Zero Knowledge Proof – Der Heilige Gral für Privatsphäre und Vertrauen

Zero Knowledge Proof - Hacking Series Steffen Lippke

Brauchst Du eine Einführung in die Zero Knowledge Proofs?

Dieser Beitrag erklärt Dir diesen.

[Bonus: Motivation und praktische Anwendungsfälle]

Starten wir!

Motivation – Weniger Daten sind mehr

01 Schufa notwendig - Was ist ein Zero Knowledge Proof Erklärung Coding Lab Steffen Lippke
01 Schufa notwendig? – Was ist ein Zero Knowledge Proof Erklärung Coding Lab Steffen Lippke

Wie würde eine Welt aussehen, die Datenschutz ernst nimmt?
Senkt jede Datenschutzmaßnahme das Vertrauen?

Steffen Lippke

Viele Unternehmen sammeln Daten über ihre Kunden, um Betrüger zu erkennen oder die Kreditwürdigkeit zu überprüfen. Diese Unternehmen brauche nicht die Kundendaten, um sie weiterzuverkaufen, sondern um sich selbst vor potenziellen Verlusten zu schützen.

Sind Privatsphäre und Vertrauen gegenläufig? Dieser Beitrag soll zeigen, dass wir mit einer neuen Methode mehr Datenschutz und mehr Vertrauen zu gleich erreichen können.

Früher: Weniger Datenschutz für mehr Sicherheit und Vertrauen

02 Bewerben mit weniger Daten - Was ist ein Zero Knowledge Proof Erklärung Coding Lab Steffen Lippke
02 Bewerben mit weniger Daten – Was ist ein Zero Knowledge Proof Erklärung Coding Lab Steffen Lippke

Leiden die Kunden erst seit der Digitalisierung unter der Sammelwut von Unternehmen? Vor 25 Jahren sah es nicht besser aus. Unternehmen sammelten in der analogen Welt unnötig viele Nutzerdaten. Wofür braucht …

  • … eine Bank das Geburtsdatum, die Berufsbezeichnung und eine Bezahlhistorie? Die Bank braucht nur eine Bestätigung, dass der Kunde alle Rechnungen in der Vergangenheit pünktlich gezahlt hat und wie viel der Kunde pro Monat verdient.
  • … eine Bewerbung mit einem Bild, den Namen oder das Geburtsdatum? Reicht nicht ein Lebenslauf mit den Arbeitsverhältnissen, Hardskills und Softskills aus.
  • • … eine Schufa-Auskunft die Auflistung aller Transaktionspartner? Genügt nicht eine Bestätigung, dass man die letzten 20 Jahren pünktlich seine/ihre Rechnungen gezahlt hat.
  • • … der Kassier:innen zu wissen, wie ich hieße und wo ich wohne, wenn ich ein alkoholisches Getränk kaufe. Reicht nicht eine Bestätigung aus, dass ich über 18 Jahre alt bin?

Im Jahr 2021 könnten wir alle schon bessere Lösungen nutzen, die zu gleich Datenschutz und Echtheit der Angaben bestätigen: Die Zero Knowledge Proofs

Steffen Lippke

Mehr Datenschutz mit Vertrauen durch Technik

00 DSVGO - Was ist ein Zero Knowledge Proof Erklärung Coding Lab Steffen Lippke
00 DSVGO – Was ist ein Zero Knowledge Proof Erklärung Coding Lab Steffen Lippke

Der Zero Knowledge Proof (deutsch: Beweis ohne Datenoffenlegung) ermöglicht, dass die Person A der Person B etwas beweisen, kann ohne die eigentlichen Daten zu übermitteln.

Beispiel eines Zero Knowledge Proofs

Der frisch gebackene Millionär John Reich will dem Millionärs-Klub diskret beweisen, dass er mehr als eine Millionen auf dem Depot hat, ohne den Betrag zu nennen (1.423.632 Euro). Die Bank (Aussteller) stellt John Reich einen Zero Knowledge Proof aus, der besagt, ob die Identität „John Reich“ (Besitzer) mehr oder weniger als 1 Millionen hat.

Welche Eigenschaften haben Zero Knowledge Proofs?

  • Vollständigkeit: Nur eine Person A, die ehrlich ist, kann dem Verifizierer (Überprüfer) davon überzeugen, dass Person A wirklich die Wahrheit sagt.
  • Seriosität: Hat eine böse Person B eine Chance den Verifizierer trotzdem zu überzeugen? Zero Knowledge Proofs müssen die Wahrscheinlichkeit, dass ein solcher Fall eintritt minimieren.
  • Datenminimierung: Der Beweis soll glaubwürdig sein, aber keine weiteren Daten beinhalten. Die mathematischen Zusammenhänge alleine sollen den Beweis liefern.

Warum sind Zero Knowledge Proofs sicher?

Dieser Zero Knowledge Proof ist sicher, weil die Informationen indirekt über kryptografische Fingerabdrücke (Hashs) auf einem nicht veränderbaren Datenspeicher (Blockchain) gespeichert sind.

04 Hyperledger kann ZKPs - Was ist ein Zero Knowledge Proof Erklärung Coding Lab Steffen Lippke
04 Hyperledger kann ZKPs – Was ist ein Zero Knowledge Proof Erklärung Coding Lab Steffen Lippke

Der Millionärs-Klub (Verifizier) kann sich den gegeben Zero Knowledge Proof ansehen und überprüfen, ob die Bank auch wirklich diesen auf der Blockchain erstellt hat. John Reich kann sich nicht selbst eine Bestätigung ausstellen, weil dann der Millionärs-Klub den Schwindel über die Blockchain aufdecken kann.

Der Zero Knowledge Proof enthält keine weiteren Daten. Der Datenspeicher (Blockchain) ist öffentlich einsehbar und beinhaltet keine personenbezogenen Daten (Namen, Beweise).

Steffen Lippke

„Summen-Passwörter“ für hohes Vertrauen

Wenn der Tresor der Bundesbank mit 3.000 Tonnen Gold geöffnet werden soll, dann sollte dieser mit einem Passwort gesichert werden. Verschiedene Verantwortliche sollten zugleich ein Passwort eingeben, damit sich die Tür öffnet.

Nehmen wir an, 7 Verantwortliche bekommen eine Koordinate aus einem 2D-Koordinatensystem genannt, dann die auf einer kubischen Funktion ax^3 + bx^2 +cx + d liegen.

Sagen 4 Verantwortliche, dass die Tür heute geöffnet werden muss, dann können sie 4 der 7 Koordinaten eingeben. Ein Programm berechnet den Schnittpunkt mit der y-Achse, welche das „Summen-Passwort“ ist.

Sagen 3 Verantwortliche, dass die Tür geöffnet werden soll, dann sind unendlich viele „Summen-Passwörter“ möglich. Die Tür bleibt verschlossen.

Es sollte mehr Verantwortliche als Variablen in der Kurve geben, damit die Tür immer noch öffenbar ist, wenn ein Verantwortlicher verhindert ist.

Beweise mir, dass Du es weißt!

Andere Zero Knowledge Proof Verfahren basieren auf Modulo Operationen und einer zufälligen Variabele. Ein solches Beweisverfahren garantiert keine 100 %-ige Sicherheit, dass es sich doch nicht um einen Betrüger handelt, aber mit jeder Iteration sinkt die Chance für einen Hacker unerkannt zu bleiben.

Alice möchte Bob beweisen, dass Alice das Geheimnis s kennt.

Alice → x = r^2 mod N → Bob

Bob sendet entweder 0 oder 1 an Alice zurück

← entweder 0 oder 1 als ←

Alice integriert das s in die Gleichung,

→ y = r * s^e mod N →

In der Realität werden solche Passwörter-Systeme für sehr wichtige Passwörter wie ein Wurzel-Zertifikat einer Zertifikatsautorität verwendet. Eine Zertifikatsautorität erstellt Zertifikat für andere Webseiten, damit diese sich wie mit einem Personal-Ausweis ausweisen können. Wenn der Nutzer die Webseite besucht, überprüft der Browser automatisch, ob das Zertifikat auch wirklich von der Zertifikatsautorität kommt.

Eine solche Institution hat viel Verantwortung und muss ihre privaten Schlüssel sicher, geheim und vor Missbrauch bewahren.

Die Zukunft: Win-Win für Nutzer und Unternehmen

Die meisten Unternehmen müssen nur noch einen Bruchteil der Daten erheben.

Die DSVGO nennt als einen Grundsatz das Datenminimierungsprinzip. Aus diesem Grund sind die Unternehmen verpflichtet früher oder später Zero Knowledge Proofs in ihre Prozesse einzubauen.

Zero Knowledge Proofs können unseren Alltag revolutionieren und sicher machen:

  • Sicheres Bezahlen mit einer garantierten Kontendeckung
  • Vertraulich Bewerben mit nicht fälschbaren Zeugnissen
  • Unkompliziert Mieten ohne Schufa bei vollem Vertrauen
  • Schneller Kredit ohne lange Formulare und hoher Rückzahlsicherheit

Nicht nur die Privatsphäre der Kunden ist besser geschützt, sondern die Unternehmen hätten weniger Probleme mit Betrug, weil sie die Zero Knowledge Proofs gleich überprüfen können.

Institutionen wie die Schufa müssten nicht mehr existieren und die Unternehmen können kostengünstig ihre Sicherheiten einholen, bevor diese ein Geschäft eingehen.


Danke fürs Lesen! Erhalte weitere Tutorials in meinem kostenlosen Newsletter*.
Jeden Monat teile ich mit Dir 4 neue praxisnahe Tutorials.
Trage Deine Mail ein und werde Teil von uns.



Quellenangabe Bilder: Icons und SVG-Grafiken im Titelbild von Microsoft PowerPoint 2019, frei verfügbar nach EULA
*) Mit dem Abonnement des Newsletters erklären Sie sich mit der Analyse des Newsletters durch individuelle Messung, Speicherung und Analyse von Öffnungsraten und der Klickraten in Profilen zu Zwecken der Gestaltung künftig besserer Newsletter einverstanden. Sie können die Einwilligung in den Empfang des Newsletters und die Messung mit Wirkung für die Zukunft widerrufen. Der Versand erfolgt mit MailChimp. Mehr in der Datenschutzerklärung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.