"Zero-Knowledge" دعویہ معاملہ نہیں ہے
2024 میں, Gartner نے ایک تحقیق کی:
47% vendors جو اپنے آپ کو "zero-knowledge" کہتے تھے, وہ دراصل نہیں تھے۔
وہ encryption کرتے تھے۔
لیکن انہیں اپنے ڈیٹا کو decrypt کرنے کی صلاحیت تھی۔
یہ zero-knowledge نہیں۔
یہ vendor-mediated encryption ہے۔
Zero-Knowledge کی حقیقی تعریف
Zero-Knowledge encryption کا مطلب:
- User کے پاس کلیدیں ہیں (system میں, نہ vendor کے پاس)
- Vendor کو کلیدیں نہیں معلوم (یہاں تک کہ encryption کے دوران)
- Vendor decrypt نہیں کر سکتے (اگر چاہیں بھی)
- صرف user decrypt کر سکتا ہے (اپنی کلید سے)
5 سوالات: Genuine Zero-Knowledge Vendor کی شناخت
سوال 1: "کلیدیں کہاں رہتی ہیں؟"
غلط جواب:
- "ہمارے سرورز میں، encrypted" → Vendor-mediated
- "ہمارے secure vault میں" → Vendor control
- "ہمرہا، تم access دیتے ہو" → Still vendor trust model
صحیح جواب:
- "User کے device پر، منتقلی سے پہلے encrypted" → Zero-knowledge
- "User کے secure vault میں (offline)" → Zero-knowledge
- "کبھی بھی ہمارے سرورز پر نہیں" → Zero-knowledge
سوال 2: "کیا تم decrypt کر سکتے ہو؟"
غلط جواب:
- "ہاں, لیکن صرف admin dashboard میں" → شمولیت ہے
- "ہاں, لیکن صرف قانونی orders سے" → Vendor key access
- "ہاں, backup restoration کے لیے" → Key compromise
صحیح جواب:
- "نہیں, ہمارے پاس کلیدیں نہیں ہیں" → Zero-knowledge
- "ہمیں encrypted form میں ہے, decrypt نہیں کر سکتے" → Zero-knowledge
- "صرف user اپنی کلید سے decrypt کر سکتا ہے" → Zero-knowledge
سوال 3: "Government subpoena کے لیے کیا؟"
غلط جواب:
- "ہم legally comply کریں گے" → Keys hand over
- "ہمیں warrant requirements ہیں, پھر دیں گے" → Keys موجود ہیں
- "ہم data دیں گے (encrypted)" → ہاں, لیکن اگر keys ہیں تو?
صحیح جواب:
- "ہمیں keys نہیں ہیں دینے کے لیے" → True zero-knowledge
- "Encrypted data مل سکتا ہے, لیکن decrypt نہیں ہو سکتے" → Zero-knowledge
سوال 4: "Recovery scenarios میں؟"
اگر user اپنا password forget کرے؟
غلط جواب:
- "ہم reset کریں گے" → Vendor has key recovery
- "ہم backup سے restore کریں گے" → Keys accessible
صحیح جواب:
- "Data gone ہے, unrecoverable" → True zero-knowledge
- "User کو backup key دی ہو (offline)" → Zero-knowledge
- "User password reset, لیکن پرانا data ہے جاتا" → Zero-knowledge
سوال 5: "Audit/Certification؟"
شکایتی جواب:
- "ہم internal audit کریں" → Self-attestation
- "ہمیں ISO certification ہے" → General security, نہ zero-knowledge specific
قابل اعتماد جواب:
- "تیسری party نے zero-knowledge validate کیا" → Independent verification
- "ہمیں audit report ہے (Cure53, etc.)" → Third-party security
- "Open-source, code auditable ہے" → Transparency
True Zero-Knowledge Vendors (شاید)
بہت سے vendors دعویٰ کرتے ہیں, لیکن سچ میں:
ProtonMail, Tresorit, Sync.com — یہ اپنی کلیدوں کو encrypt کرتے ہیں اور users کو دیتے ہیں۔
لیکن دوسرے 47% ہمیشہ فرق کریں:
- "Encrypted" ≠ "Zero-knowledge"
- "Client-side encryption" ≠ "Zero-knowledge" (اگر vendor keys access کرے)
- "End-to-end" ≠ "Zero-knowledge" (ہتھیار سے vulnerable)
Enterprise Evaluation Checklist
جب کوئی zero-knowledge vendor evaluate کریں:
☐ Keys کہاں رہتی ہیں? (User device, not vendor) ☐ Vendor decrypt کر سکتے ہیں? (No) ☐ Third-party audit ہے? (Yes) ☐ Open-source ہے? (بہتر) ☐ Recovery/Backup strategy?(Offline only) ☐ Data ownership ہے? (Explicit, contractual)