shane - stock.adobe.com
Wie unterscheidet man Zero Trust und Zero Knowledge Proof?
Der Null-Wissen-Beweis (Zero Knowledge Proof) kann Unternehmen dabei unterstützen, das Zero-Trust-Konzept umzusetzen. Wo liegen die Überschneidungen und wo die Unterschiede?
Wenn IT-Experten das Thema Zero Trust diskutieren, fällt früher oder später meist auch der Begriff Zero Knowledge Proof (oder auch Null-Wissen-Beweis).
Obwohl die beiden Begriffe ähnlich klingen, beziehen sie sich auf völlig unterschiedliche IT-Sicherheitskonzepte mit leichten Überschneidungen. Grund genug die beiden Begriffe zu vergleichen, um den Unterschied zu verdeutlichen.
Wofür steht Zero Trust?
Das Zero-Trust-Modell kann Unternehmen dabei helfen, in modernen IT-Umgebungen die Sicherheit zu verbessern und die Zugriffskontrolle zu erhöhen. Zero Trust ist ein Sicherheitskonzept, das die Authentifizierung, Autorisierung und kontinuierliche Überprüfung von Benutzern und Geräten erfordert. Jeder Benutzer und jedes Gerät sind an eine Reihe von detaillierten Kontrollen gebunden, die er bei der Kommunikation mit anderen Benutzern, Geräten und Systemen innerhalb eines sicheren Netzwerks einhalten muss.
Zero-Trust-Prinzipien können auf Rechenzentren und die Cloud ausgeweitet werden. Die Idee besteht darin, Anwendungen und Dienste in logisch erstellten Sicherheitszonen unterzubringen. Der gesamte Datenverkehr, der eine Zone betritt oder verlässt, muss vor der Weiterleitung der Daten ausdrücklich genehmigt werden. Wenn also ein Server oder eine Anwendung kompromittiert wird, kann sich der Angreifer nicht ohne Weiteres im gesamten Rechenzentrum bewegen, um möglicherweise andere Systeme zu kompromittieren.
Was bedeutet Zero Knowledge Proof?
Zero Knowledge Proof, oder auch als Null-Wissen-Beweis bezeichnet, ist ein Begriff, der in der Kryptographie seit Mitte der 1980er Jahre verwendet wird. Bei dieser Methode beweist eine Partei, dass sie über Informationen verfügt, von denen sie behauptet, dass sie wahr sind, und eine zweite Partei, die überprüfen möchte, ob die Informationen der ersten Partei tatsächlich wahr sind. Bei einem Zero-Knowledge-Proof-System übermittelt die beweisende Partei keine geheimen Informationen, die belegen könnten, ob das, was sie behauptet, wahr ist.
Ein Zero Knowledge Proof erfordert also kein vertrauliches Wissen und keine geheimen Daten, um die Behauptung zu belegen. Stattdessen wird ein Szenario entwickelt, mit dem die nachweisende Partei belegen kann, dass sie über eine bestimmte Information verfügt – ohne dass sie diese offenlegen muss.
Ein Zero Knowledge Proof wird in der modernen IT-Security also in Situationen verwendet, in denen ein System angibt, über vertrauliche Daten zu verfügen, die es aber nicht als Beweis übermitteln will oder kann. Zu diesem Zweck wurden Krypto-Algorithmen entwickelt, mit denen die überprüfende Partei den Beweis auf eine Weise testen kann, die sich mathematisch nicht fälschen lässt.
Wo überschneiden sich Zero Trust und Zero Knowledge Proof im Unternehmen?
Zero-Knowledge-Proofs können zum Schutz der Privatsphäre von Daten verwendet werden. Diese Art der Kryptographie eignet sich daher hervorragend zur Authentifizierung und Verifizierung von Nutzern, ohne dass Geheimnisse übermittelt werden müssen, die anderen niemals bekannt sein sollten.
In den meisten Fällen handelt es sich bei den Informationen, die die beweisende Partei geheim halten möchte, um ein Passwort. Dieses wird nicht selbst übertragen, sondern nur sein Hash-Wert. Bestimmte Arten der Zwei-Faktor-Authentifizierung (2FA) und der Multifaktor-Authentifizierung (MFA) verwenden Zero-Knowledge-Beweise und verlangen von der beweisenden Partei niemals die Preisgabe geheimer Informationen. Natürlich ist die Authentifizierung – und insbesondere MFA und 2FA – ein wesentlicher Bestandteil von Zero-Trust-Frameworks. Hier überschneiden sich also die beiden Begriffe.