Medzera medzi tvrdením a architektúrou
Každý dodávateľ cloudu spracúvajúceho citlivé údaje robí nejakú verziu rovnakého tvrdenia: "Šifrujeme vaše údaje." Tvrdenie je takmer vždy pravdivé—a takmer vždy nedostatočné.
Porušenie LastPass v roku 2022 je definitívnym prípadným štúdiou. LastPass zašifroval trezory hesiel svojich používateľov. Použili šifrovanie. Tvrdenie bolo presné. A napriek tomu 25 miliónov používateľov malo svoje zašifrované trezory exfiltrované a 438 miliónov dolárov bolo následne ukradnutých od používateľov LastPass v následných krádežiach kryptomeny cez rok 2025, podľa výskumu od Coinbase Institutional.
Úrad britského komisára na ochranu informácií pokútila entity LastPass UK £1,2 milióna v decembri 2025 za "neprijatie primeraných technických a organizačných bezpečnostných opatrení." Šifrovanie existovalo. Bezpečnostné opatrenia nespĺňali požadovaný štandard.
Pre podniky vyhodnocujúce cloudové nástroje ochrany súkromia—vrátane platforiem anonymizácie PII—precedens LastPass zmení otázku nákupu. Otázka nie je "šifrujú naše údaje?" Je to "môžu si naše údaje dešifrovať?"
Štyri otázky s nulové vedomie, ktoré naozaj majú hmotnosť
Keď vyhodnocujete tvrdenie dodávateľa o nulové vedomie, štyri otázky určujú, či je architektúra autentická:
1. Kde sa stane odvodzovania kľúča?
V skutočnej architektúre s nulovým vedomím, odvodzovania kľúča šifrovania sa stane na strane klienta—v prehliadači alebo desktopovej aplikácii—predtým, ako sa nejaké údaje prenášajú. Odvodení...