Što to znači za vaše podatke — i zašto Geslar ne može vidjeti vaše lozinke čak ni da želi.
Zamislite sef u banci
Imate sef u banci. Banka čuva sef, ali nema ključ. Ne zna što je unutra. Ne može ga otvoriti. Čak ni uz sudski nalog — jer fizički ne posjeduje ključ.
To je zero-knowledge arhitektura. Pružatelj usluge čuva vaše (enkriptirane) podatke, ali nema tehničku mogućnost da ih pročita.
Geslar ide korak dalje — nema ni sefa u banci. Vaši podaci su samo na vašem uređaju. Nema servera, nema clouda, nema trećih strana.
Kako Geslar štiti vaše podatke
1. Master lozinka
Vi unosite master lozinku. Ona nikad nije pohranjena — ni na disku, ni u memoriji nakon što se vault zaključa. Geslar ne zna vašu lozinku.
2. Argon2id derivacija
Iz vaše master lozinke, Argon2id algoritam derivira enkripcijski ključ. Argon2id je namjerno spor i memorijski intenzivan — čini brute force napade nepraktičnima.
3. AES-256-GCM enkripcija
Vault se enkriptira AES-256-GCM algoritmom — istim koji koriste vojni i vladini sustavi. 256-bitni ključ ima 2²⁵⁶ mogućih kombinacija — više od atoma u svemiru.
4. Lokalna pohrana
Enkriptirani vault ostaje na vašem uređaju. Nema uploada, nema sinkronizacije, nema servera. Vaši podaci nikad ne napuštaju vaš uređaj.
Tehnički detalji (za one koji žele znati)
Argon2id parametri:
Argon2id je pobjednik Password Hashing Competition (2015.) i preporučeni algoritam za derivaciju ključeva. Dizajniran je da bude otporan na GPU i ASIC napade jer zahtijeva veliku količinu memorije.
Za razliku od starijeg PBKDF2 (koji koristi 1Password), Argon2id je memorijski tvrd — napadač ne može ubrzati brute force koristeći tisuće GPU jezgri jer svaki pokušaj zahtijeva značajnu količinu RAM-a.
AES-256-GCM:
GCM (Galois/Counter Mode) ne samo da enkriptira podatke, nego ih i autentificira. To znači da nije moguće modificirati enkriptirane podatke bez detekcije — svaki pokušaj manipulacije rezultira neuspjelom dekripcijom.
Svaka enkripcija koristi jedinstveni nonce (jednokratni broj) — čak i ako enkriptirate iste podatke dva puta, rezultat će biti potpuno različit.
Salt:
Svaki vault ima jedinstveni kriptografski salt — nasumični niz koji se dodaje master lozinci prije derivacije ključa. To znači da čak i ako dva korisnika imaju identičnu master lozinku, njihovi enkripcijski ključevi su potpuno različiti.
Što to znači u praksi?
Geslar ne može čitati vaše podatke
Čak ni razvojni tim. Čak ni uz sudski nalog. Tehnički je nemoguće dešifrirati vault bez master lozinke.
Haker ne može koristiti ukradeni vault
Čak i ako netko fizički ukrade vaš uređaj i kopira vault datoteku — bez master lozinke, podaci su beskorisni niz bajtova.
Nema breach rizika
Geslar nema servera za hakirati. Nema baze korisnika za ukrasti. Nema centralnog repozitorija vaultova. Ništa za napasti.
Vi ste odgovorni za backup
Loša strana: ako izgubite uređaj i nemate backup — vaši podaci su nepovratno izgubljeni. Nitko ih ne može vratiti. Zato je backup važan.
Geslar vs cloud password manageri
1Password, Bitwarden, LastPass — svi tvrde da su "zero-knowledge". I tehnički jesu — enkripcija se vrši lokalno, a server ne vidi vaše podatke u čistom tekstu.
Ali postoji ključna razlika: oni i dalje čuvaju vaše enkriptirane vaultove na svojim serverima. To znači:
Rizik 1: Ako napadač probije na server, dobiva enkriptirane vaultove. Sad ima neograničeno vremena za pokušaj brute force napada na vašu master lozinku — offline, bez ograničenja pokušaja.
Rizik 2: Ažuriranje klijentskog softvera može uvesti backdoor koji šalje master lozinku na server. Korisnik to ne može detektirati jer je softver zatvorenog koda.
Rizik 3: Vladine agencije mogu zahtijevati (tajno) pristup enkriptiranim podacima — što je točno ono što se priča da se dogodilo s Lavabitom i drugim servisima.
Geslar eliminira sve tri rizike. Nema servera = nema enkriptiranih vaultova za ukrasti. Nema cloud infrastrukture = nema surface za napad. Nema account sustava = nema korisničkih baza za kompromitirati.
Jedina slabost: vi
U zero-knowledge sustavu, sigurnost je jednaka snazi vaše master lozinke. Ako koristite "lozinka123" kao master lozinku — ni AES-256 ni Argon2id vas neće spasiti.
Preporuke za master lozinku:
Koristite passphrase
Umjesto "M@rk0_2024!" koristite "livada-oblak-čokolada-kesten". Duže, jače, lakše za pamtiti. Više o passphrase.
Nikad je ne dijelite
Master lozinka postoji samo u vašoj glavi. Nema razloga da je itko ikad zna — ni partner, ni IT podrška, ni Geslar tim.
Zaključak
Zero-knowledge nije marketing termin — to je arhitektonska odluka koja određuje tko može pristupiti vašim podacima. Kod Geslara, odgovor je jednostavan: samo vi.
Nema servera, nema računa, nema telemetrije. Vaša master lozinka je jedini ključ, a vaš uređaj je jedini sef. To je privatnost kakva bi trebala biti.