Tulostusversio

4/2014

Varma salaus, epävarma ihminen

Teksti: Antti J. Lagus

Tietoturvaongelmat eivät johdu salauksen pettämisestä.

Salaustekniikkaa eli kryptologiaa käytetään yleisesti erilaisissa internetpalveluissa. Esimerkiksi verkkopankin nettiyhteydet salataan. Tavallinen kuluttaja ei näe salausta muusta kuin selaimen laitaan ilmestyvästä lukon kuvasta.

Salausta käytetään luottamuksellisuuden varmistamiseen, mutta puhekielessä salauksella tarkoitetaan usein myös tiedon eheyden ja autenttisuuden varmistamista. Eheys tarkoittaa sitä, ettei tietoa ole muutettu. Autenttisuus puolestaan merkitsee, että ollaan varmoja viestinnän toisesta osapuolesta.

Organisaation ei kannata salata kaikkia tietojaan, sillä suuri osa tiedosta ei ole niin tärkeää, että sitä kannattaisi salata. Kaiken tiedon salaaminen ei myöskään ole kustannustehokasta. Sen sijaan esimerkiksi viranomaisen on syytä tunnistaa, mitkä sen tiedoista ovat julkisuuslain mukaisesti salassa pidettäviä.

Murtamattomat algoritmit

Asiantuntijoiden mukaan nykyaikaisella salauksella saavutetaan käytännössä murtamaton salaus. Esimerkiksi yleisesti tietoliikenteen salaukseen käytettävään AES-algoritmiin perustuvaa salausta ei ole onnistuttu murtamaan. Periaatteessa se kuitenkin olisi mahdollista, jos salauksen selvittämiseen olisi käytettävissä riittävästi laskentakapasiteettia. Viestintäviraston erityisasiantuntija Risto Hakala kertookin, että tutkijat kehittelevät vielä tutkimusvaiheessa olevaan kvanttitietokonemaailmaan uusia salausmenetelmiä.

Koska AES-salaus on kuitenkin käytännössä murtamaton, tietojärjestelmien haavoittuvuuksia etsivät tahot käyttävät tietoturvan heikoimpia lenkkejä. Monet tietoturva-aukot johtuvatkin muista asioista kuin salauksesta tai sen puutteesta. Salaukseen ja sen purkamiseen käytettävien avainten hallinta on tärkeässä roolissa.

”Jos avaintenhallintaa ei hoideta hyvin, vaarantuu koko viestintä”, Hakala sanoo.

Esimerkiksi AES-salauksesta ei ole hyötyä, jos avainta pidetään näkyvillä.

Salaus voidaan murtaa avaintenhallinnassa tapahtuneen laiminlyönnin vuoksi, toteaa myös Aalto-yliopiston tietojenkäsittelytieteen kryptologian professori Kaisa Nyberg.

”Vaikkapa Yhdysvaltain kansallisen turvallisuusviranomaisen NSA:n tunkeutumisessa johonkin järjestelmään on saattanut olla jopa kyse erityyppisistä salaovista järjestelmiin”, Nyberg sanoo.

Pilvipalvelujen salauskeinoja tutkitaan

Salaustutkimuksessa eräs ajankohtainen aihe on pilvipalveluiden turvallisuus ja se, miten salausmenetelmät taipuvat suurten datamäärien salaamiseen pilvessä. Nybergin mukaan kaikki tieto voidaan salata, mutta pilvessä suurten tietomassojen versionhallinnan kanssa tulee helposti ongelmia. Ylläpitäjän tuleekin varmistaa, ettei samasta asiasta tule useita versioita.

”Yksi tapa, jota tutkitaan, on hukuttaa tietoa suuriin tietomääriin ja laittaa väliin sen verran melua ja virhettä, että kokonaisuus menee mössöksi. Tällöin puhutaan differentiaalisesta yksityisyydestä”, Nyberg sanoo.

TOR ei salaa tietoa

Kiinnostus anonyymiä TOR-verkkoa kohtaan on kasvanut viime vuosina. Professori Nyberg kertoo erään opiskelijansa opinnäytetyöstä, jossa selvitetään anonymiteettiä TOR-verkoissa.

TOR-verkot ovat saaneet nimensä sipulinkaltaisesta toimintatavastaan, jossa viesti kulkee useamman solmun kautta siten, että vastaanottaja ei voi selvittää, kuka oli lähettäjä (TOR = the onion router). Tällaista anonymiteettiä tarvitaan silloin, kun luottamuksellisen tiedon lähettäjä ei halua paljastaa henkilöllisyyttään. Salauksesta ei näissä verkoissa varsinaisesti ole kyse, sillä TOR ei salaa tietoa. Tieto voidaan salata tarvittaessa jollakin salausmenetelmällä.

”Jos tavallista sähköpostia ei salata millään tavoin, se on helposti muiden luettavissa, vaikka se johdettaisiin TOR-verkon läpi”, Nyberg kiteyttää.

Kryptologeille olisi tarvetta

Suomessa on monia yrityksiä, jotka tekevät salaustuotteita. Viestintävirasto onkin julkaissut vuodesta 2010 lähtien listaa suomalaisista ja eurooppalaisista salaustuotteista, jotka ovat viraston tarkastamia ja hyväksymiä.

Salaustekniikan osaajille Nyberg näkisi mielellään enemmän käyttöä käytännön elämässä. Alan tutkimusta Nyberg pitää hyvin kansainvälisenä, mutta kansainväliset opiskelijat eivät välttämättä saa töitä suomalaisista yrityksistä. Muualla opiskelijat työllistyvät opiskelumaihinsa paremmin.

Viestintävirastossa erityisasiantuntijana kolmisen kuukautta työskennellyt Hakala näkee, että alan osaajille olisi kysyntää enemmänkin. Kryptologiasta tohtoriksi väitellyt Hakala työskenteli aiemmin Aalto-yliopiston kryptologian tutkimusryhmässä.

”Yrityksissä tarvittaisiin salausteknistä asiantuntemusta. Nyt rakennetaan tietoturvajärjestelmiä, ja niihin otetaan valmiit salausjärjestelmät. Niitä ei uskalleta muokata tai jos muokataan, on mahdollista, että tehdään suuria virheitä”, Nyberg sanoo.

Lue myös

Kryptolaboratoriosta ydin kansalliselle osaamisverkostolle »

Bookmark and Share
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.