Dessa två säkerhetskoncept kan låta lika men de är helt olika.
Medan både nollförtroende och nollkunskapskoncept är viktiga komponenter i dagens cybersäkerhetstrender, är de inte samma sak.
De låter lite lika och delar ett syfte, men noll kunskap går ett steg längre än noll förtroende för att skapa ett säkerhetssystem som kan motverka ständigt föränderliga cyberhot.
Faktum är att nollkunskapsbevis kan användas för att omsätta idéerna med nollförtroendesäkerhetsmodellen till verklighet. Men innan vi fortsätter, låt oss klargöra vad dessa två begrepp är.
Vad är Zero Trust?
Kort sagt är den centrala idén bakom nollförtroendekonceptet "lita på ingen, kolla alla". Så i ett ramverk med noll förtroende finns det inget förtroende mellan ett nätverk och dess användare, ett nätverk och dess hård- och mjukvarukomponenter, eller mellan en organisation och dess användare.
Med ett antagande om att alla och allt är ett hot tills motsatsen bevisats, noll förtroendesäkerhet ber alltid om någon form av autentisering innan man tillåter åtkomst till applikationer och data bakom dem. Alla användare inom ramen för noll förtroende måste autentiseras, auktoriseras och först genomgå en säkerhetsbedömning.
Noll förtroende ger också IT-administratörer möjlighet att säkerställa fullständig insyn i alla användare, enheter och system. Detta säkerställer inte bara regelefterlevnad utan hjälper också till att undvika cyberattacker orsakade av komprometterade användaruppgifter och minskar dataintrång. Så det är fler än ett fåtal skäl för att anta en nollförtroendesäkerhetsmodell.
Vad är Zero-Knowledge?
Ett noll-kunskapskoncept försöker ta reda på hur någon kan bevisa att de har något konfidentiellt, till exempel en bit av känslig information, utan att avslöja något av det. I sammanhanget nollkunskapskryptering, säkerställer nollkunskapssäkerhet att användarens data krypteras innan användaren kommunicerar med tjänsteleverantören. Dessutom kan data dekrypteras med en unik nyckel, som är okänd för leverantören - bara användaren har den nyckeln.
Så med noll-kunskapskryptering kan ingen annan än användaren komma åt sina data i dess okrypterade form. Helst ska ingen förutom användaren kunna komma åt uppgifterna i krypterad form heller, men länderna inom Five Eyes, Nine Eyes och 14 Eyes allianser skulle säga annat.
Inom cybersäkerhet kan nollkunskap ses som en del av nollförtroendemodellen eftersom den möjliggör åtgärder som autentisering som ska utföras utan att avslöja någon känslig information om användare.
Zero Trust vs. Noll-kunskap: likheter och skillnader
Om slagordet för nollförtroende-konceptet är "lita på ingen", så är noll kunskaps slagord "vi vet ingenting". Även om dessa två koncept delar ett syfte – det vill säga att stärka datasäkerhet och cybersäkerhet överlag – fungerar de inte på samma sätt.
Inom cybersäkerhet kan nollkunskap ses som en del av nollförtroendemodellen eftersom den möjliggör åtgärder som autentisering som ska utföras utan att avslöja någon känslig information om användare.
Nollkunskapsmodellen kan användas för att skydda dataintegriteten eftersom tjänsteleverantören har "noll kunskap" om det. I de flesta fall består denna data av lösenord, inloggningsuppgifter och annan känslig information. Många typer av tvåfaktorsautentisering (2FA) och multifaktorautentisering (MFA) använder nollkunskapen modell, vilket innebär att du inte kommer att behöva dela hemligheter eller tillhandahålla någon känslig information för att verifiera din identitet.
Både 2FA och MFA är kritiska komponenter i nollförtroenderamverket, som ytterligare stöds av kryptering och datasegregering. En tjänsteleverantör som använder både noll-kunskap och noll-förtroende säkerhetsramverk kan vara säker på sina system är skyddade från inre och yttre hot och att inga känsliga uppgifter kommer att äventyras i händelse av en data brott.
Zero Trust vs. Noll-kunskap: Vilket är viktigast för cybersäkerhet?
Det finns ingen anledning till varför cybersäkerhetsproffs ska behöva välja mellan nollförtroende och nollkunskapssäkerhetskoncept. Efter att ha listat ut hur dessa två fungerar inom cybersäkerhet kan vi se noll kunskap som en kritisk komponent i nollförtroendesäkerhetsmodellen.
Vi bör också notera att även om implementeringen av nollförtroendekonceptet kan verka enkelt i teorin, är det lättare sagt än gjort när det kommer till praktiken.
