¿Qué es el conocimiento cero para aplicaciones móviles?

En otras palabras, todo lo que hace en un sistema Zero Knowledge se cifra antes de enviarlo al servidor y la clave de cifrado nunca se revela al proveedor.

Con el aumento de las amenazas móviles, la importancia de las arquitecturas de aplicaciones de conocimiento cero de extremo a extremo es cada vez más evidente para los desarrolladores de aplicaciones. En nuestro mundo cada vez más digital, los datos personales del consumidor medio son almacenados y procesados ​​por una vertiginosa variedad de organizaciones, muchas de las cuales utilizan estos datos con fines publicitarios y de marketing.

Gran parte de estos datos consisten en información de identificación personal (PII) altamente confidencial que, si se viola, expone a los consumidores al robo de identidad. Sin embargo, la mayoría de estos usuarios finales no saben cómo se almacenan sus datos o si su información digital está segura. Además de ser malas noticias para los clientes, las violaciones de datos organizacionales también tienen efectos negativos, a veces catastróficos, en la organización violada, así como en sus empleados y socios. Las violaciones de datos destruyen la confianza, degradan la imagen de marca de una empresa y exponen a la organización a costos de mitigación costosos, multas elevadas por violar el RGPD y otras normas de privacidad de datos, así como acciones legales de los afectados.

No podemos confiar en los proveedores de datos predeterminados y no queremos pensar en la seguridad de los datos todo el tiempo. Nos enfrentamos a un robo de datos cada vez mayor. Más recientemente, a principios de enero, un pirata informático explotó una interfaz de programación de aplicaciones (API) para robar la información personal de 37 millones de clientes durante dos meses, sin ser detectado, del operador móvil estadounidense T-Mobile. .

Es por eso que nos hacen optar por mantener el control sobre los datos confidenciales mientras los almacenamos y compartimos, lo cual es ideal.

En otras palabras, si el eslogan de Zero Trust es “No confíes en nadie”, Zero Knowledge es “No sabemos nada y no podemos acceder a tus datos”. Zero Knowledge es particularmente relevante para los proveedores de seguridad y las organizaciones encargadas de proteger los datos de sus clientes, ya que garantiza que solo los usuarios finales puedan acceder a su información. Incluso si la empresa que almacena los datos sufre una violación, sus usuarios finales no se verán comprometidos, ya que la propia empresa no puede acceder a los datos, y mucho menos un tercero.

El primer principio importante de ZKA (Zero Knowledge Architecture), los clientes están cifrados de extremo a extremo y realizan cálculos criptográficos. El servidor no sabe nada sobre la naturaleza de los datos. En segundo lugar, todas las operaciones se realizan sobre datos cifrados. Esto significa que si desea agregar un nuevo registro a una base de datos, debe agregarlo en forma cifrada. Si desea compartir datos, debe compartirlos en forma encriptada. Los algoritmos y protocolos de ZK garantizan que ninguna clave, contraseña, archivo u otro material confidencial se transfiera de forma no cifrada o reversible.

¿Qué es el Conocimiento Cero?

Zero Knowledge es un modelo de seguridad que utiliza un marco único de encriptación y separación de datos para proteger contra filtraciones remotas de datos. El modelo Zero Knowledge sigue los siguientes principios:

  • Los datos se cifran a nivel del dispositivo, no del servidor.
  • La aplicación nunca almacena datos de texto sin formato (legible por humanos).
  • El servidor no recibe datos de texto sin formato.
  • Ningún empleado o intermediario puede ver los datos sin cifrar.
  • Las claves de cifrado y descifrado de datos se derivan de la contraseña maestra del usuario.
  • El cifrado multicapa permite el control de acceso a nivel de usuario, grupo y administrador.
  • El intercambio de datos utiliza el cifrado de clave pública para la distribución segura de claves.

¿Cómo saber si una empresa es realmente “Conocimiento Cero”?

Cuando las grandes empresas de tecnología de consumo como Apple, Google o WhatsApp ajustan funciones como el cifrado de extremo a extremo, los beneficios son obvios: los usuarios finales no quieren que otra persona acceda a sus correos electrónicos, mensajes de texto, fotos o cualquier otra comunicación personal. . Sin embargo, éste no es el caso. Si bien muchas organizaciones se toman en serio la seguridad de los datos, muchas juegan con los datos de los usuarios, incluidas algunas empresas que afirman “Conocimiento cero”. Aunque SSL/TLS y el candado en los sitios web es una medida de seguridad importante, los consumidores deben comprender qué es lo que realmente protege el candado, que son los datos en tránsito entre el consumidor y el sitio web o las aplicaciones. Los datos se descifran una vez que llegan a su destinatario.

Surge otro problema, según Keeper Security, cuando los proveedores afirman tener “cifrado de disco completo” en todos los servidores, pero el proveedor posee las claves de cifrado. Incluso puede almacenarlos en la misma base de datos que contiene los datos del usuario, algo así como guardar objetos de valor en una caja fuerte, luego escribir la combinación en una hoja de papel y pegarla en el frente. En un entorno de conocimiento cero, el proveedor no almacena claves de cifrado. ¡Ningún acceso en absoluto!

¿Cómo saber si una organización que dice “Conocimiento Cero” realmente lo es? Aquí hay algunas banderas rojas a tener en cuenta:

  • Si la empresa puede enviarle por correo electrónico información sobre sus datos, probablemente no sea Zero Knowledge.
  • Si tiene algún tipo de rastreadores en la aplicación o análisis de uso, probablemente no sea Zero Knowledge.
  • Si puede realizar un procesamiento de datos significativo (IA, análisis, flujo de trabajo automatizado), probablemente no sea conocimiento cero.

Cualquier empresa que almacene datos confidenciales, algo que casi todo el mundo hace hoy en día, debería considerar seriamente implementar “Cero Conocimiento”.

Leave a Reply

Your email address will not be published. Required fields are marked *