Brauchst Du eine Einführung in die Zero Knowledge Proofs?
Dieser Beitrag erklärt Dir diesen.
[Bonus: Motivation und praktische Anwendungsfälle]
Starten wir!
Motivation – Weniger Daten sind mehr
Wie würde eine Welt aussehen, die Datenschutz ernst nimmt?
Steffen Lippke
Senkt jede Datenschutzmaßnahme das Vertrauen?
Viele Unternehmen sammeln Daten über ihre Kunden, um Betrüger zu erkennen oder die Kreditwürdigkeit zu überprüfen. Diese Unternehmen brauche nicht die Kundendaten, um sie weiterzuverkaufen, sondern um sich selbst vor potenziellen Verlusten zu schützen.
Sind Privatsphäre und Vertrauen gegenläufig? Dieser Beitrag soll zeigen, dass wir mit einer neuen Methode mehr Datenschutz und mehr Vertrauen zugleich erreichen können.
Früher: Weniger Datenschutz für mehr Sicherheit und Vertrauen
Leiden die Kunden erst seit der Digitalisierung unter der Sammelwut von Unternehmen? Vor 25 Jahren sah es nicht besser aus. Unternehmen sammelten in der analogen Welt unnötig viele Nutzerdaten. Wofür braucht …
- … eine Bank das Geburtsdatum, die Berufsbezeichnung und eine Bezahlhistorie? Die Bank braucht nur eine Bestätigung, dass der Kunde alle Rechnungen in der Vergangenheit pünktlich gezahlt hat und wie viel der Kunde pro Monat verdient.
- … eine Bewerbung mit einem Bild, den Namen oder das Geburtsdatum? Reicht nicht ein Lebenslauf mit den Arbeitsverhältnissen, Hardskills und Softskills aus.
- • … eine Schufa-Auskunft die Auflistung aller Transaktionspartner? Genügt nicht eine Bestätigung, dass man die letzten 20 Jahren pünktlich seine/ihre Rechnungen gezahlt hat.
- • … der KassierInnen zu wissen, wie ich hieße und wo ich wohne, wenn ich ein alkoholisches Getränk kaufe. Reicht nicht eine Bestätigung aus, dass ich über 18 Jahre alt bin?
Im Jahr 2024 könnten wir alle schon bessere Lösungen nutzen, die zu gleich Datenschutz und Echtheit der Angaben bestätigen: Die Zero Knowledge Proofs
Steffen Lippke
Mehr Datenschutz mit Vertrauen durch Technik
Der Zero Knowledge Proof (deutsch: Beweis ohne Datenoffenlegung) ermöglicht, dass die Person A der Person B etwas beweisen, kann ohne die eigentlichen Daten zu übermitteln.
Beispiel eines Zero Knowledge Proofs
Der frisch gebackene Millionär John Reich will dem Millionärs-Klub diskret beweisen, dass er mehr als eine Millionen auf dem Depot hat, ohne den Betrag zu nennen (1.423.632 Euro). Die Bank (Aussteller) stellt John Reich einen Zero Knowledge Proof aus, der besagt, ob die Identität „John Reich“ (Besitzer) mehr oder weniger als 1 Millionen hat.
Welche Eigenschaften haben Zero Knowledge Proofs?
- Vollständigkeit: Nur eine Person A, die ehrlich ist, kann dem Verifizierer (Überprüfer) davon überzeugen, dass Person A wirklich die Wahrheit sagt.
- Seriosität: Hat eine böse Person B eine Chance den Verifizierer trotzdem zu überzeugen? Zero Knowledge Proofs müssen die Wahrscheinlichkeit, dass ein solcher Fall eintritt minimieren.
- Datenminimierung: Der Beweis soll glaubwürdig sein, aber keine weiteren Daten beinhalten. Die mathematischen Zusammenhänge alleine sollen den Beweis liefern.
Warum sind Zero Knowledge Proofs sicher?
Dieser Zero Knowledge Proof ist sicher, weil die Informationen indirekt über kryptografische Fingerabdrücke (Hashs) auf einem nicht veränderbaren Datenspeicher (Blockchain) gespeichert sind.
Der Millionärs-Klub (Verifizier) kann sich den gegeben Zero Knowledge Proof ansehen und überprüfen, ob die Bank auch wirklich diesen auf der Blockchain erstellt hat. John Reich kann sich nicht selbst eine Bestätigung ausstellen, weil dann der Millionärs-Klub den Schwindel über die Blockchain aufdecken kann.
Der Zero Knowledge Proof enthält keine weiteren Daten. Der Datenspeicher (Blockchain) ist öffentlich einsehbar und beinhaltet keine personenbezogenen Daten (Namen, Beweise).
Steffen Lippke
„Summen-Passwörter“ für hohes Vertrauen
Wenn der Tresor der Bundesbank mit 3.000 Tonnen Gold geöffnet werden soll, dann sollte dieser mit einem Passwort gesichert werden. Verschiedene Verantwortliche sollten zugleich ein Passwort eingeben, damit sich die Tür öffnet.
Nehmen wir an, 7 Verantwortliche bekommen eine Koordinate aus einem 2D-Koordinatensystem genannt, dann die auf einer kubischen Funktion ax^3 + bx^2 +cx + d liegen.
Sagen 4 Verantwortliche, dass die Tür heute geöffnet werden muss, dann können sie 4 der 7 Koordinaten eingeben. Ein Programm berechnet den Schnittpunkt mit der y-Achse, welche das „Summen-Passwort“ ist.
Sagen 3 Verantwortliche, dass die Tür geöffnet werden soll, dann sind unendlich viele „Summen-Passwörter“ möglich. Die Tür bleibt verschlossen.
Es sollte mehr Verantwortliche als Variablen in der Kurve geben, damit die Tür immer noch öffenbar ist, wenn ein Verantwortlicher verhindert ist.
Beweise mir, dass Du es weißt!
Andere Zero Knowledge Proof Verfahren basieren auf Modulo Operationen und einer zufälligen Variabel. Ein solches Beweisverfahren garantiert keine 100 %-ige Sicherheit, dass es sich doch nicht um einen Betrüger handelt, aber mit jeder Iteration sinkt die Chance für einen Hacker unerkannt zu bleiben.
Alice möchte Bob beweisen, dass Alice das Geheimnis s kennt.
Alice → x = r^2 mod N → Bob
Bob sendet entweder 0 oder 1 an Alice zurück
← entweder 0 oder 1 als ←
Alice integriert das s in die Gleichung,
→ y = r * s^e mod N →
In der Realität werden solche Passwörter-Systeme für sehr wichtige Passwörter wie ein Wurzel-Zertifikat einer Zertifikatsautorität verwendet. Eine Zertifikatsautorität erstellt Zertifikat für andere Webseiten, damit diese sich wie mit einem Personalausweis ausweisen können. Wenn der Nutzer die Webseite besucht, überprüft der Browser automatisch, ob das Zertifikat auch wirklich von der Zertifikatsautorität kommt.
Eine solche Institution hat viel Verantwortung und muss ihre privaten Schlüssel sicher, geheim und vor Missbrauch bewahren.
Die Zukunft: Win-Win für Nutzer und Unternehmen
Die meisten Unternehmen müssen nur noch einen Bruchteil der Daten erheben.
Die DSVGO nennt als einen Grundsatz das Datenminimierungsprinzip. Aus diesem Grund sind die Unternehmen verpflichtet, früher oder später Zero Knowledge Proofs in ihre Prozesse einzubauen.
Zero Knowledge Proofs können unseren Alltag revolutionieren und sicher machen:
- Sicheres Bezahlen mit einer garantierten Kontendeckung
- Vertraulich Bewerben mit nicht fälschbaren Zeugnissen
- Unkompliziert Mieten ohne Schufa bei vollem Vertrauen
- Schneller Kredit ohne lange Formulare und hoher Rückzahlsicherheit
Nicht nur die Privatsphäre der Kunden ist besser geschützt, sondern die Unternehmen hätten weniger Probleme mit Betrug, weil sie die Zero Knowledge Proofs gleich überprüfen können.
Institutionen wie die Schufa müssten nicht mehr existieren und die Unternehmen können kostengünstig ihre Sicherheiten einholen, bevor diese ein Geschäft eingehen.