Szolidaritás Ukrajnával. Az ukrán vállalatoknak felajánlott szolgáltatás, ameddig a háború tart. Ingyenes hozzáférés kérése
Biztonsági elemzés - 2026. június

Zero-Knowledge: amit a 2026. júniusi nyilvánosságra hozatalok megváltoztatnak (és nem változtatnak meg) a ARDNTECH számára

2026 júniusában három esemény indította újra a vitát a „zero-knowledge” kezelők valós garanciáiról: az ETH Zurich és az Aalto University egy akadémiai tanulmánya 25 kihasználható támadást térképez fel, ha a szervert kompromittálják, egy LastPass szivárgás egy harmadik fél CRM-jén keresztül halad, és egy DEF CON 33 kutató bemutatja az autofill eltérítését clickjackinggel. Íme e három esemény konkrét hatása a ARDNTECH architektúrájára, marketingretorika nélkül.

Közzétéve 2026. június 23. ARDNTECH EI által  ·  Belső elemzés a nyilvános nyilvánosságra hozatalokból

Kontextus

Három nyilvánosságra hozatal 2026 júniusában

2026. június 12. · Szivárgás

LastPass a Klue-n keresztül - ellátási lánc

A Klue-nál (a Salesforce-ba integrált értékesítési intelligencia eszköz) történt OAuth-token lopás lehetővé tette a LastPass ügyfelek kapcsolattartási adataihoz való hozzáférést. A titkosított széfek nem kerültek kitettségbe. A valós kockázat a célzott phishing egy peremhelyzetű alvállalkozótól ellopott kapcsolatlistából, nem a kriptográfiai mag kompromittálódása.

Tanulság : a zero-knowledge a széfeket védi, nem a harmadik felek által birtokolt metaadatokat.

2026. június · Akadémiai kutatás

ZK tanulmány ETH Zurich + Aalto University

Matteo Scarlata és társszerzői (az Ars Technica közvetítésével) 25 támadást térképeznek fel, amelyek azt mutatják, hogy a Bitwarden, Dashlane és LastPass „zero-knowledge” garanciái leromlanak, ha a szervert kompromittálják és bizonyos opt-in funkciók aktívak: fiók-helyreállítás, megosztás publikus kulcsok terjesztésével, kriptográfiai visszafelé kompatibilitás (KDF downgrade).

Tanulság : egy formálisan helyes ZK-nak ellen kell állnia a kompromittált szerver forgatókönyvének, nem csak egy becsületes adminisztrátornak.

2026. június · DEF CON 33

Böngészőbővítmény clickjacking

Marek Tóth bemutatja, hogy 11 kezelő autofillje kiváltható egy láthatatlan overlayjel. Egyetlen kattintás egy hamis cookie-sávra elég ahhoz, hogy kitöltse egy támadó által vezérelt oldal mezőit. Az érintett felület a bővítmény DOM-injektálási logikája, nem a szerveroldali széf.

Tanulság : a böngészőbővítmény a szervertől elkülönülő támadási felület, amelyet függetlenül kell megerősíteni.

Műszaki elemzés

ETH/Aalto mapping a ARDNTECH-re

A tanulmány három funkciócsaládot céloz, amelyek kompromittált szerveren gyengítik a ZK garanciákat. Íme ezek megfelelése a ARDNTECH architektúrájában.

A tanulmány vektora ARDNTECH architektúra Ítélet
Fiók-helyreállítás
A széfkulcs szerveroldalon tárolt másolata, használható ha a szervert kompromittálják 		A wrap kliensoldalon (Argon2id) készül egy helyreállítási kódból, amelyet csak a felhasználó birtokol. A szerver átláthatatlan wrapeket tárol: nem tudja újra-leszármaztatni a kulcsot. Felhasználás azonnali scrubbal. Egészséges
Kriptográfiai downgrade
Egy kliens kényszerítése gyengébb algoritmus használatára a helyreállítási wrap során 		Szerveroldalon blokkolva: egy ellenőrző komponens elemzi a valós páncélt (SKESK v6, S2K Argon2id, AEAD jelen, alsó küszöbköltségek). Egy manipulált kliens, amely downgrade-el, elutasításra kerül és újraaktiválásra kényszerül. Semlegesítve
Publikus kulcs helyettesítése megosztáskor
A szerver a saját kulcsát szolgálja ki a címzetté helyett 		A szerver közzéteszi a címzett publikus kulcsát + ujjlenyomatát. Egy 2026. júniusi javítás (extensions repo) lefedi a kliensoldali ellenőrzést. Maradék pont: biztosítani, hogy egy ismert kapcsolat kulcsváltása explicit riasztást váltson ki. Ellenőrzés alatt
Admin helyreállítási kulcsok (LastPass típus)
Egy csoportadmin szerveroldalon újratitkosíthatja egy felhasználó széfjét 		A ARDNTECH nem rendelkezik szerveroldali „break-glass admin” mechanizmussal, amely újratitkosítaná egy felhasználó széfkulcsát egy admin kulcsra. A csapatmegosztás kizárólag a csapat publikus kulcsán és annak ujjlenyomatán keresztül megy. Egészséges tervezésből

Szintézis : egy kompromittált ARDNTECH szerver nem teszi lehetővé a helyreállítási wrapek visszafejtését - ezek átláthatatlanok, kliensoldalon származtatva egy titokból, amelyet a szerver nem birtokol, és a KDF downgrade elutasításra kerül a regisztrációkor. Pontosan ezek azok a forgatókönyvek, amelyeket más kezelőkben az ETH/Aalto tanulmány kihasznál. Itt dokumentált architekturális választásokkal vannak lezárva a fenyegetésmodellben.

Böngészőbővítmény

Clickjacking felület: a ARDNTECH bővítmény

Tóth kutatása a bővítmények DOM-injektálási logikáját célozza. Az autofill és az autologin az érintett felületek. A szerveroldali széf nem érintett - a mezőket kitöltő bővítmény az, amelyet meg lehet téveszteni. A következő pontok auditálás alatt állnak a ARDNTECH bővítményben.

  • Elutasítás rejtett elemeken: nincs autofill, ha az opacitás kisebb mint 1, visibility:hidden, közel nulla méret vagy lefedett elem (a kattintási pont hit-testingje) esetén.
  • Nincs autofill cross-origin iframe-ben: annak ellenőrzése, hogy window.top === window.self vagy azonos origin.
  • <strong>Szigorú origin-ellenőrzés:</strong> pontos egyezés a valós URL és a széf bejegyzése között, laza részlánc-egyezés nélkül.
  • <strong>Látható megerősítés az injektálás előtt:</strong> autologin esetén semmilyen kitöltést nem vált ki egy nem ellenőrzött harmadik fél elemére való kattintás.
  • Nem lefedhető injektált felület: izolált Shadow DOM, kontrollált z-index, a láthatóság újraellenőrzése a kattintás pillanatában.
Ellátási lánc

LastPass-Klue tanulság: a peremhelyzetű alvállalkozók

Egy egészséges kriptográfiai magot meg lehet kerülni a peremhelyzetű SaaS stackkel. A LastPass széfek nem mozdultak, de egy kapcsolatlistát elloptak egy harmadik fél CRM integrátortól.

Harmadik fél SaaS-ek minimalizálása

A ARDNTECH jelenlegi alvállalkozói (Scaleway, Brevo, Stancer, HIBP, Bugsink) a Bizalom oldalon közzétett nyilvántartásban vannak keretezve. A zero-knowledge a széfeket védi, nem egy kapcsolatlistát egy nem nyilvántartott harmadik fél CRM-ben.

OAuth tokenek higiéniája

Harmadik fél integrációk tokenjeinek rotációja, minimális scope-ok, azonnali visszavonás incidens esetén. A peremrendszerekhez való hozzáférés nem teheti lehetővé az ügyfelek feltérképezésének rekonstruálását.

Nyilvános alvállalkozói nyilvántartás

Minden új alvállalkozó a DPA frissítésének tárgyát képezi az integráció előtt. A nyilvántartás nyilvánosan elérhető a Bizalom oldalon.

További információért

Fenyegetésmodell

A ARDNTECH architektúra teljes STRIDE elemzése, komponensenként.

Zero-knowledge és metaadatok

Amit a ARDNTECH titkosít, amit nem titkosít, és miért.

Biztonsági oldal

A ARDNTECH műszaki és jogi garanciáinak áttekintése.
Nyitott privát béta

Tesztelje a ARDNTECH-t a csapatán

Ellenőrizhető zero-knowledge, Franciaországban tárolva, AGPLv3 forráskód. A privát béta regisztráció után elérhető.

Csatlakozás a privát bétához Biztonsági oldal megtekintése