Ova dva sigurnosna koncepta mogu zvučati slično, ali su potpuno različita.
Iako su koncepti nultog povjerenja i nultog znanja ključne komponente današnjih trendova kibernetičke sigurnosti, oni nisu isti.
Zvuče donekle slično i dijele svrhu, ali nulto znanje ide korak dalje od nultog povjerenja u stvaranju sigurnosnog sustava koji se može suprotstaviti kibernetičkim prijetnjama koje se stalno razvijaju.
Zapravo, dokaz nultog znanja može se koristiti za pretvaranje ideja sigurnosnog modela nultog povjerenja u stvarnost. Međutim, prije nego što nastavimo, razjasnimo što su ova dva pojma.
Što je nulto povjerenje?
Ukratko, središnja ideja iza koncepta nultog povjerenja je "ne vjeruj nikome, provjeri sve". Dakle, u okviru nultog povjerenja, nema povjerenja između mreže i njezinih korisnika, mreže i njezinih hardverskih i softverskih komponenti ili između organizacije i njezinih korisnika.
Uz pretpostavku da je svatko i sve prijetnja dok se ne dokaže suprotno, sigurnost bez povjerenja uvijek traži neku vrstu provjere autentičnosti prije dopuštanja pristupa aplikacijama i podacima iza njih. Svi korisnici unutar okvira nultog povjerenja moraju biti autentificirani, autorizirani i prvo proći procjenu sigurnosnog stanja.
Također, nulto povjerenje omogućuje IT administratorima da osiguraju potpunu vidljivost svih korisnika, uređaja i sustava. Ovo ne samo da osigurava usklađenost s propisima, već također pomaže u izbjegavanju kibernetičkih napada uzrokovanih ugroženim korisničkim vjerodajnicama i ublažava povrede podataka. Dakle, ima ih više od nekoliko razlozi za usvajanje modela sigurnosti bez povjerenja.
Što je nulto znanje?
Koncept nultog znanja pokušava otkriti kako netko može dokazati da ima nešto povjerljivo, kao što je osjetljiva informacija, a da ništa od toga ne otkrije. U kontekstu enkripcija bez znanja, sigurnost bez znanja osigurava da su korisnički podaci šifrirani prije nego što korisnik komunicira s pružateljem usluge. Također, podaci se mogu dešifrirati s jedinstvenim ključem, koji je nepoznat davatelju - samo korisnik ima taj ključ.
Dakle, s enkripcijom bez znanja nitko osim korisnika ne može pristupiti svojim podacima u nekriptiranom obliku. U idealnom slučaju, nitko osim korisnika ne bi trebao moći pristupiti podacima u šifriranom obliku, ali zemlje unutar Savezi Five Eyes, Nine Eyes i 14 Eyes rekao bi drugačije.
U kibernetičkoj sigurnosti, nulto znanje može se promatrati kao komponenta modela nultog povjerenja jer omogućuje radnje poput provjere autentičnosti treba izvršiti bez otkrivanja osjetljivih informacija o korisnika.
Nulto povjerenje vs. Zero-Knowledge: Sličnosti i razlike
Ako je krilatica koncepta nultog povjerenja "ne vjeruj nikome", onda je slogan nultog znanja "ne znamo ništa". Iako ova dva koncepta imaju zajedničku svrhu – to jest jačanje sigurnosti podataka i kibernetičke sigurnosti u cjelini – ne funkcioniraju na isti način.
U kibernetičkoj sigurnosti, nulto znanje može se promatrati kao komponenta modela nultog povjerenja jer omogućuje radnje poput provjere autentičnosti treba izvršiti bez otkrivanja osjetljivih informacija o korisnika.
Model nultog znanja može se koristiti za zaštitu privatnosti podataka budući da pružatelj usluge ima "nula znanja" o tome. U većini slučajeva ti se podaci sastoje od lozinki, vjerodajnica za prijavu i drugih osjetljivih podataka. Mnoge vrste dvofaktorske autentifikacije (2FA) i višefaktorske autentifikacije (MFA) koriste nulto znanje model, što znači da se od vas neće tražiti da dijelite tajne ili dajete bilo kakve osjetljive informacije kako biste potvrdili svoje identitet.
I 2FA i MFA kritične su komponente okvira nultog povjerenja, koji je dodatno podržan enkripcijom i odvajanjem podataka. Davatelj usluge koji koristi sigurnosne okvire bez znanja i bez povjerenja može biti siguran da će njegovi sustavi zaštićeni su od unutarnjih i vanjskih prijetnji te da nikakvi osjetljivi podaci neće biti ugroženi u slučaju podataka kršenje.
Nulto povjerenje vs. Nula znanja: Što je važnije za kibernetičku sigurnost?
Nema razloga zašto bi stručnjaci za kibernetičku sigurnost morali birati između sigurnosnih koncepata nultog povjerenja i nultog znanja. Nakon što smo otkrili kako ovo dvoje funkcionira u kibernetičkoj sigurnosti, možemo vidjeti nulto znanje kao kritičnu komponentu sigurnosnog modela nultog povjerenja.
Također bismo trebali napomenuti da iako se implementacija koncepta nultog povjerenja može činiti jednostavnom u teoriji, lakše je reći nego učiniti kada je u pitanju praksa.
