envei

19. mars 2026 · 5 min lesetid

Hva er zero-knowledge-kryptering — og hvorfor betyr det noe?

Du laster opp et dokument til en skytjeneste. Dokumentet ligger trygt lagret — kryptert, sikkerhetskopiert, beskyttet av brannmurer og tilgangskontroll. Men hvem kan egentlig lese det?

Med de fleste tjenester er svaret: du, og leverandøren. Med zero-knowledge-kryptering er svaret: bare du.

Den enkle forklaringen

Tenk på det som en safe inne i en safe.

Vanlig kryptering: Du legger dokumentet i en safe (leverandørens server). Leverandøren har hovednøkkelen. De kan åpne safen — de velger bare å la være. Du stoler på at de holder løftet.

Zero-knowledge-kryptering: Du låser dokumentet i din egen safe før du legger det i leverandørens safe. De har nøkkel til den ytre safen, men ikke til din indre. Selv om noen bryter seg inn — ansatte, hackere, myndigheter med rettskjennelse — finner de bare en låst boks de ikke kan åpne.

Teknisk sett betyr det at krypteringen skjer i nettleseren din før dataene forlater maskinen. Leverandøren mottar og lagrer kun krypterte data. De har aldri tilgang til nøkkelen.

Hvorfor «tillit» ikke er nok

De fleste skytjenester krypterer dataene dine. Google Drive, Dropbox, OneDrive — alle bruker kryptering. Men de krypterer med sin nøkkel, ikke din. Det betyr at de teknisk sett kan dekryptere og lese innholdet ditt.

I praksis gjør de det sjelden. Men «sjelden» er ikke det samme som «aldri.» Og det er noen situasjoner der det betyr noe:

Datainnbrudd: Hvis en hacker får tilgang til leverandørens systemer, kan de potensielt dekryptere innholdet. Med zero-knowledge finnes det ingenting å dekryptere — bare meningsløse bytes.

Interne trusler: Ansatte hos leverandøren kan i teorien få tilgang. Med zero-knowledge er dette umulig, uansett hvilken rolle de har.

Myndighetspålegg: Leverandøren kan bli pålagt å utlevere data. Med zero-knowledge kan de utlevere de krypterte dataene, men hverken de eller myndighetene kan lese dem uten din nøkkel.

Hvordan det fungerer teknisk (forenklet)

Zero-knowledge-kryptering bruker typisk denne flyten:

Steg 1 — Nøkkelavledning: Du har et passord eller en kode. Fra denne avledes en krypteringsnøkkel matematisk (med algoritmer som PBKDF2 eller Argon2). Nøkkelen forlater aldri din enhet.

Steg 2 — Kryptering: Dokumentet krypteres med denne nøkkelen, typisk med AES-256 — samme standard som brukes av militære og etterretningsorganisasjoner. Krypteringen skjer i nettleseren din, ikke på serveren.

Steg 3 — Opplasting: Kun de krypterte dataene sendes til serveren. Serveren lagrer krypterte bytes. Den vet ikke hva som er inne i dem.

Steg 4 — Henting: Mottaker oppgir koden, avleder samme nøkkel, og dekrypterer lokalt. Serveren leverer de krypterte bytesene — den deltar ikke i dekrypteringen.

Datatilsynet anbefaler kryptering som tiltak for å beskytte personopplysninger, og beskriver det som en matematisk metode for å sikre konfidensialitet ved å hindre at informasjon leses av uvedkommende.

Kilde: Datatilsynet — Kryptering

Zero-knowledge vs. ende-til-ende: er det det samme?

Nesten. Begrepene brukes ofte om hverandre, men det er en nyanse:

Ende-til-ende-kryptering (E2EE) betyr at data krypteres hos avsender og dekrypteres hos mottaker. Ingen mellommann kan lese innholdet. WhatsApp og Signal bruker dette for meldinger.

Zero-knowledge tar det ett steg videre: tjenesteleverandøren har null kunnskap om innholdet. De vet ikke hva du har lagret, hva du har sendt, eller hva dokumentet heter. De ser bare krypterte blobs.

I praksis: E2EE beskytter innholdet i transit. Zero-knowledge beskytter innholdet overalt — i transit, ved lagring, og mot leverandøren selv.

Hva betyr det for dokumentdeling?

For vanlig fildeling (bilder, musikk, usensitive dokumenter) er standardkryptering godt nok. Men for sensitive dokumenter — vedtak med personnummer, helseopplysninger, juridiske kontrakter, vergefullmakter — er forskjellen avgjørende.

Med vanlig kryptering stoler du på at leverandøren:

  • Ikke leser dokumentene dine
  • Ikke blir hacket
  • Ikke tvinges til å utlevere data
  • Ikke har ansatte som misbruker tilgang

Med zero-knowledge trenger du ikke stole på noen av disse tingene. Matematikken beskytter deg, ikke leverandørens policy.

GDPR og zero-knowledge

GDPR artikkel 32 krever «passende tekniske tiltak» for å beskytte personopplysninger. Zero-knowledge-kryptering er et av de sterkeste tiltakene som finnes — fordi det eliminerer leverandøren som risikofaktor.

For virksomheter som behandler sensitive personopplysninger (GDPR artikkel 9) — helseopplysninger, juridiske forhold, økonomiske data — er zero-knowledge et arkitekturvalg som løser flere compliance-krav strukturelt:

  • Dataminimering: Serveren har aldri tilgang til klartekst. Den behandler ikke personopplysninger i tradisjonell forstand.
  • Innebygd personvern: Kryptering er ikke et tillegg — det er fundamentet tjenesten er bygget på.
  • Databehandleravtale: Forenklet, fordi leverandøren aldri ser innholdet.

Hvem bruker zero-knowledge?

Flere kjente tjenester tilbyr zero-knowledge-kryptering:

  • Signal: Meldinger og samtaler
  • Tresorit: Skylagring
  • ProtonMail: E-post
  • Bitwarden: Passordlagring
  • envei.no: Dokumentlevering

Felles for alle: leverandøren kan ikke hjelpe deg hvis du mister nøkkelen. Det er prisen for ekte sikkerhet — ingen bakdør betyr ingen bakdør, heller ikke for deg selv.

Oppsummering

Zero-knowledge-kryptering betyr at tjenesteleverandøren aldri ser innholdet ditt. Kryptering skjer i din nettleser, med din nøkkel. Serveren lagrer bare krypterte data den ikke kan dekryptere.

For vanlig bruk er det overkill. For sensitive dokumenter — personnummer, helseopplysninger, juridiske avtaler, vergefullmakter — er det den eneste tilnærmingen der du ikke trenger å stole på noen andre enn matematikken.

envei.no bruker zero-knowledge-kryptering for all dokumentlevering. Serveren vår ser aldri innholdet ditt. Les mer om sikkerheten →

Kilder

Trenger du å sende dokumenter sikkert?

Prøv envei gratis →
← Alle artikler