零知识是什么？

零知识是一种加密原则，可确保服务提供商无法访问用户的数据。传统加密方式可保护传输中的数据以及静态存储的数据，但服务提供商通常可以获取加密密钥，因此一旦服务商遭遇入侵，未授权访问的风险便会上升。

在零知识架构中，此类风险可大幅降低，因为所有加密和解密操作均在用户设备上完成。只有用户持有加密密钥，是唯一可解密自身信息的主体。对个人与企业而言，零知识可提升数字安全、隐私性与数据掌控权，确保除最终用户外，其他主体均无法访问敏感数据。

零信任与零知识

虽然零信任与零知识常被一并提及，但它们却是针对网络安全不同维度的不同原则。简而言之，零信任负责管控访问权限，零知识则保障所访问数据的机密性。

零信任是一种安全框架，其核心前提是：无论在网络内外，任何用户或设备均不默认为可信。所有访问请求均默认为可疑，需验证合法后方可通过，且访问权限会持续核验，以降低攻击者在系统内横向渗透的风险。

与之相对，零知识可确保仅最终用户可访问并解密自身的敏感数据。依托零知识架构，加密和解密仅在用户设备上进行，绝不会在服务商服务器或云端以明文形式处理。即使发生数据泄露，用户数据仍处于加密状态，没有私钥便无法利用。

零知识的运行机制

零知识保护可保障敏感数据仅在客户端完成加密与解密。用户使用零知识架构平台时，其数据会在本地完成加密。所有加密密钥均在用户设备上生成并存储，这意味着只有用户可以解锁专属保管库。这可保障凭据、机密与文件在传输与静态存储全过程中均实现端到端加密。

由于服务商从未以可还原的形式接收或存储加密密钥，用户数据在传输与存储全流程中均不会以明文形式泄露。即使服务商系统遭遇入侵，网络犯罪分子也仅可获取加密后的不可读数据，没有任何解密途径。

部分平台还集成了零知识证明 (ZKP)，这是一种加密概念，即一方向另一方证明自身知晓某信息，却无需披露该信息本身。ZKP 可以类比为：您知晓保险箱密码，但无需在他人面前打开保险箱。ZKP 支持用户在不暴露敏感数据或凭据的前提下，完成身份验证与声明校验，为隐私与安全增设一层防护。

零知识安全的优势

由于数据全程加密且仅用户可以访问，零知识可提供最高等级的安全防护。零知识架构可为个人及组织赋予多重优势。主要优势包括：

高强度数据隐私保护: 只有用户可访问自身加密密钥，其他任何主体均无法读取或解密其存储的数据。
降低数据泄露造成的影响: 一旦发生数据泄露，网络犯罪分子仅能获取加密数据，但如果缺少加密密钥，该数据便毫无利用价值。由于服务商根本无法获取加密密钥，因此即便数据遭到泄露，仍可保持不可读取状态。
防范内部威胁: 零知识可降低来自员工或管理员的内部威胁风险（无论恶意还是意外），因为只有用户可以访问明文数据。
降低合规风险: 零知识平台可通过全程执行访问管控与加密操作，助力满足 GDPR、HIPAA 等数据保护规范的合规要求。
提升信任度: 客户与合作伙伴知晓，依托零知识架构，他们的自身数据在任何场景下均不会遭到泄露。这种透明度可强化品牌口碑与用户长期忠诚度。

零知识的常见用例

零知识安全可帮助组织保护跨多个应用程序与环境的敏感数据。密码管理是应用最广泛的用例之一。用户可以使用搭载零知识加密架构的密码管理程序，将密码、通行密钥、多因素身份验证方式及文档存储在仅自身可访问的全加密保管库中。

特权访问管理 (PAM) 解决方案同样依托零知识安全来保护特权帐户，防范核心资源遭到未经授权的访问。例如，KeeperPAM® 将特权凭据存储于零知识保管库中，并在不向管理员或服务商泄露凭据的前提下，建立加密连接。

在 DevOps 与多云环境中，零知识对保障机密信息管理安全至关重要。无论在传输还是静态存储环节，API 密钥、证书及其他机密都需要完成加密，以避免信息泄露与滥用。采用零知识加密搭建的机密管理工具支持开发人员安全调取机密信息，无需对信息进行硬编码，亦不会扩大攻击面，同时可实现用户与加密操作的严格隔离。