Como funciona a 1-palavra-chave e eles realmente não guardam senhas?

A resposta longa está no documento 1Password Security Design do qual sou o autor principal, mas é uma resposta muito longa.

A resposta curta é que realmente não temos as suas palavras-passe, e isto é feito através da magia da matemática.

A resposta ligeiramente mais longa

Existem duas coisas que você vai saber para entender como tudo isto funciona. A primeira coisa que você precisa saber é o que é criptografia. A encriptação é um processo que transforma dados significativos em coisas que são indistinguíveis do aleatório. Ela transforma os dados (neste caso suas senhas ou outras coisas que você pode armazenar em 1Password) em algaraviadas. Esta transformação envolve um segredo, chamado chave. A chave é necessária para transformar a algaraviada de volta à sua forma original.

Sem a chave é impossível transformar os dados criptografados de volta à sua forma original. Algumas terminologias: Os dados originais são chamados de texto simples, e os dados encriptados, que são indistinguíveis do aleatório, são chamados de texto criptografado. Tudo sobre como o processo de criptografia funciona pode (e deve) ser conhecido publicamente. Somente a chave precisa ser mantida em segredo.

De onde vem sua chave?

A segunda coisa que você precisa saber é algo chamado função de derivação de chave (KDF). Vou falar um pouco sobre chaves antes de explicar que.

Os tipos de chaves que o sistema de encriptação que usamos é um número que teria cerca de 77 dígitos (se alguma vez for escrito em forma decimal). Ele tem 256 dígitos binários. Somente você deve ter a chave que é necessária para transformar seu texto criptografado de volta em texto puro, mas você não vai lembrar ou digitar um número aleatório de 77 dígitos toda vez que quiser destravar seus dados. Em vez disso, a sua chave é calculada através de um KDF.

O tipo mais simples de KDF transformaria a sua 1Password Master Password numa chave. Lembre-se que "F" em "KDF" significa "function" (função). Assim, se você der a mesma senha mestra, você obterá a mesma chave. Um KDF real é mais complicado, pois leva como entrada mais do que apenas a sua senha mestra. Ele aceita algo chamado sal. Todos recebem o seu próprio sal para que, se duas pessoas diferentes usarem a mesma senha mestra, não acabem com a mesma chave. O KDF também foi projetado para ser computacionalmente caro. Isto é para abrandar a adivinhação automática da senha mestra se alguém capturar os seus dados. E no caso da 1Password, o KDF também aceita algo a que chamamos "chave secreta" (SK) (desculpe, o termo "chave" é usado para muitas coisas diferentes) que é algo que só vive nas suas máquinas. O seu papel é assegurar que mesmo que os dados sejam roubados dos nossos servidores, o atacante não será capaz de fazer adivinhas na sua senha mestra, pois eles precisariam do SK da sua máquina.

Anyway, quando você digitar a sua senha mestra, 1Password também irá ler o sal e o SK da sua máquina e derivar uma chave usando o KDF. A chave derivada é então usada para encriptar e desencriptar coisas. Tudo isto é feito no seu computador ou dispositivo. Nem o texto em quadrado nem a chave são escritos em disco para transmitir os nossos sistemas. Apenas o texto criptografado é transmitido ou salvo no disco.

É mais complicado

O que descrevi acima deve dar uma idéia de como é possível para um gerenciador de senhas, como 1Password, fazer o que ele faz. Mas na verdade existe uma cadeia de chaves. A chave que é derivada do KDF não é realmente usada para encriptar os seus dados directamente. É o que se chama uma Chave de Encriptação de Chaves. É utilizada para encriptar outra chave (a que chamamos Chave de Desbloqueio Principal). E, na verdade, existe toda uma cadeia de chaves. Existem razões para toda a complexidade, mas a ideia principal ainda se mantém. Seus dados são criptografados com chaves que são criptografadas com chaves que ... são criptografadas com a chave derivada da sua senha mestra.