Nollatietotodistukset käyttäjätietojen todentamisessa

Nollatietotodistusten hyödyntäminen käyttäjätietojen todentamisessa on kehittyvän digitalisaation, ja tietoturvauhkien vuoksi saanut kasvavassa määrin huomiota potentiaalisena ratkaisuna perinteisen salasanaan perustuvan todentamismenetelmän riskeihin ja haavoittuvuuksiin. Perinteinen salasanaan perustuva todentamismenetelmä on altis vahinkoa aiheuttaville hyökkäyksille muiden tietoturvahaasteiden lisäksi. Nollatietotodistukset sen sijaan mahdollistavat identiteetin todistamisen ilman tarvetta sensitiivisen informaation säilyttämiseen ja lähettämiseen verkon välityksellä. Kirjallisuuskatsauksen tavoitteena oli selvittää, kuinka nollatietotodistuksia hyödynnetään verkkoympäristössä tapahtuvassa käyttäjätietojen todentamisessa, sekä kahden implementaatioesimerkin avulla tunnistaa nollatietotodistusten tarjoamia hyötyjä ja potentiaalisia haittoja. SRP-protokollassa nollatietoisuus saavutetaan käyttäjän salasanasta generoidun – palvelimen kanssa jaetun arvon avulla, joka ei itsessään vaaranna käyttäjän sensitiivistä informaatiota. M-Pin on puolestaan useaan tekijään pohjautuva todentamismenetelmä, jossa hyödynnetään niin sanotun luotetun osapuolen olemassaoloa. Luotettu osapuoli vastaa käyttäjän identiteettisidonnaisen salaisuuden myöntämisestä, josta käyttäjän valitseman PIN-koodin lisäksi generoidaan varmiste, jota käytetään käyttäjän todentamiseen palvelimelle. Nollatietotodistuksia hyödyntävät käyttäjän todentamisen menetelmät osoittautuivat hyvin vastustuskykyisiksi haavoittuvuuksia, kuten väliintulo- ja sanakirjahyökkäyksiä vastaan. Menetelmät koostuvat kuitenkin turvallisuuden takaamiseksi haastavista laskennallisista toimenpiteistä ja menetelmistä, joilla voi olla negatiivinen vaikutus implementaatiomahdollisuuksiin ja skaalautuvuuteen.