İddia ile Mimari Arasındaki Fark
Hassas verileri işleyen her bulut satıcısı aynı iddiayı yapar: "Verilerinizi şifreliyoruz." Bu iddia neredeyse her zaman doğrudur — ve neredeyse her zaman yetersizdir.
2022'deki LastPass ihlali kesin bir vaka çalışmasıdır. LastPass, kullanıcılarının şifre kasalarını şifrelemiştir. Şifreleme kullanmışlardır. İddia doğrudur. Ancak 25 milyon kullanıcı'nın şifreli kasaları dışarıya sızdırılmıştır ve $438 milyon daha sonra LastPass kullanıcılarından 2025'e kadar kripto para soygunlarıyla çalınmıştır, Coinbase Institutional araştırmasına göre.
Birleşik Krallık Bilgi Komiseri Ofisi, LastPass'ın Birleşik Krallık kuruluşuna Aralık 2025'te "uygun teknik ve organizasyonel güvenlik önlemlerini uygulamama" nedeniyle £1.2 milyon ceza vermiştir. Şifreleme mevcuttu. Güvenlik önlemleri gerekli standartları karşılamıyordu.
Kuruluşlar, bulut gizlilik araçlarını değerlendirirken — PII anonimleştirme platformları da dahil — LastPass emsal durumu, tedarik sorusunu değiştirir. Soru artık "verilerimizi şifreliyorlar mı?" değil, "verilerimizi deşifre edebilirler mi?" olmuştur.
Gerçekten Önemli Olan Dört Sıfır Bilgi Sorusu
Bir satıcının sıfır bilgi iddiasını değerlendirirken, mimarinin gerçek olup olmadığını belirleyen dört soru vardır:
1. Anahtar türetimi nerede gerçekleşiyor?
Gerçek sıfır bilgi mimarisinde, şifreleme anahtarının türetilmesi istemci tarafında — tarayıcıda veya masaüstü uygulamasında — herhangi bir veri iletilmeden önce gerçekleşir. Türetilen anahtar, verileri yerel olarak şifrelemek için kullanılır. Sadece şifreli metin, satıcının sunucularına gider.
Eğer satıcı şifreleme anahtarlarını kendi sunucularında türetiyorsa, anahtarları ellerindedir. Eğer anahtarları varsa, deşifre edebilirler. İddia teknik olarak doğrudur ("şifreliyoruz") ancak anlamı yanıltıcıdır.
2. Satıcı hiçbir zaman düz metne erişim sağlıyor mu?
Bazı araçlar, verileri dinlenme halinde şifreler ancak işleme için deşifre eder — AI modelleri çalıştırma, analiz, arama dizinleme veya denetim kaydı oluşturma gibi. İşleme penceresi boyunca, düz metin satıcının altyapısında erişilebilir durumdadır. O pencere içinde bir ihlal, verileri şifrelenmemiş biçimde açığa çıkarır.
3. Yasal süreçte ne olur?
Bir devlet kurumu satıcıya bir mahkeme celbi gönderirse, hangi verileri üretebilirler? Sunucu tarafında anahtarlara sahip bir satıcı, deşifre edilmiş içeriği üretmeye zorlanabilir. Sıfır bilgi mimarisine sahip bir satıcı yalnızca şifreli metin üretebilir — yasal zorlamaya rağmen, teslim edebilecekleri faydalı bir şeyleri yoktur.
4. Tam bir sunucu ihlali neyi açığa çıkarır?
Gerçek bir sıfır bilgi uygulamasında, satıcının altyapısının tam bir ihlali yalnızca şifreli veriler ortaya çıkarır. Saldırgan, deşifre etmek için anahtarlara sahip olmadan şifreli metin alır. Satıcı kontrolündeki anahtar uygulamasında, bir sunucu ihlali anahtarları ve verileri açığa çıkarır.
LastPass Uygulama Başarısızlığı
LastPass ihlali, belirli bir uygulama açığını ortaya çıkardı: eski hesaplar, anahtar türetimi için önerilen 600,000 yineleme yerine sadece 1 yineleme ile PBKDF2 kullanıyordu. Daha zayıf anahtar türetimi, dışarıya sızdırılan kasalar üzerinde kaba kuvvet saldırılarını hesaplama açısından mümkün hale getirdi.
Bu, sıfır bilgi iddialarını değerlendirmenin neden uygulama detaylarını incelemeyi gerektirdiğini gösterir, sadece mimari tanımları değil. Bir satıcı, zayıf bir şekilde uygulama yaparken sıfır bilgi tasarımını kullanabilir. Sorulması gereken doğru sorular hem mimariyi (anahtar türetim yeri) hem de uygulama gücünü (algoritma ve yineleme sayısı) kapsar.
Okta İhlali: Farklı Bir Başarısızlık Modu
Ekim 2023'te, Okta 600,000'den fazla müşteri destek kaydının bir ihlalde sızdırıldığını açıkladı. Okta, birçok işletmenin diğer bulut araçlarına erişimi güvence altına almak için kullandığı bir kimlik platformudur. Okta ihlali, LastPass'tan farklı bir başarısızlık moduydu: sıfır bilgi uygulamasındaki bir zayıflık değil, müşteri verilerini içeren destek altyapısının bir ihlaliydi.
2024'teki SaaS ihlali artışı %300 (AppOmni/CSA), hem LastPass gibi mimari zayıflıkları hem de Okta gibi altyapı ihlallerini yansıtır. Sıfır bilgi mimarisi, mimari başarısızlık modunu ele alır. Tüm ihlal riskini ortadan kaldırmaz, ancak tam bir altyapı ihlali durumunda bile deşifre edilebilir müşteri verilerini açığa çıkarmaz.
Gerçek Bir Değerlendirme Nasıl Görünür
Sıfır bilgi iddialarını değerlendiren tedarik ekipleri için değerlendirme kontrol listesi:
Mimari inceleme:
- Anahtar türetiminin nerede gerçekleştiğini gösteren belgeleri talep edin (istemci tarafında mı yoksa sunucu tarafında mı)
- Şifreleme algoritmasını, anahtar uzunluğunu ve yineleme sayısını isteyin
- Düz metnin asla satıcı sunucularına iletilmediğini onaylatın
İhlal senaryosu testi:
- Satıcıdan tam bir sunucu ihlalinin neyi açığa çıkaracağını tanımlamasını isteyin
- Cevap "deşifre edemediğimiz şifreli metin" dışında bir şey içeriyorsa, iddia gerçek sıfır bilgi değildir
Yasal süreç incelemesi:
- Satıcının müşteri düz metninin üretilmesini gerektiren bir mahkeme celbine uyup uymayacağını sorun
- Gerçek sıfır bilgi satıcıları, sahip olmadıkları şeyi üretemezler
Uyum belgeleri:
- Satıcının GDPR Madde 32 uyum belgelerini talep edin
- ISO 27001 sertifikası (özellikle Ek A şifreleme kontrolleri), anahtar yönetim uygulamalarının dış doğrulamasını sağlar
£1.2 milyon LastPass ICO cezası, şifreleme iddialarında bulunan satıcıların bu iddiaların gerekli standartları karşılayıp karşılamadığına dair düzenleyici değerlendirmelere tabi olduğunu ortaya koymaktadır. Düzenleyicilerin uyguladığı aynı değerlendirme çerçevesi, bir ihlal gerçekleşmeden önce tedarik ekiplerine de açıktır.
Kaynaklar: