エンド・ツー・エンドの暗号化が知識ゼロへの道を開く - ホワイトペーパー
Bitwarden、ゼロ知識暗号化によるパスワード管理を実現
- リソース
- エンド・ツー・エンドの暗号化が知識ゼロへの道を開く - ホワイトペーパー
As more of our daily and professional lives move online, both personal and company security depends on all of us. Cyber attacks and data breaches unfortunately continue, with password management often cited as an easy step to mitigate risk.
But how can you trust a company to keep all of your secrets secret? The answer lies in end-to-end encryption, which lays the groundwork for applications with ‘zero knowledge’ architectures.
In a recent article on Tech Radar, author Christian Rigg noted,
Zero knowledge refers to policies and architecture that eliminate the possibility for a password manager to access your password.
While this is a perfect explanation of zero knowledge for a broad audience, security experts will differ in the interpretation of zero knowledge. We know we want zero knowledge in terms of safely handling encrypted passwords with password managers, but what exactly does that mean?
Zero knowledge refers to policies and architecture that eliminate the possibility for a password manager to access your password.
セキュアなアーキテクチャーの基礎は、暗号化、特にエンド・ツー・エンドの暗号化から始まる。ビットワーデンでは、お客様がビットワーデンクライアントに機密データを入力すると、すぐに暗号化します。データをデバイスに保存する前に、暗号化されます。暗号化されていないVaultデータというものは存在しません。ただし、Bitwardenクライアントで電子メールアドレスとマスターパスワードを入力し、情報を閲覧している場合は例外です。
そこから、すべてのVaultデータは、BitwardenクラウドまたはセルフホストBitwardenサーバーに送信される際も暗号化されたままです。他のクライアントとデータを同期する際、固有の電子メールアドレスとマスターパスワードが再入力されるまで、データは暗号化されたままです。
つまり、Bitwardenはお客様のパスワードを見ることができず、お客様の電子メールとマスターパスワードによってエンドツーエンドで暗号化されます。マスターパスワードは保存されず、アクセスすることもできません。
データ保管庫のデータには、Bitwardenは業界標準のAES 256ビット暗号を使用しています。マスターパスワードには、PBKDF2 SHA-256が使用され、Vaultデータを暗号化する鍵が導き出されます。Bitwardenのセキュリティについて詳しくは、セキュリティFAQをご覧ください。
当然のことながら、エンド・ツー・エンドの暗号化で重要なのは、復号化するための鍵である。これがエンドユーザーのみに留まる限り、ソリューションは知識ゼロのアーキテクチャーへと進むことができる。
ソフトウェアやサービス・プロバイダーが暗号化を推進しながらも、キーを保持するケースもある。このようなケースは、ソフトウェアやサービス・プロバイダーが技術的にデータを解読する能力を持っているため、我々の観点からはゼロ知識とは認められない。
When users have control of the encryption key, they control access to the data, and can provide encrypted data to a password manager without the password management company having access to, or knowledge of, that data.
This is the fundamental premise on which well-designed password managers work. They facilitate strong and unique passwords that only you can access. Doing so requires zero knowledge of the secret data, and therefore users must control the encryption key. We refer to this as zero knowledge encryption.
But there is information beyond the secret Vault data that might be shared with a software or service provider. For example, an email address might serve as a unique customer identifier. One could claim that this isn’t zero knowledge, and that would be correct.
At a minimum, zero knowledge must pertain to secret data. In the case of a password manager, that means all information within the password Vault. At the same time, it is important to recognize the realities of software, services, and users, and that in order for a commercial relationship to exist, their likely needs to be some knowledge exchanged between parties.
In the world of password managers, that line can get blurry. For example there are some password managers (not Bitwarden) that retain unencrypted URLs and websites for which you store passwords. While they claim that this benefits users, ultimately it provides these companies with detailed information on which websites users visit, when they do so, and every log in.
Bitwarden takes a more conservative view of what constitutes sensitive data, and therefore encrypts all of the information in your Vault, including the websites you visit, even the names of your individual items and folders. We use the term zero knowledge encryption because only you retain the keys to your Vault, and the entirety of your vault is encrypted. Bitwarden cannot see your passwords, your websites, or anything else that you put in your Vault. Bitwarden also does not know your Master Password. So take good care of it, because if it gets lost, the Bitwarden team cannot recover it for you.
The zero trust model initially emerged as a way for organizations to get beyond the traditional thinking of internal and external threats to their IT operations. Today, companies need to protect from threats coming from both inside and outside. Zero Trust models often use technologies like identity and access management, encryption, multi-factor authentication, and permissions to operate.
Of course, between password managers and users adopting software or services, there is likely going to be at least some element of trust between the two parties. The password management provider trusts that the user will not violate the terms of service, and the user trusts that the password management provider will live up to their stated offering. However, everyone is better off if the boundaries of required trust are limited, so that even the possibility of sensitive data being compromised is eliminated altogether, hence the zero trust model.
While we stand by to support our customers with a trusted relationship, we can reduce the reliance on implied trust through the Bitwarden self-hosted offering. This deployment enables businesses with greater flexibility and control over their infrastructure. Running your own Bitwarden instance could be on an airgap network, further reducing risks by being disconnected from the internet.
At Bitwarden we take this trusted relationship with our users seriously. We also built our solution to be safe and secure with end-to-end encryption for all Vault data, including website URLs, so that your sensitive data is “zero trust” secure.
We want our users to be well-informed on security practices in general, and with the benefits Bitwarden provides. With encryption, seek a complete end-to-end encryption architecture where only the end user retains the key, and make sure all sensitive data is encrypted using that architecture.
For many, it is easier to understand zero knowledge than end-to-end encryption, and we like easy! But we also understand the intricacies of these terms and aim to maintain clear definitions. We hope this article helps clarify our philosophy and approach.
If you’d like to try a zero knowledge encryption solution today, you can sign up for a free Bitwarden account here.
ニーズに合わせてプランをお選びください
無料
$0
月あたり
永遠無料
Bitwarden のボールトを取得
- 無制限のデバイス
- パスキー管理
- すべてのコア機能
- いつも無料
ボールトのアイテムを他の 1 人のユーザーと共有する
プレミアム
Less than$1
月あたり
年間10ドル請求されます
プレミアム機能をお楽しみください
- Bitwarden 認証器
- ファイル添付
- 緊急アクセス
- セキュリティ レポートなど
ボールトのアイテムを他の 1 人のユーザーと共有する
家族
$3.33
月あたり
最大 6 ユーザー、年間 $40 請求されます
あなたの家族のログインを保護してください
- 6 つのプレミアムアカウント
- 無制限の共有
- 無制限のコレクション
- 組織のストレージ
ボールトのアイテムを 6 人で共有する
表示されている価格は USD で、年間購読に基づいています
チーム
成長するチームのための強固な保護
$4
月額/ユーザーごとに毎年請求
同僚、部門間、または全社と安全に機密データを共有する
- セキュアなデータ共有
- イベントログ監視
- ディレクトリ統合
すべてのユーザーにプレミアム機能を含む
企業
大規模組織向けの高度な機能
$6
月額/ユーザーごとに毎年請求
エンタープライズ ポリシー、パスワードなしの SSO、アカウントの回復などの高度な機能を利用する。
- 容易なオンボーディング
- パスワードレスSSO
- アカウント回復
すべてのユーザー向けのプレミアム機能と補完的なファミリー プランが含まれる
見積もりを取得する
数百人または数千人の従業員を持つ企業のために、カスタム見積もりを取得するために営業に連絡し、Bitwarden がどのように役立つかを確認してください:
- サイバーセキュリティ リスクを軽減する
- 生産性を向上させる
- シームレスに統合する
Bitwarden は、パスワードのセキュリティを貴組織にもたらすために、どんな規模のビジネスにも対応する。
表示される価格は USD です。エンタープライズプランは年間購読に基づいている。