anonym.legal
Povratak na blogGDPR i usklađenost

Нула-Знање vs Нула-Поверење Енкрипција

LastPass је енкрипто своје од користиника. Свакако $438M украдено. Научите разлику између нула-знања и нула-поверења архитектуре.

March 3, 20269 min čitanja
zero-knowledgeencryptionGDPRdata protectionSaaS securityLastPass

Два Начина Енкрипције У Облаку: Нула-Знање vs Нула-Поверење

Сценарио: LastPass Прекид 2023

LastPass је имао нула-знања архитектуру (навтуши)—главна парола энкриптовала свој vault.

Али криминалци су украли $438M у криптовалути управљачи од LastPass залити.

Питање: Ако је LastPass имао нула-знања, откуд криминалци знају шта украсти?

Одговор: LastPass је имао слабог нула-знања—криптовани коначен на њиховим серверима, и криминалци су цілати веб приложаја.

Шта је Нула-Знања (Zero-Knowledge)?

Дефиниција: Облачни сервер никад не вида ваше лозинке, криптографске кључеве, или дечифриране податке.

Како то ради:

  1. Вас куцаете парола: MyPassword123
  2. Браузер генерише EncryptionKey = SHA256(MyPassword123)
  3. Браузер енкриптовава ваше podatke: EncryptedVault = AES-256(Vault, EncryptionKey)
  4. Само EncryptedVault оди облаку
  5. Сервер никад вида MyPassword123 или EncryptionKey

Про: Чак и ако суди облачни сервер, криминалци видят EncryptedVault безсмисла.

Контра: Забораво парола = забораво сви подаци. Сервер не може вас помоћи jer нема ваше парола.

Шта је Нула-Поверење (Zero-Trust)?

Дефиниција: Облачни сервер может видеа лозинке, али верижи ни ком (ни вами, ни системи). Требате микро-аутентификацију за сваки захтев.

Како то ради:

  1. Вас логовате: username=john@example.com, password=MyPassword123
  2. Сервер верificuje лозинку, генерише JWT токен
  3. За сваки захтев, браузер мора вратити сертификат (hardware key, biometric, MFA код)
  4. Чак и са верном лозинком, налог није приступачан без други фактора

Про: Google, Microsoft, и Amazon користат нула-поверење. Веома безбедно.

Контра: Сложеније конфигурирање. Сервер могућ видети пассворде ако е поквирена.

Нула-Знање vs Нула-Поверење

ОсобинаНула-ЗнањеНула-Поверење
Сервер Вида Лозинке?НЕДА
Ако Сервер ХаквућеНема Утицаја (Подаци Енкриптовани)КРИЗНА (Криминалци видите парола)
Дефаултна ПаролаГУБИ ПРИСТУПМожет сервер вратити
КонфигурирањеЈедноставнаКомплекса (Hardware Keys)
УпотребаРизни ВИ АпликацијаПредузећа (Google Workspace, Okta)

LastPass Лекција: Неуспеала Нула-Знања

LastPass је имао:

  1. ✓ Енкриптовани vault
  2. ✓ SHA256 дериврана parola
  3. ✗ АЛИ... Главни "%user-id%" хранио криптографске кличес на серверу
  4. ✗ АЛИ... Веб пуб је имала XSS рањивост која дозволи криминалцама украсти обучена cookies и токена

Работда: Нула-знања архитектура је добра, али мора бити правилно имплементирана.

Povezani članci

GDPR i usklađenost

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR i usklađenost

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR i usklađenost

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Spremni da zaštitite svoje podatke?

Počnite sa anonimizacijom PII sa 285+ tipova entiteta na 48 jezika.

Započnite besplatnu probuPogledajte funkcije