Đánh giá Các yêu cầu Nhà cung cấp Zero-Knowledge...

Đánh giá Các yêu cầu Nhà cung cấp Zero-Knowledge: Cách Kiểm tra Những yêu cầu Quyền riêng tư của Họ

Các nhà cung cấp Zero-Knowledge tuyên bố bảo mật tuyệt đối: "End-to-End Encrypted", "Zero Knowledge", "Chúng tôi không bao giờ có thể xem dữ liệu của bạn." Nhưng đánh giá những yêu cầu này đòi hỏi kiến thức chuyên sâu về mã hóa và bảo mật.

Vấn đề Lựa chọn Nhà cung cấp

Các tổ chức cần dữ liệu được mã hóa toàn bộ phải đánh giá:

1. Các yêu cầu được quảng cáo so với thực tế: "Zero-knowledge" là một thuật ngữ chính xác về mặt mã hóa, nhưng nó được sử dụng không chính xác. Một số nhà cung cấp gọi là "zero-knowledge" nhưng vẫn có thể truy cập khóa của bạn.

2. Kiến thức chuyên sâu cần thiết: Đánh giá một yêu cầu zero-knowledge yêu cầu hiểu biết về:

   • Làm thế nào khóa được tạo ra
   • Ở đâu khóa được lưu trữ
   • Làm thế nào dữ liệu được mã hóa
   • Ai có quyền truy cập khóa giải mã

Danh sách Kiểm tra Đánh giá Zero-Knowledge

Khóa mã hóa

Câu hỏi: "Ở đâu khóa được tạo ra?"

• Nếu nhà cung cấp tạo ra khóa → không phải zero-knowledge
• Nếu khóa được tạo trên thiết bị của bạn → zero-knowledge tiềm năng

Câu hỏi: "Ai có thể truy cập khóa giải mã?"

• Nếu nhà cung cấp có khóa → không phải zero-knowledge
• Nếu chỉ có bạn có khóa → zero-knowledge thực sự

Quản lý Khóa

Câu hỏi: "Nhà cung cấp có thể thực hiện lại khóa của tôi không?"

• Nếu có → không phải zero-knowledge
• Nếu không → zero-knowledge

Câu hỏi: "Nếu tôi mất khóa của mình, nhà cung cấp có thể giúp tôi không?"

• Nếu có → nhà cung cấp có thể truy cập khóa hoặc dữ liệu
• Nếu không → zero-knowledge thực sự, mất khóa = mất dữ liệu

Xác thực Mã hóa

Câu hỏi: "Bạn sử dụng những thuật toán mã hóa nào?"

• AES-256 → tiêu chuẩn công nghiệp
• RSA 2048+ → tiêu chuẩn công nghiệp
• Tùy chỉnh hoặc độc quyền → nguy hiểm

Câu hỏi: "Bạn đã thực hiện kiểm tra bảo mật độc lập nào?"

• Kiểm tra chứng thực → cực kỳ tích cực
• Không có → đừng tin bất cứ yêu cầu gì mà không có bằng chứng

Quyền Riêng tư Dữ liệu

Câu hỏi: "Bạn thu thập dữ liệu hành vi nào từ tôi?"

• Nhật ký truy cập
• Dữ liệu IP
• Thời gian sử dụng
• Bất cứ cái gì khác → đó là quyền riêng tư bổ sung, không phải dữ liệu chính

Câu hỏi: "Bạn bán dữ liệu cho bên thứ ba không?"

• Có → không phải zero-knowledge đối với quyền riêng tư
• Không → tích cực

Ví dụ Thực tế: Đánh giá Các yêu cầu

Nhà cung cấp A: "Zero-Knowledge End-to-End Encrypted"

• Khóa được tạo ra trên máy chủ của nhà cung cấp ✗
• Nhà cung cấp có bản sao khóa ✗
• Nhà cung cấp có thể giúp nếu bạn mất khóa ✗
• Kết luận: Không phải zero-knowledge. Là mã hóa từ phía máy khách.

Nhà cung cấp B: "End-to-End Encrypted"

• Khóa được tạo trên thiết bị của bạn ✓
• Chỉ bạn có khóa ✓
• Nếu bạn mất khóa, dữ liệu bị mất ✓
• Kiểm tra bảo mật độc lập ✓
• Kết luận: Zero-knowledge thực sự

Nhân vật Cảnh báo

• "Zero-knowledge" nhưng nhà cung cấp tạo khóa → đã được báo cáo
• "Không có người dùng nào có thể truy cập dữ liệu của bạn" nhưng nhà cung cấp có thể khôi phục → không chính xác
• "Chứng chỉ ISO" không phải xác thực mã hóa
• "Được mã hóa" mà không có zero-knowledge → vẫn có rủi ro

Tài liệu Tham khảo

• Zero Knowledge Proof - NIST
• Khuyến nghị Mã hóa AES - NIST
• Đánh giá Zero-Knowledge Tool - Electronic Frontier Foundation