Šifrovanie s nulovou znalosťou
Šifrovanie Zero Knowledge (ZK) umožňuje ukladať projekty v cloude pri zabezpečení, že iba vy ich môžete čítať. Všetko šifrovanie a dešifrovanie prebieha výhradne vo vašom prehliadači — server ukladá iba šifrotext a nikdy nevidí vaše heslo ani dáta vášho projektu.
Kedy to použiť
- Keď potrebujete cloudové úložisko, ale nemôžete zdieľať dáta projektu so serverom tretej strany
- Keď vaša organizácia vyžaduje end-to-end šifrovanie pre klientské alebo citlivé projekty
- Keď váš správca Enterprise vynútil Cloud + Encryption ako požadovaný režim ukladania
- Keď chcete zdieľať zašifrovaný projekt s kolegom, ktorý pozná to isté heslo
Ako to funguje
- Pri ukladaní projektu nastavíte heslo.
- Váš prehliadač odvodí šifrovací kľúč z hesla pomocou bezpečnej funkcie na odvodenie kľúča (PBKDF2 / AES-256).
- Všetky dáta projektu a obrázky sa zašifrujú predtým, ako sa odošlú na server.
- Keď vy alebo kolega otvoríte projekt, prehliadač ho lokálne dešifruje pomocou toho istého hesla.
Server ukladá iba šifrovaný blob — nedokáže čítať vaše dáta projektu.
Ukladanie projektu so šifrovaním Zero Knowledge
- Otvorte Project → Save As (alebo vytvorte nový projekt).
- V časti Storage Mode vyberte Cloud + Encryption (ZK).
- Zadajte silné heslo (minimálne 8 znakov). Indikátor sily hesla vám pomôže vybrať bezpečné heslo.
- Potvrďte heslo a kliknite na Save.
TIP
Môžete vygenerovať kryptograficky silný náhodný kľúč kliknutím na Generate key & download .key file. Súbor .key uložte na bezpečné miesto — budete ho potrebovať na otvorenie projektu.
Otváranie zašifrovaného projektu
Keď otvoríte projekt zašifrovaný pomocou ZK, zobrazí sa výzva na zadanie hesla:
- Zadajte heslo použité pri ukladaní projektu.
- Projekt sa lokálne dešifruje a načíta sa bežným spôsobom.
Ak je heslo nesprávne, projekt nie je možné otvoriť a zobrazí sa chyba. Ak heslo stratíte, neexistuje spôsob, ako projekt obnoviť.
Celofiremné šifrovanie (Enterprise)
Ak váš správca Enterprise nakonfiguroval celofiremné šifrovacie heslo, nebudete vyzvaní na vytvorenie vlastného. Namiesto toho:
- Pri ukladaní alebo otváraní šifrovaného projektu sa zobrazí pole Company Password.
- Zadajte firemné heslo poskytnuté vaším správcom.
- Heslo sa overí porovnaním s testovacím šifrotextom uloženým na serveri. Ak je správne, projekt sa uloží alebo otvorí.
INFO
Server len overuje, že heslo vytvorí správny kľúč — samotné heslo nikdy neukladá.
Zmena šifrovacieho hesla
WARNING
Zmena šifrovacieho hesla (či už vášho vlastného alebo celofiremného) automaticky neprešifruje existujúce projekty. Projekty uložené so starým heslom zostávajú zašifrované týmto kľúčom a sú stále prístupné pomocou starého hesla.
Ak chcete migrovať projekt na nové heslo:
- Otvorte projekt (s použitím starého hesla).
- Použite Project → Save As a uložte ho znova s vybraným novým heslom.
Prípadne exportujte projekt do lokálneho súboru .cctvp a importujte ho znova po tom, čo bude nové heslo aktívne.
Zmena vášho vlastného hesla ZK
Vaše heslo ZK je viazané na projekt — každý projekt ukladá vlastnú soľ a testovací šifrotext. Ak chcete zmeniť heslo pre konkrétny projekt, otvorte ho aktuálnym heslom a potom použite Project → Save As a zadajte nové heslo.
Zmena celofiremného hesla (správcovia Enterprise)
Pozrite si Politiku šifrovania v Enterprise Settings pre úplné pokyny.
Bezpečnostné poznámky
| Vlastnosť | Podrobnosť |
|---|---|
| Odvodenie kľúča | PBKDF2-SHA256 s náhodnou 128-bitovou soľou |
| Šifrovanie | AES-256-GCM |
| Ukladanie hesla | Nikdy sa neukladá ani neprenáša — odvodený kľúč existuje iba v pamäti prehliadača |
| Čo server vie | Server ukladá iba šifrovaný blob a testovací šifrotext používaný na overenie hesla |
| Obnova hesla | Nie je možná — heslo si uložte bezpečne |
Tipy
- Použite správcu hesiel alebo súbor
.keyna uloženie svojho hesla ZK - Pri tímových projektoch sa dohodnite na zdieľanom hesle ešte pred uložením prvej ZK verzie
- Ak potrebujete zdieľať zašifrovaný projekt, zdieľajte heslo cez zabezpečený kanál (nie v tej istej správe ako odkaz na projekt)
- Správcovia Enterprise môžu vynútiť režim ZK pre všetky projekty cez Encryption Policy v Nastaveniach Enterprise
- Funkcia automatického ukladania funguje aj pri projektoch ZK — reláčný kľúč zostáva v pamäti, kým nezavriete kartu