Iluzija šifrovanja
Ažurirano za 2026.
U decembru 2022. LastPass je obavestio korisnike o povredi podataka. Njihova poruka je bila mirna: lozinke su bile "šifrovane". Sadržaj trezora je bio "obezbeđen".
Do 2025. godine, više od $438 miliona je ukradeno od korisnika LastPass-a. Krađa je došla pravo iz njihovih "bezbednih" trezora.
Kako? LastPass je čuvao ključeve.
Vaš bezbednosni tim mora ovo znati pre odabira alata za oblak. Važi za svaki alat koji obrađuje osetljive fajlove — uključujući platforme za anonimizaciju PII.
Šifrovanje na strani servera vs. Zero-Knowledge arhitektura
Većina alata za oblak kaže da "šifruje vaše fajlove". Ali koriste šifrovanje na strani servera (SSE). Evo šta to znači:
| Osobina | Šifrovanje na strani servera | Zero-Knowledge arhitektura |
|---|---|---|
| Gde se šifrovanje odvija | Na serveru prodavca | Na vašem uređaju (pregledač/desktop) |
| Ko čuva ključeve | Prodavac | Samo vi |
| Prodavac može čitati vaš sadržaj | Da | Ne |
| Povreda servera izlaže fajlove | Da | Ne (samo šifrovan tekst) |
| Prodavac može biti primoran da podeli sadržaj | Da | Ne (nemaju ga) |
| Pristup organa za sprovođenje zakona | Kroz prodavca | Nemoguće bez vašeg ključa |
LastPass je čuvao ključeve. To je bila fatalna greška. Napadači su provalili i dobili i šifrovani tekst i alate za njegovo razbijanje. Koristili su socijalne trikove, grubim forsiranjem slabih lozinki i starim metapodacima naloga.
Zašto ovo bitno za GDPR član 25
GDPR član 25 (Privatnost po dizajnu) je jasan. Kontrolori moraju koristiti "odgovarajuće tehničke i organizacione mere". Moraju biti ugrađene od samog početka.
Evropski odbor za zaštitu podataka (EDPB) je dodao da ovo uključuje kriptografsku minimizaciju podataka. Sam sistem mora blokirati pristup zapisima. Samo kontrole pristupa nisu dovoljne.
Prodavac koji čuva vaše ključeve ne može ispuniti član 25 u strogom smislu. Evo zašto:
- Povreda njihovog sistema mogla bi izložiti vaše zapise.
- Sudski nalog prodavcu mogao bi predati vaš sadržaj.
- Neodgovoran zaposleni mogao bi pregledati vaše fajlove.
- Napad na lanac snabdevanja mogao bi izložiti sve.
Nemački savezni komesar za zaštitu podataka (BfDI) je izdao smernice o ovome. Isto je učinila i austrijska Datenschutzbehörde. Oba kažu da je zero-knowledge best tehnički izbor za obradu visokog rizika.
Provera stvarnosti: povrede SaaS-a
Izveštaj AppOmni / Cloud Security Alliance iz 2024. otkrio je porast od 300% u povredi SaaS-a od 2022. do 2024. Ključne činjenice:
- Vreme do povrede: 9 minuta (nekad mereno u satima)
- Uloga trećih strana u povredama: udvostručena iz godine u godinu (Verizon DBIR 2025)
- Povreda Conduenta: izloženo 25,9 miliona zapisa (brojevi socijalnog osiguranja, zdravstveni fajlovi)
- Povreda NHS dobavljača: izloženo 9 miliona pacijenata
Reči politike više nisu dovoljne. Snažna arhitektura je minimalni standard. Ovo se odnosi na svu obradu visokog rizika.
Kako izgleda prava Zero-Knowledge arhitektura
Pravi zero-knowledge sistem ima ove jasne karakteristike:
1. Izvođenje ključa na strani klijenta Vaš ključ potiče iz vaše lozinke. Memorijski zahtevan KDF (Argon2id, bcrypt ili scrypt) pokreće se na vašem uređaju. Ključ ga nikada ne napušta.
2. Šifrovanje na strani klijenta Vaš sadržaj je šifrovan pre nego što napusti vaš pregledač ili aplikaciju. Server dobija samo šifrovani tekst. Bez ključa, taj šifrovani tekst je beskoristan.
3. Nema skladištenja ključeva na strani servera Prodavac ne čuva nikakve ključeve, delove ključeva niti rezervne kopije ključeva. Za povratak pristupa koristite sopstvenu frazu za oporavak.
4. Kriptografska proverljivost Sistem mora biti dobro dokumentovan. Mora biti otvoren za reviziju. Nejasne tvrdnje o "end-to-end šifrovanju" bez tehničkih detalja su crvena zastavica.
Kako anonym.legal implementira Zero-Knowledge
Zero-knowledge prijava anonym.legal koristi:
- Argon2id izvođenje ključa: 64MB memorije, 3 iteracije — OWASP izbor za aplikacije visokog nivoa bezbednosti
- AES-256-GCM šifrovanje: Radi u potpunosti u vašem pregledaču ili desktop aplikaciji pre nego što se ikakav sadržaj pošalje
- 24-reči BIP39 fraza za oporavak: Jedini način za povratak pristupa — anonym.legal je ne čuva
- Nula serverskog pristupa ključevima: Serveri anonym.legal dobijaju samo AES-256-GCM šifrovani tekst koji ne mogu dešifrovati
Pouna povreda servera anonym.legal dala bi samo šifrovane blokove. Bez ključa svakog korisnika — koji živi samo na njihovom uređaju — ti blokovi su beskorisni.
Pogledajte naš pregled bezbednosti i usklađenosti i dokumentaciju o usklađenosti za potpune detalje.
Lista za proveru dobavljača
Kada birate alat za oblak za osetljive zapise, postavite ova pitanja:
Pitanja o arhitekturi:
- Gde se šifrovanje odvija — na vašem uređaju ili na serveru prodavca?
- Ko kreira ključeve?
- Gde se ključevi čuvaju?
- Može li prodavac predati kopije vašeg sadržaja u čistom tekstu ako dobije sudski nalog?
- Šta se dešava sa vašim fajlovima ako prodavac bude kupljen?
Pitanja o otpornosti na povrede:
- Ako je sistem prodavca u potpunosti probijen, koji zapisi su izloženi?
- Ako zaposleni kod prodavca postane nepouzdan, koji sadržaj može videti?
- Ako napad na lanac snabdevanja pogodi prodavca, šta je izloženo?
Regulatorna pitanja:
- Može li prodavac pokazati dokumentaciju za GDPR član 25?
- Da li je spoljni revizor pregledao sistem?
- Postoji li ISO 27001 ili SOC 2 sertifikat koji pokriva šifrovanje?
Svaki prodavac koji ne može odgovoriti "nula — sadržaj je šifrovan pre napuštanja vašeg uređaja" na pitanja o povredama koristi šifrovanje na strani servera. Pogledajte naš FAQ i rečnik pojmova za više termina.
Slučaj upotrebe: Nemačka zdravstvena osiguravajuća kuća
Sluužbenik za usklađenost u velikoj nemačkoj zdravstvenoj osiguravajućoj kući (Krankenkasse) trebao je alat za anonimizaciju u oblaku. Zadatak: obrada evidencija pritužbi osiguranika. DPO je imao četiri zahteva:
- Prodavac ne sme pristupati zapisima osiguranika
- Nema obrade van Nemačke
- Dokumentovane tehničke mere prema GDPR članu 32
- Minimizovan rizik od povrede koja se mora prijaviti DPA
Veliki američki SaaS za anonimizaciju nije prošao prvu stavku. Njihov tim za podršku mogao je resetovati korisnička trezore — dokaz serverskog pristupa ključevima. Drugi alat je čuvao obrađen tekst 30 dana za "revizorski trag" — opet, pristup na strani servera.
anonym.legal je ispunio sva četiri kriterijuma. DPO je mogao napisati: "Čak i potpuna povreda prodavca ne daje upotrebljive zapise osiguranika — ključevi postoje samo na našim radnim stanicama." Dokumentacija prema GDPR članu 32 završena je za četiri sata.
Pogledajte naše studije slučaja za više primera iz stvarnog života.
Presedan ICO sprovođenja
U decembru 2025. britanski Kancelarija informacionog komesara kaznila je LastPass UK entitet sa £1,2 miliona. Razlog: "neuspeh u implementaciji odgovarajućih tehničkih i organizacionih bezbednosnih mera".
Kazna nije bila za samu povredu. Bila je za arhitekturne odluke koje su povredu učinile tako štetnom. Loše KDF postavke, izloženi metapodaci i skladištenje ključeva na strani servera su svi odigrali ulogu.
Regulatori sada pitaju: da li je sistem ograničio uticaj povrede? Zero-knowledge arhitektura na to jasno odgovara. To je best dokaz te namere.
Kada Zero-Knowledge arhitektura nije pravi izbor
Zero-knowledge šifrovanje ima kompromise. Ovo je bitno za neke slučajeve upotrebe:
Složenost oporavka: Ako korisnici izgube ključeve, njihovi fajlovi su zauvek izgubljeni. Nema zadnjih vrata. Visoka fluktuacija osoblja ili loše navike upravljanja ključevima čine ovo stvarnim rizikom.
Trenje pri saradnji: Šifrovani sadržaj može se deliti samo ako druga strana ima odgovarajuće alate za dešifrovanje. To je sporije od jednostavnog deljenja linka u standardnim aplikacijama za oblak.
Regulatorni rubni slučajevi: Neke regije zahtevaju pristup organa za sprovođenje zakona zapisima po sudskom nalogu. Zero-knowledge sistemi blokiraju ovo po dizajnu. To može uzrokovati pravne probleme u finansijskim uslugama ili telekomunikacijama, gde se primenjuju pravila o zakonitom presretanju.
Računarski overhead: Argon2id izvođenje ključa i AES-256-GCM šifrovanje oba dodaju kašnjenje. Ovo najviše utiče na obradu u realnom vremenu velikog obima.
Za timove koji obrađuju milione dokumenata dnevno, hibridni pristup može biti bolji. Šifrujte samo najosetljivija polja. Metapodatke ostavite otvorene. Pogledajte cenovne planove za volumne nivoe.
Zaključak
"Šifrujemo vaše fajlove" nije bezbednosno obećanje. To je marketinška fraza koja zahteva temeljnu proveru.
Prava pitanja su jednostavna. Ko čuva ključeve? Gde se šifrovanje odvija? Šta je izloženo ako su sistemi prodavca probijeni?
Za timove koji obrađuju osetljive zapise prema GDPR-u, HIPAA-i ili sličnim propisima, ove arhitekturne odluke oblikuju i vaš pravni rizik i stvarnu izloženost povredi.
LastPass je šifrovao sadržaj svojih korisnika. Zero-knowledge arhitektura bila bi učinila povredu iz 2022. beznačajnom. Ukrađenih $438 miliona od korisnika bila je cena arhitekturnog prečica.
anonym.legal koristi zero-knowledge arhitekturu za PII anonimizaciju. Argon2id izvođenje ključa pokreće se u vašem pregledaču ili desktop aplikaciji. AES-256-GCM šifrovanje odvija se pre nego što ikakav sadržaj napusti vaš uređaj. Serveri anonym.legal čuvaju samo šifrovani tekst koji ne mogu dešifrovati. Saznajte više na našoj stranici o osnivaču ili istražite token sistem.