看似美好的“零知情”架构，为何得不到普及 2022年11月底

2022年11月底，在世界上某个不知名的角落，一群黑客费尽心思成功攻破了某个云存储服务器，并拿到了其中所保存的、数量众多的数据。
但这些数据并不简单，因为它们隶属于知名的密码保管软件LastPass 。这是一个主打“帮用户记住密码”的跨平台第三方软件，换句话来说，在它的服务器里理所当然地会保存有大量的用户密码。它们可能是某个人的手机锁屏密码、某家公司的电脑开机密码，也有可能是更关键的银行卡密码、游戏登录账密、医疗账户信息……

文章图片
然而， “得手”的黑客在打开他们窃取到的文件时，映入眼帘的并不是能够“发家致富”的大量账号密码，而是一串串完全不知所云的乱码。
是的，这并不是我们三易生活想象出来的场景，而是基于近日的真实事件所做的合理演绎。 LastPass所使用的的第三方云存储服务器确实被黑客攻破了，但黑客们也确实没有拿到任何有意义的信息。
为什么会这样？其实这就要提到LastPass以为傲的“零知情”（ZeroKnowledge）架构，以及现在一部分互联网相关软件所使用的、类似的隐私保护措施了。

文章图片
何谓“零知情”？简单来说，作为一款“密码管理软件” ， LastPass的基本原理当然是记录、保存用户的账号密码，并在用户需要的时候实现自动填充。但在这个记录、保存的过程中， LastPass会对所有的账号、密码进行高度加密运算，而其加密密钥的生成以及整个加密运算过程，都是在用户的本地设备上进行。
这样一来，被上传到云端备份的其实就只有加密后的数据。 LastPass本身并不读取、也不持有加密密钥（因为是在用户的设备上随机生成、而非事先定好的），更不在云端运行加解密过程。换句话来说，就连他们自己也无法对这些存储在云端的数据进行“解密” ，更不要说窃取到数据的黑客了。

文章图片
当然，我们不能因为“黑客无法解密得到实际的用户数据”这个结果，就认为LastPass在此次事件当中毫无责任，毕竟服务器被攻破了，（已加密的）数据被窃取了是事实。但LastPass的“零知情”架构，成功阻止了黑客得到实际“有用”的数据，同样也是事实。
【看似美好的“零知情”架构，为何得不到普及】而且哪怕是不发生黑客攻击事件，仅从职业道德的角度来说，作为一款密码管理软件，采用这种“让自己（内部的）人都看不到用户数据”的设计，想来也确实是理所应当的。
然而这就不禁会令我们产生一个额外的联想，如果“零知情”架构如此有效，为什么它并没有被大家所熟知的那些互联网应用（比如各大浏览器、聊天软件、购物软件）广泛采用呢？

文章图片
其实背后的原因，也不难理解。因为站在互联网公司的商业利益角度去考量，基于用户信息、用户习惯收集而来的广告，或者说智能推送，往往是非常重要的一项盈利业务。
比如浏览器可能会分析浏览和搜索记录，从而推断你的购物喜好；社交软件可能会“窥探”聊天记录，从中找到你对新闻、生活、购物各方面的需求，进而体现在推送内容上；电商软件就更不用说了，它们可从来都不会掩饰对于你购物数据的“分析”和跟踪。