Tulostusversio

4/2012

Tietoturva: Mistä sähköpostille toimiva salaus?

Teksti: Marjo Rautvuori

Sähköpostien salaus ontuu, koska käytössä ei ole helppoa ja kaikissa järjestelmissä toimivaa menetelmää.

Salaamatonta sähköpostiviestiä verrataan viestinnän luottamuksellisuuden kannalta postikorttiin: kumpaankaan ei kannata kirjoittaa tietoa, joka on tarkoitettu vain vastaanottajan nähtäväksi. Jos haluaa lähettää salattavaa luottamuksellista tietoa sähköpostissa, sähköposti pitää salata. Yksinkertaista – tai sitten ei.

Sisältöä voi suojata

Sähköpostien salausta ei tehdä yleisesti yksinkertaisesti siitä syystä, että helppoa, kaikissa järjestelmissä toimivaa salausmenetelmää ei kerta kaikkiaan ole.

On kuitenkin joitakin keinoja, joilla viestin sisältöä matkalla lähettäjältä vastaanottajalle voi suojata. Samalla täytyy muistaa, että vaikka viestin sisältö salattaisiinkin, viestin välitystiedot ja otsikko eivät pääsääntöisesti ole salattuja.

Tietoturva-asiantuntija Ari-Matti Husa Viestintävirastossa toimivasta kansallisesta tietoturvaviranomaisesta CERT-FI:stä mainitsee salauskeinoista ensimmäisiksi avoimen lähdekoodin PGP:n ja sirukortilla olevaa varmennetta käyttävän S/MIMEn.

Varmenteen käyttö vaatii perehtymistä

Sähköpostin salaamiseen ja purkamiseen voidaan käyttää Väestörekisterikeskuksen myöntämää älykortilla olevaa varmennetta. Viestin salaamista varten tarvitaan vastaanottajan julkinen avain, joka löytyy VRK:n sivujen varmennehausta. Varmenteiden käyttö viestien salaamiseen vaatii tuen sähköpostiohjelmalta.

”Esimerkiksi Outlook osaa käyttää varmenteita viestien salaamiseen, mutta ominaisuuden käyttö vaatii jonkin verran perehtymistä”, toteaa Husa.

PGP perustuu luottamusverkostoon

Avoimen lähdekoodin ratkaisu PGP on käytössä erityisesti tietoturvayhteisöissä ja "nettinörteillä" muutenkin.

”Tälle löytyy kohtuullinen tuki joihinkin ohjelmistoihin, esimerkiksi Mozilla Thunderbirdiin. Julkisia avaimia voi tallentaa julkisiin avainpalvelimiin, joista lähettäjä voi etsiä niitä.”

Ratkaisuissa on eroja myös salaamiseen ja salauksen purkuun tarvittavien avainten kannalta.

PGP perustuu käyttäjien väliseen luottamusverkkoon, kun taas Väestörekisterikeskuksen varmennejärjestelmässä avainten varmentaminen on keskitettyä. 

”Yksinkertaistetusti sirukortin varmenteet on allekirjoittanut valtio, PGP-avaimet taas ovat muiden PGP-käyttäjien allekirjoittamia”, Husa tiivistää.

Muitakin keinoja on

Muita sähköpostin salauskeinoja voivat olla erilaiset "turvapostijärjestelmät", joissa viesti lähetetään ja salataan joko sähköpostipalvelimeen asennetun lisäosan avulla tai webmailin kautta. Vastaanottaja saa linkin www-palveluun, josta viestin voi käydä lukemassa joko kerran tai määräajan.

Lisäksi Husa mainitsee viestien salaamisen paikallisesti ja salasanan toimittamisen jotakin toista kanavaa pitkin vastaanottajalle.

”Yksinkertaisimmillaan tämä voi olla salasanalla suojattu pakattu zip-tiedosto, joka ei kuitenkaan ole kovin turvallinen. Tiedostojen salaamista varten on myös salaukseltaan kehittyneempiä, kaupallisia ohjelmistoja. Tällöin lähettäjällä ja vastaanottajalla täytyy yleensä olla käytössä sama salausohjelmisto.”

Lue myös

Gallup: Ammattilainen suojaa viestinsä »
Tietoturva: ”Haavoittuvuustestaus on kaikkien velvollisuus” »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.