Tietoturva nyt!

[Teema] Valitse salaus, kun voit

02.09.2016 klo 12:23

Sähköisesti viestivä maailma tarvitsee salausta

Sähköistä tietoa voi lukea, kopioida ja muokata loputtomiin ilman, että kopioinnista tai muokkauksen tekijästä jää tietoon mitään jälkiä. Jotta sähköisen viestinnän luottamuksellisuuteen, eheyteen ja aitouteen voidaan luottaa, tarvitaan salauksen soveltamista.

Esimerkiksi lukiessasi tätä artikkelia Viestintäviraston verkkosivustolta käytät salausta, sillä Viestintäviraston www-palvelin salaa liikenteen sen ja verkkoselaimesi välillä. Kukaan sivullinen ei tietoliikenteen perusteella voi tietää, mitä artikkelia luet. Jos luet artikkelia Suomessa kännykälläsi, radioliikenne kännykkäsi ja tukiaseman välillä on lisäksi salattu toisella salauksella. Radioliikennettä kuuntelemalla kukaan sivullinen ei voi tietää, että ylipäänsä luet jotakin verkkosivua.

Kryptografisia eli salausalgoritmeja tarvitaan yleisesti myös identiteetin todistamiseen, sillä kuka tahansa voi periaatteessa luoda selväkielisen sähköisen asiakirjan, jossa hän väittää olevansa sinä. Esimerkiksi asioidessasi suomi.fi-verkkopalvelussa voit poliisin myöntämällä henkilökortilla todistaa olevasi juuri sinä: henkilökorttisi mikrosiru tekee salakirjoitusta hyödyntävän sähköisen allekirjoituksen sen sisältämällä kansalaisvarmenteellasi ja tietokoneesi lähettää allekirjoituksen verkkopalveluun.

Salauksen käyttöön kannattaa aktiivisesti pyrkiä

Moni tieto välitetään ja tallennetaan kuitenkin yhä salaamatta, ellemme itse toimi sen salaamiseksi. Esimerkiksi sähköposti kulkee internetissä usein salaamattomana ja tietokoneen tiedostot ovat tyypillisesti salaamattomia. Myös puhelinliikenne on pääosin salaamatonta.

Salauksen käytössä on tärkeää ymmärtää, mitä osaa viestinnästä tai tietojen käsittelystä salaus suojaa ja mitä ei. Matkapuhelimen liikenteestä salattua on lähtökohtaisesti vain radioliikenne. Tukiasema purkaa salauksen ja välittää liikenteen selväkielisenä yleiseen puhelinverkkoon. Jonkin sinun ja puhelukumppanisi välissä olevan teleoperaattorin on siis teknisesti mahdollista salakuunnella puheluasi.

Tarjolla on myös matkapuhelimia ja matkapuhelimissa toimivia sovelluksia, joilla viestinnän voi salata yhteyden päästä päähän tai puhelinten ja tietyn luotetun palvelimen välillä. Sellaista käytettäessä kukaan yhteyden välillä ei saa selvää viestinnän varsinaisesta sisällöstä. Jotta puhelukumppanisi saisi selvän viesteistäsi, hänen on käytettävä samanlaista tai yhteensopivaa puhelinta tai sovellusta. Siitä sopiminen vaatii tietysti etukäteisvalmisteluja.

Joidenkin viestinnän välitystietojen — kuten lähettäjän ja vastaanottajan tunnisteet — on kuitenkin oltava selväkielisiä, jotta viestintää välittävät tahot voivat välittää viestit oikealle vastaanottajalle. Joissakin tilanteissa sekin saattaa paljastaa liikaa viestinnästä. Esimerkiksi jossakin tiukkaa sensuuria harjoittavassa valtiossa ihminen voi joutua vaikeuksiin, jos hänen havaitaan viestivän ylipäänsä jotakin jonkun tunnetun ulkomaalaisen journalistin kanssa. Sellaisia tilanteita varten on kehitetty TOR:n (The Onion Router) kaltaisia palveluita, joissa viestinnän osapuolten identiteetti häivytetään vaihtamalla säännönmukaisesti viestien välitystietoja niiden kulkiessa välitysverkon läpi.

Käytännön salauksen varmat tärpit

Käytä verkkosivujen versioita, joissa yhteys on salattu.

Kun verkkosivun osoite alkaa merkkijonolla https:// , painotus kirjaimella s , on yhteys salattu verkkoselaimesi ja verkkosivuston välillä.

, painotus kirjaimella , on yhteys salattu verkkoselaimesi ja verkkosivuston välillä. Salauksen käyttö itsessään ei takaa, että verkkosivusto on luotettava, mutta varmistaa sen että sivuston ja päätelaitteesi välillä siirrettävää tietoa eivät ulkopuoliset pysty lukemaan eivätkä muokkaamaan.

Vähintäänkin sisäänkirjautumistiedot (käyttäjätunnus ja salasana) tulisi aina verkkosivustoilla asioidessa välittää salattuina. Kannattaa välttää sellaisten kirjautumista edellyttävien verkkopalveluiden käyttöä, jotka eivät suojaa käyttäjätunnuksesi ja salasanasi lähettämistä.

Esimerkki Extended Validation -varmenteesta, jonka myöntäjä on tarkastanut sivuston haltijan taustatiedot tavallisia varmenteita tarkemmin.

Harkitse tietokoneesi ja kännykkäsi massamuistien salaamista.

Kaikissa moderneissa tietokoneiden käyttöjärjestelmissä ja useimmissa kännyköiden käyttöjärjestelmissä on toiminto koko massamuistin (kiintolevy ja suoraan liitetyt muistilaitteet) salaukseen. Windows-käyttöjärjestelmien Home-versiot eivät tue Bitlocker-salausta, mutta niissä voi käyttää esimerkiksi ilmaista VeraCrypt-ohjelmistoa kiintolevyn salaamiseen.

Massamuistin salausta käytettäessä tietokone purkaa salausta automaattisesti sitä mukaa, kun se lukee tietoja työmuistiin ja vastaavasti salaa tiedot kiintolevylle tallennettaessa.

Jos joku varastaa tietokoneesi tai kännykkäsi silloin, kun se on pois päältä, hän ei pysty lukemaan sen sisältöä. Useiden laitteiden salausta sivullinen ei voi purkaa silloinkaan, kun laite on käynnissä ja käyttöliittymä lukittuna. Varsinkin varkaudelle alttiiden mobiililaitteiden (kännykät, tabletit, kannettavat tietokoneet) salausta kannattaa harkita.

Huomioi mahdolliset tarpeet salata myös varmuuskopiot, ja vastaavasti tietoja palautettaessa varmuuskopioiden salauksen purkamisen onnistuminen.

Muista myös varautua siihen, että unohdat salasanasi tai vastaavan salauksen avaamiseen tarvittavan tunnisteen. Vahvan salauksen purku ei välttämättä onnistu ilman niitä, jolloin saatat menettää tietosi.

Kaikkea ei ole aina pakko salata kerralla, tietokoneessa voi esimerkiksi salata vain yksittäisen muistilaitteen tai levyosion. Niin sanotussa konttisalauksessa muuten salaamattomalle kiintolevylle voidaan luoda tiedosto, joka sisältää salatun tiedostojärjestelmän. Huomioi tällöin kuitenkin, että salatulla osiolla olevia tietoja voi päätyä salaamattomana esimerkiksi väliaikaistiedostoissa muille laitteen osioille.

Käytä salattuja pikaviestisovelluksia.

Monet helppokäyttöiset viestisovellukset salaavat ainakin viestiliikenteen käyttäjän tietokoneen tai kännykän ja palveluntarjoajan palvelimen välillä.

Päästä päähän salattua viestintä on esimerkiksi WhatsAppin uusissa versioissa ja Signal Private Messengerissä.

Salaa sähköpostiviestisi.

Nykyään sähköposti usein välittyy sähköpostipalvelinten välillä salatulla TLS-yhteydellä, mutta tästä ei käyttäjä käytännössä pysty varmistumaan. Useimmiten sähköpostia lähettävä palvelin ei myöskään kryptografisesti varmista viestin päätymistä oikealle palvelimelle. Salaus tapahtuu vain palvelintietokoneiden välisen liikenteen kattaen (ns. liikennesalaus), eli sähköposti makaa palvelinten tietovarannoissa lähtökohtaisesti salaamattomana ja on siten esimerkiksi palvelinten ylläpitäjien luettavissa ja muokattavissa. Näistä syistä on luottamuksellisia ja/tai eheyttä vaativia tietoja sähköpostilla välitettäessä syytä käyttää päästä päähän, siis käyttäjältä käyttäjälle, salattuja/eheyssuojattuja menetelmiä. Näistä yleisimpiä standardeja ovat OpenPGP ja S/MIME.

OpenPGP (Pretty Good Privacy) on avoin standardi mm. sähköpostin ja tiedostojen salaukseen ja allekirjoittamiseen. Standardin toteuttaa esimerkiksi Gnu Privacy Guard (GnuPG) ohjelmisto. Viestien salaaminen/allekirjoittaminen perustuu julkisen avaimen salausalgoritmeihin. Lähettäjä tarvitsee siis viestin/tiedoston vastaanottajan julkisen avaimen viestien salaukseen ja oman salaisen avaimensa viestien allekirjoittamiseen. Vastaavasti vastaanottaja tarvitsee salauksen purkuun oman salaisen avaimensa ja allekirjoituksen tarkistamiseen lähettäjän julkisen avaimen.

Poliisin myöntämät henkilökortit sisältävät Väestörekisterikeskuksen (VRK) myöntämän kansalaisvarmenteen. Henkilökorttia haettaessa on mahdollista ilmoittaa kansalaisvarmenteen tietoihin myös sähköpostiosoite. Korttia voi verkkopalveluihin tunnistautumisen lisäksi käyttää myös sähköpostin salaukseen ja allekirjoittamiseen S/MIME-standardin mukaisesti. Kuten OpenPGP:kin, myös S/MIME perustuu julkisen avaimen salausalgoritmien käyttöön. Myös VRK:n myöntämät organisaatiokortit (mm. valtionhallinnon työntekijät) sisältävät S/MIME-sähköpostikäyttöön soveltuvan varmenteen.

Lisätietoja