Viele Anbieter versprechen die Sicherheit Ihrer Daten, aber nicht alle führen das Konzept von „Zero Knowledge“ (Null-Wissensprotokoll) unter den angebotenen Leistungen auf. Warum ist „Zero Knowledge“ so wichtig und wie wirkt es sich auf die Sicherheit Ihrer Daten aus?

Grundsätzlich wird das „Zero-Knowledge-Protokoll“, als die Fähigkeit einer Partei (Prover = Beweiser bzw. Daten-Administator) erklärt, der anderen Partei (Verifier = Daten-Eigentümer bzw. Endanwender) zu beweisen, dass der Prover ein bestimmtes Geheimnis besitzt, dieses Geheimnis aber nicht preisgegeben wird. Mit anderen Worten, der Verifier hat ausser der Tatsache, dass der Prover dieses Geheimnis wirklich besitzt, keine weiteren Kenntnisse.

Im speziellen Fall der Datenspeicherung können wir den Begriff "Zero Knowledge Storage" verwenden. Das bedeutet, dass nur der Endanwender Zugriff auf seine Daten hat, während die Speicherung und Übertragung der Daten verschlüsselt erfolgt. Und wenn die Speicherung nicht mit einem Zero-Knowledge-Ansatz erfolgt, besteht die Wahrscheinlichkeit, dass auch jemand anderes, als der definitive Daten-Eigentümer, auf die Daten zugreifen kann.

Schauen wir uns diesen Prozess am Beispiel unseres Passwortmanagers PassSecurium™ genauer an.

Die Daten jeder Instanz (bei Business-Editionen) oder jedes einzelnen Kontos werden mit dem von Ihnen bei der Registrierung gewählten Passwort verschlüsselt. Benutzer der Business-Version haben mit ihren individuellen Passwörtern nur Zugang auf den Teil der Datenbank, welcher die Instanzdatenbank entschlüsseln, auf den dieser Benutzer Zugriffsrechte hat.

Bei der erstmaligen Anmeldung am Konto wird der Benutzer neben dem Hauptpasswort aufgefordert, die mobile Anwendung mit einem zusätzlichen Sicherheitscode oder biometrisch, bzw. im Falle der Browserversion, mit einer Zwei-Faktor-Authentifizierung zu schützen.

Der Benutzer muss seinen (nur ihm bekannten) Sicherheitscode oder seine biometrischen Daten eingeben, damit die Anwendungsdatenbank entschlüsselt werden kann. Die Synchronisation der Anwendung via Cloud erfolgt verschlüsselt über HTTPS. Nach einer Zeitüberschreitung oder dem Verlassen der Anwendung wird die Datenbank verschlüsselt.

Nur Sie als Eigentümer der Daten kennen das Entschlüsselungspasswort. Obwohl es sich bei unseren Administratoren um integre und vertrauenswürdige Menschen handelt, haben auch diese keinen Zugriff auf Ihre Daten oder Ihr Kontopasswort. Ausserdem können Sie im Falle eines Lecks, infolge eines Hackerangriffs oder auf Anfrage einer Behörde, von uns als Anbieter aus dem Server nur verschlüsselte Daten erhalten, die mit dem heutigen Stand der Technik von Aussenstehenden nicht entschlüsselt werden können. Um dies zu gewährleisten, verwenden wir den „Goldstandard“ der Branche, nämlich „AES-256“.

Ausserdem können Sie in den Unternehmens- und Einzelversionen unseres Passwort-Managers den Zugriff von einzelnen Geräten oder für einzelne Benutzer sperren, um Datenverluste zu verhindern, die auf einen Geräteverlust oder einen möglichen unberechtigten Zugriff durch einen Eindringling zurückzuführen sind.

Wenn der Anbieter die Daten nach dem Nullwissen-Konzept speichert, kann es den Eindruck haben, dass solche Daten überall gespeichert werden können, wobei wir uns entschieden haben, beim Schutz der Daten unserer Kunden noch weiter zu gehen. Wir arbeiten ausschliesslich mit und in vertrauenswürdigen Schweizer  Rechenzentren (ggfls. auch mit Deutschen auf Anfrage) und wir bieten zusätzlich einen VPN-Zugang für die Unternehmensinstanzen unseres PassSecurium ™ Passwort-Managers.

Allerdings hat die Zero-Knowledge-Speicherung auch einige Nachteile.

Die Verschlüsselung kann die Anwendung verlangsamen, aber das passiert nur bei der Übertragung von grossen Datenmengen. Für einen Passwort-Manager ist die Latenz, d.h. die Verzögerung aufgrund der Verschlüsselung, für den Benutzer fast nicht bemerkbar.

Generell zu beachten ist, dass der Verlust des persönlichen Kontopassworts bei Diensten mit dem Zero-Knowledge-Ansatz den Verlust der Daten bedeutet. Für diese katastrophale Situation müssen die Anbieter für eine sichere alternative Wiederherstellungsmöglichkeit sorgen (z.B. eine auf Papier gedruckte Passphrase, die an einem sicheren Ort aufzubewahren ist).

In der Corporate-Version von PassSecurium™ kann ein Administrator den Zugang eines Benutzers, der sein Kontopasswort verloren hat, wiederherstellen, indem er ein neues erstellt.

Die Zero-Knowledge-Architektur überträgt den Benutzern eine grosse Verantwortung für ihre eigenen Daten, bietet aber den höchstmöglichen Datenschutz. Bei der Verwendung von Anwendungen, die nach diesem Prinzip entwickelt wurden, müssen Sie sich keine Sorgen um die Sicherheit von Schlüsseln, Dateien und anderen sensiblen Informationen machen, die in dieser Anwendung gespeichert sind, da all dies in verschlüsselter Form gespeichert und übertragen wird und nur Sie den Entschlüsselungs-Code besitzen.

Mit PassSecurium ™ können Sie Firmen- und persönliche Passwörter unter volle und ultra-sichere Kontrolle bringen!

Beim Schreiben des Artikels wurden die folgenden zusätzlichen Quellen verwendet:
https://en.wikipedia.org/wiki/Zero-knowledge_password_proof
https://www.cloudwards.net/what-exactly-is-zero-knowledge-in-the-cloud-and-how-does-it-work/
https://medium.com/@vixentael/zero-knowledge-architectures-for-mobile-applications-b00a231fda75
https://tresorit.com/blog/zero-knowledge-encryption/