anonym.legal

By · Last updated 2026-03-03

Bumalik sa BlogGDPR & Pagsunod

Zero-Knowledge kumpara sa Zero-Trust na Encryption

Nag-encrypt din ang LastPass ng datos ng kanilang mga gumagamit — at ninakaw pa rin ang $438M. Narito ang pagkakaiba sa pagitan ng server-side na encryption at tunay na zero-knowledge.

March 3, 20269 min basahin
zero-knowledgeencryptionGDPRdata protectionSaaS securityLastPass

Ang Ilusyon ng Encryption

Na-update para sa 2026

Noong Disyembre 2022, nagsabi ang LastPass sa mga gumagamit tungkol sa isang paglabag. Kalmado ang kanilang mensahe: ang mga password ay "naka-encrypt." Ang nilalaman ng vault ay "naprotektahan."

Sa 2025, mahigit $438 milyon ang nanakaw mula sa mga gumagamit ng LastPass. Ang pagnanakaw ay nagmula mismo sa kanilang "secure" na mga vault.

Paano? Hawak ng LastPass ang mga susi.

Kailangang malaman ito ng iyong koponan sa seguridad bago pumili ng isang cloud tool. Naaangkop ito sa anumang tool na humahawak ng mga sensitibong file — kabilang ang mga platform ng PII anonymization.

Server-Side kumpara sa Zero-Knowledge na Encryption

Sinasabi ng karamihan sa mga cloud tool na "ini-encrypt nila ang iyong mga file." Ngunit gumagamit sila ng server-side encryption (SSE). Narito ang ibig sabihin nito:

KatangianServer-Side EncryptionZero-Knowledge Architecture
Kung saan nagaganap ang encryptionSa server ng vendorSa iyong device (browser/desktop)
Sino ang humahawak ng mga susiAng vendorIkaw lamang
Maaaring basahin ng vendor ang iyong nilalamanOoHindi
Ang paglabag sa server ay naglalantad ng mga fileOoHindi (ciphertext lamang)
Maaaring pilitin ang vendor na ibahagi ang nilalamanOoHindi (wala silang hawak)
Access ng law enforcementSa pamamagitan ng vendorHindi posible nang walang iyong susi

Hawak ng LastPass ang mga susi. Iyon ang nakamamatay na depekto. Nakapasok ang mga umaatake at nakuha ang parehong ciphertext at ang mga tool upang ma-crack ito. Gumamit sila ng mga social trick, brute-force ng mahinang password, at lumang metadata ng account.

Bakit Mahalaga Ito para sa GDPR Artikulo 25

Malinaw ang GDPR Artikulo 25 (Privacy by Design). Kailangang gumamit ang mga controller ng "naaangkop na teknikal at organisasyonal na mga hakbain." Dapat itong itayo mula sa simula.

Idinagdag ng European Data Protection Board (EDPB) na kasama dito ang cryptographic data minimisation. Ang sistema mismo ay dapat harangan ang access sa mga rekord. Ang mga kontrol sa access lamang ay hindi sapat.

Ang isang vendor na humahawak ng iyong mga susi ay hindi matutugunan ang Artikulo 25 sa mahigpit na anyo nito. Narito kung bakit:

  1. Ang isang paglabag sa kanilang sistema ay maaaring maglantad ng iyong mga rekord.
  2. Ang isang subpoena sa vendor ay maaaring magsumite ng iyong nilalaman.
  3. Ang isang masamang empleyado ay maaaring makita ang iyong mga file.
  4. Ang isang supply chain attack ay maaaring maglantad ng lahat.

Naglabas ng gabay ang German Federal Commissioner for Data Protection (BfDI) tungkol dito. Gayundin ang Austrian Datenschutzbehorde. Sinabi ng pareho na ang zero-knowledge ay ang pinakamahusay na teknikal na pagpipilian para sa mataas na panganib na pagproseso.

Ang Katotohanan ng Paglabag sa SaaS

Natuklasan ng ulat ng AppOmni / Cloud Security Alliance 2024 ang 300% na pagtaas sa mga paglabag sa SaaS mula 2022 hanggang 2024. Ang mga pangunahing katotohanan:

  • Oras hanggang sa paglabag: 9 minuto (noon ay sinusukat sa mga oras)
  • Papel ng third party sa mga paglabag: doble bawat taon (Verizon DBIR 2025)
  • Paglabag sa Conduent: 25.9 milyong rekord ang nakalantad (mga Social Security number, mga file sa kalusugan)
  • Paglabag sa vendor ng NHS: 9 milyong pasyente ang nakalantad

Ang mga salita ng patakaran ay hindi na sapat. Ang malakas na arkitektura ang pinakamababang pamantayan. Naaangkop ito sa lahat ng mataas na panganib na pagproseso.

Kung Paano Mukhang ang Tunay na Zero-Knowledge na Arkitektura

Ang isang tunay na zero-knowledge na sistema ay may mga malinaw na katangiang ito:

1. Pagbuo ng susi sa gilid ng kliyente Nagmumula ang iyong susi mula sa iyong password. Isang memory-hard na KDF (Argon2id, bcrypt, o scrypt) ang tumatakbo sa iyong device. Hindi kailanman inilalagay ng susi ang device na iyon.

2. Encryption sa gilid ng kliyente Ang iyong nilalaman ay naka-encrypt bago ito umalis sa iyong browser o app. Ang server ay nakakakuha lamang ng ciphertext. Nang walang susi, ang ciphertext na iyon ay walang silbi.

3. Walang imbakan ng susi sa server Ang vendor ay walang mga susi, walang mga piraso ng susi, at walang mga backup ng susi. Ginagamit mo ang iyong sariling recovery phrase upang mabawi ang access.

4. Cryptographic na pagbeberipika Ang sistema ay dapat na maayos na dokumentado. Dapat itong bukas sa audit. Ang mga malabong claim ng "end-to-end encryption" nang walang teknikal na detalye ay isang pulang bandila.

Paano Isinasagawa ng anonym.legal ang Zero-Knowledge

Ang zero-knowledge login ng anonym.legal ay gumagamit ng:

  • Argon2id key derivation: 64MB na memorya, 3 iteration — ang pagpipilian ng OWASP para sa mga high-security na app
  • AES-256-GCM encryption: Tumatakbo nang buo sa iyong browser o desktop app bago maipadala ang anumang nilalaman
  • 24-word na BIP39 recovery phrase: Ang tanging paraan upang mabawi ang access — hindi iniimbak ng anonym.legal
  • Zero server-side na access sa susi: Ang mga server ng anonym.legal ay nakakakuha lamang ng AES-256-GCM ciphertext na hindi nila mai-decrypt

Ang isang buong paglabag sa server ng anonym.legal ay magbibigay lamang ng mga naka-encrypt na blob. Nang walang susi ng bawat gumagamit — na nasa kanilang device lamang — ang mga blob na ito ay walang silbi.

Tingnan ang aming pangkalahatang-ideya ng seguridad at pagsunod at dokumentasyon ng pagsunod para sa buong mga detalye.

Ang Checklist sa Pagsusuri ng Vendor

Kapag pumili ka ng isang cloud tool para sa mga sensitibong rekord, itanong ang mga tanong na ito:

Mga tanong sa arkitektura:

  • Saan nagaganap ang encryption — sa iyong device o sa server ng vendor?
  • Sino ang lumilikha ng mga susi?
  • Saan iniimbak ang mga susi?
  • Maaari bang magsumite ang vendor ng mga plain-text na kopya ng iyong nilalaman kung served ng subpoena?
  • Ano ang mangyayari sa iyong mga file kung ang vendor ay mabibili?

Mga tanong sa katatagan ng paglabag:

  • Kung ang sistema ng vendor ay ganap na lumabag, aling mga rekord ang nakalantad?
  • Kung ang isang empleyado ng vendor ay naging masama, anong nilalaman ang maaari nilang makita?
  • Kung ang isang supply chain attack ay tumama sa vendor, ano ang nakalantad?

Mga tanong sa regulasyon:

  • Maaari bang magpakita ang vendor ng dokumentasyon para sa GDPR Artikulo 25?
  • Nagsuri ba ang isang panlabas na auditor sa sistema?
  • May ISO 27001 o SOC 2 cert ba na sumasaklaw sa encryption?

Anumang vendor na hindi masasagot ang "wala — ang nilalaman ay naka-encrypt bago umalis sa iyong device" sa mga tanong sa paglabag ay gumagamit ng server-side encryption. Tingnan ang aming FAQ at glossary para sa higit pang mga termino.

Ang Kaso ng Paggamit: German Health Insurer Due Diligence

Isang compliance officer sa isang malaking German health insurer (Krankenkasse) ang nangangailangan ng isang cloud anonymization tool. Ang gawain: ang magproseso ng mga log ng reklamo ng policyholder. Ang DPO ay may apat na kinakailangan:

  • Hindi maaaring ma-access ng vendor ang mga rekord ng policyholder
  • Walang pagproseso sa labas ng Germany
  • Nakadokumentong mga teknikal na hakbain ng GDPR Artikulo 32
  • Pinaaliit ang panganib ng paglabag na maaaring iulat sa DPA

Nabigo ang isang malaking US anonymization SaaS sa unang aytem. Maaaring i-reset ng kanilang support team ang mga vault ng gumagamit — patunay ng server-side na access sa susi. Isang pangalawang tool ang nagpanatili ng naprosesong teksto sa loob ng 30 araw para sa paggamit ng "audit trail" — muli, server-side na access.

Natugunan ng anonym.legal ang lahat ng apat na pamantayan. Ang DPO ay maaaring magsulat: "Kahit ang isang buong paglabag sa vendor ay walang nagagamit na mga rekord ng policyholder — ang mga susi ay nasa aming mga workstation lamang." Ang dokumentasyon ng GDPR Artikulo 32 ay nagawa sa loob ng apat na oras.

Tingnan ang aming mga pag-aaral ng kaso para sa higit pang mga totoong halimbawa.

Ang Precedent sa Pagpapatupad ng ICO

Noong Disyembre 2025, pinarusahan ng UK Information Commissioner's Office ang entity ng LastPass UK ng £1.2 milyon. Ang dahilan: "kabiguan na ipatupad ang naaangkop na teknikal at organisasyonal na mga hakbain sa seguridad."

Ang multa ay hindi para sa paglabag mismo. Para ito sa mga pagpipilian sa arkitektura na naging mapanganib ang paglabag. Ang masamang mga setting ng KDF, nakalantad na metadata, at server-side na imbakan ng susi ay lahat ay may papel.

Ngayon ay nagtatanong ang mga regulator: nilimitahan ba ng sistema ang epekto ng paglabag? Ang zero-knowledge na arkitektura ay sumasagot nito nang malinaw. Ito ang pinakamahusay na katibayan ng layuning iyon.

Kapag Ang Zero-Knowledge na Arkitektura ay Hindi Angkop

May mga trade-off ang zero-knowledge na encryption. Mahalaga ang mga ito para sa ilang kaso ng paggamit:

Kumplikasyon sa pagbawi: Kung nawalan ng kanilang mga susi ang mga gumagamit, ang kanilang mga file ay wala na magpakailanman. Walang back door. Ang mataas na paglilipat ng mga kawani o mahinang mga gawi sa pamamahala ng susi ay nagpapaging tunay na panganib nito.

Alitan sa pakikipagtulungan: Ang naka-encrypt na nilalaman ay maaaring ibahagi lamang kung ang kabilang partido ay may tamang mga tool sa pag-decrypt. Ito ay mas mabagal kaysa sa isang simpleng pagbabahagi ng link sa mga karaniwang cloud app.

Mga edge case sa regulasyon: Ang ilang rehiyon ay nangangailangan ng access ng law enforcement sa mga rekord sa pamamagitan ng utos ng hukuman. Hinaharangan ng mga zero-knowledge na sistema ang ito sa disenyo. Maaaring magdulot ito ng mga legal na isyu sa mga serbisyong pinansyal o telekomunikasyon, kung saan naaangkop ang mga panuntunan ng lawful intercept.

Overhead ng kompyutasyon: Parehong nagdaragdag ng pagkaantala ang Argon2id key derivation at AES-256-GCM encryption. Ito ay pinaka-mahalaga para sa real-time, high-volume na pagproseso.

Para sa mga koponan na nagpoproseso ng milyun-milyong dokumento bawat araw, ang isang hybrid na diskarte ay maaaring mas gumana. I-encrypt lamang ang pinaka-sensitibong mga field. Panatilihing bukas ang metadata. Tingnan ang mga plano sa pagpepresyo para sa mga antas ng dami.

Konklusyon

Ang "Ini-encrypt namin ang iyong mga file" ay hindi isang pangako sa seguridad. Ito ay isang parirala sa marketing na nangangailangan ng pagsusuri.

Simple ang mga tunay na tanong. Sino ang humahawak ng mga susi? Saan nagaganap ang encryption? Ano ang nakalantad kung ang mga sistema ng vendor ay lumabag?

Para sa mga koponan na nagpoproseso ng mga sensitibong rekord sa ilalim ng GDPR, HIPAA, o mga katulad na panuntunan, ang mga pagpipiliang ito sa arkitektura ay humuhubog sa parehong iyong legal na panganib at ang iyong tunay na exposure sa paglabag.

Ni-encrypt ng LastPass ang nilalaman ng kanilang mga gumagamit. Ang zero-knowledge na arkitektura ay magsanggalang sana ng paglabag ng 2022 bilang isang non-event. Ang $438 milyong ninakaw mula sa mga gumagamit ang gastos ng isang arkitekturang shortcut.

Gumagamit ang anonym.legal ng zero-knowledge na arkitektura para sa PII anonymization. Ang Argon2id key derivation ay tumatakbo sa iyong browser o desktop app. Ang AES-256-GCM encryption ay nagaganap bago umalis ang anumang nilalaman sa iyong device. Ang mga server ng anonym.legal ay nag-iimbak lamang ng ciphertext na hindi nila mai-decrypt. Matuto nang higit pa sa aming pahina ng tungkol o tuklasin ang sistema ng token.

Mga Pinagmulan

Mga Kaugnay na Artikulo

GDPR & Pagsunod

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Pagsunod

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Pagsunod

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Handa nang protektahan ang iyong data?

Simulan ang anonymization ng PII gamit ang 285+ uri ng entidad sa 48 wika.

Simulan ang Libreng PagsubokTingnan ang Mga Tampok

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.