Ia adalah bukti terbaik niat tersebut.
Apabila Seni Bina Tanpa Pengetahuan Bukan Pilihan Tepat
Penyulitan tanpa pengetahuan mempunyai pertukaran nilai. Ini penting untuk sesetengah kes penggunaan:
Kerumitan pemulihan: Jika pengguna kehilangan kunci mereka, fail mereka hilang untuk selamanya. Tidak ada pintu belakang. Kadar pergantian kakitangan yang tinggi atau tabiat pengurusan kunci yang lemah menjadikan ini risiko sebenar.
Geseran kolaborasi: Kandungan yang disulitkan hanya boleh dikongsi jika pihak lain mempunyai alat penyahsulitan yang betul. Ini lebih perlahan daripada perkongsian pautan mudah dalam aplikasi awan standard.
Kes tepi peraturan: Sesetengah wilayah memerlukan akses penguatkuasaan undang-undang kepada rekod melalui perintah mahkamah. Sistem tanpa pengetahuan menghalang ini mengikut reka bentuk. Itu mungkin menyebabkan isu undang-undang dalam perkhidmatan kewangan atau telekomunikasi, di mana peraturan pintasan sah terpakai.
Overhead pengkomputeran: Terbitan kunci Argon2id dan penyulitan AES-256-GCM kedua-duanya menambah kelewatan. Ini paling ketara untuk pemprosesan masa nyata bervolum tinggi.
Untuk pasukan yang memproses berjuta-juta dokumen sehari, pendekatan hibrid mungkin lebih sesuai. Sulitkan hanya medan paling sensitif. Simpan metadata terbuka. Lihat pelan harga untuk tahap volum.
Kesimpulan
"Kami menyulitkan fail anda" bukan janji keselamatan. Ia adalah frasa pemasaran yang memerlukan penelitian.
Soalan sebenarnya adalah mudah. Siapa yang memegang kunci? Di mana penyulitan berlaku? Apa yang terdedah jika sistem vendor dilanggar?
Untuk pasukan yang memproses rekod sensitif di bawah GDPR, HIPAA, atau peraturan seumpamanya, pilihan seni bina ini membentuk kedua-dua risiko undang-undang dan pendedahan pelanggaran sebenar anda.
LastPass menyulitkan kandungan pengguna mereka. Seni bina tanpa pengetahuan akan menjadikan pelanggaran 2022 bukan peristiwa. $438 juta yang dicuri daripada pengguna adalah kos pintasan seni bina.
anonym.legal menggunakan seni bina tanpa pengetahuan untuk tanpa nama PII. Terbitan kunci Argon2id berjalan dalam pelayar atau aplikasi desktop anda. Penyulitan AES-256-GCM berlaku sebelum sebarang kandungan meninggalkan peranti anda. Pelayan anonym.legal hanya menyimpan teks tersulitkan yang tidak dapat mereka nyahsulit. Ketahui lebih lanjut di halaman tentang kami atau terokai sistem token.