Sıfır-Bilgi Mimarisi nedir?

Sıfır-bilgi sisteminde sunucu, yalnızca şifreli depolama alanı olarak işlev görür. İstemci tarafından zaten şifrelenmiş verileri alır ve istek üzerine geri döndürür; ancak bu verileri anlamlandırmak için gereken anahtarlara hiçbir zaman sahip olmaz. Bu durum, çoğu bulut hizmetinden farklıdır; bu hizmetlerde sağlayıcı şifreleme anahtarlarını elinde bulundurur ve teorik olarak kullanıcı verilerine — dürüst olmayan bir çalışan, hükümet talebi veya bir güvenlik ihlali yoluyla — erişebilir.

"Sıfır-bilgi" terimi bu bağlamda, kriptografideki sıfır-bilgi ispatlarından farklıdır; her ne kadar ikisi de kesinlikle gerekli olanın ötesinde hiçbir şeyi açıklamamak ilkesini paylaşsa da. Bir sıfır-bilgi hizmeti, verinin var olduğunu bilir ve son kullanma tarihi ya da görüntüleme limiti gibi erişim denetimlerini uygulayabilir; ancak verinin gerçekte ne içerdiğini belirleyemez.

Sıfır-bilgi mimarisi güven modelini köklü biçimde dönüştürür. Hizmet operatörünün verilerini korumasına ve dürüst davranmasına güvenmek yerine, yalnızca tarayıcında çalışan istemci tarafı koda güvenmek yeterli olur. Bu, tüm bir tehdit sınıfını ortadan kaldırdığı için önemli bir güvenlik iyileştirmesidir: sunucu gerçek anlamda depoladıklarını okuyamadığında sunucu tarafındaki ihlaller, iç tehditler ve zorla ifşa etmeler etkisiz hale gelir.

Vaulted Sıfır-Bilgi Mimarisi nasıl kullanır

Vaulted, sıfır-bilgi sistemi olarak sıfırdan inşa edilmiştir. Tüm şifreleme ve şifre çözme işlemleri, Web Crypto API kullanılarak tarayıcında gerçekleşir. Sunucu yalnızca şifreli metni, başlatma vektörünü ve görüntüleme sayısı ile son kullanma tarihi gibi meta verileri alır ve depolar. AES-256-GCM şifreleme anahtarı, RFC 3986 uyarınca tarayıcıların hiçbir zaman sunuculara göndermediği URL parçasına gömülüdür. Vaulted'ın sunucusu veya veritabanı tamamen ele geçirilse bile, bir saldırgan yalnızca şifreli bloblar elde eder ve bunları çözmenin hiçbir yolu yoktur.