TKK | Tietoverkkolaboratorio | Opetus

S-38.118 Teletekniikan perusteet

Harjoitustyö syksy 2000 - Tietoturvallisuus

Sisältö

Aloitus

Vakoilu tietoyhteiskunnassa

Televakoilu

Suojautuminen vakoilulta

Salauspolitiikka suomessa

Echelon

Linkit

Tekijät

Miten vakoilulta voi pyrkiä suojautumaan?


Sähköposti

Käytännössä suurin turvallisuusriski sähköpostin osalta ei varsinaisesti liity sähköpostin välittämiseen vaan siihen, että joku pääsee lukemaan omassa hakemistossa olevia tiedostoja. Joku "hakkeri" on siis tunkeutunut tietokoneeseen ja tavalla tai toisella saanut mahdollisuuden tietojen etsimiseen kotihakemistosta yleensä ja samalla postikansioista. Sähköpostin turvallisuuden kannalta yleisimmät ongelmat ovat
  • kirjeen lähettäminen väärään osoitteeseen vahingossa
  • joku lähettää kirjeen väärällä nimellä
  • joku lukee kirjeen matkalla
Ongelmat ovat samantapaisia kuin tavallisessa kirjepostissa, puhelimessa tai faxin käytössä. Väärään osoitteeseen, siis väärään puhelinnumeroon lähettäminen ei ole kovinkaan harvinaista faxia käytettäessä. Kun yritys lähettää esimerkiksi tarjouksen väärälle asiakkaalle, se on usein vähintäänkin kiusallista. Fax on myös avoin: toimiston yhteiselle faxille lähetetty viesti lojuu usein ainakin työtoverien nähtävänä. Sähköposti on melkein yhtä avoin. Vaikka lähetetty viesti on henkilökohtainen, väärään osoitteeseen joutuessaan se kuitenkin todennäköisimmin avataan ja luetaan, toisin kuin perinteinen kirje. Se, että lähetetty sähköposti kaapattaisiin ja luettaisiin matkan varrella ennen määränpäähänsä saapumista, on erittäin epätodennäköistä.

Juridisesti toisten sähköpostien lukeminen ilman lupaa on rangaistava teko siinä, missä puhelinliikenteen salakuuntelu tai jollekin toiselle henkilölle osoitetun tavallisen kirjeen avaaminen.

Vakoilulta voi helpoimmin yrittää suojautua käyttämällä erilaisia salausohjelmia sähköpostinsa koskemattomuuden turvaamiseksi.

Internet

Internetissä on periaatteessa kaksi tapaa toteuttaa viestin salaus
  • PEM, Privacy Enhanced Mail
  • PGP, Pretty Good Privacy
Ensiksimainittu on Internet-standardi. Se on määritelty RFC:ssä 1421-1424. Sen toteuttavia ohjelmistoja on olemassa, mutta niiden käyttö on todellisuudessa hyvin vähäistä. PEM käyttää julkisen avaimen menetelmää RSA, mutta itse viesti on salattu DES:llä. Koska DES on tehokkailla tietokoneilla murrettavissa, PEM ei ole luotettava menetelmä, mikäli joku vakavissaan haluaa sen murtaa. PGP on yksittäinen ohjelma, joka suorittaa tarvittavat toimenpiteet. Se on ohjelma, joka on alunperin tehty suojaamaan tiedostoja yleensä eikä erityisesti sähköpostia. Sen vuoksi sen käyttö on melko kömpelöä useimpien postiohjelmien kanssa. PGP on kuitenkin ylivoimaisesti eniten käytetty menetelmä sähköpostin suojaamiseen. Sen, joka haluaa lähettää kirjeensä suljettuina eikä postikorteilla, on tämän päivän Internetissä on syytä käyttää PGP-ohjelmaa. PGP:n käyttämiä algoritmeja pidetään nykytietämyksen valossa luotettavina.

Salausjärjestelmät

Yleisesti ottaen salausjärjestelmiä on kahtaeri tyyppiä: symmetrisiä ja epäsymmetrisiä. Symmetrisissä järjestelmissä käytetään samaa avainta salaukseen ja salauksen purkuun. Ongelmana tässä menetelmässäon se, että avain on pidettävä salassa. Tästä johtuen avaimesta sopiminen salatun tiedon lähettäjän ja vastaanottajan kesken on vaikeaa. Ulkopuolisen saadessa avaimen haltuunsa menettää salaus merkityksensä. Symmetriset järjestelmät soveltuvatkin parhaiten esimerkiksi omien tiedostojen salaamiseen.

Epäsymmetrisissä järjestelmissä käytetään eri avainta salaukseen ja purkuun. Joissain näistä järjestelmistä (esim. RSA ja ElGamal) ainakin toinen avaimista on sellainen, että siitä ei ole kohtuuden rajoissa mahdollista selvittää toista avainta. Näin ollen toista avainta voidaan pitää julkisena ja levittää mahdollisimman laajalle, ja toinen avain puolestaan pidetään omana tietona.

Julkisen avaimen järjestelmissä salaus tehdään viestin vastaanottajan julkisella avaimella ja vastaanottaja purkaa viestin omalla salaisella avaimellaan.

Esimerkiksi RSA:ssa avaimet ovat samanarvoisia: kummalla tahansa voi salata ja vastaavasti toisella avaimella purkaa salaus. Tämä mahdollistaa ns. digitaalisen allekirjoituksen, joka toimii esimerkiksi näin: Viestin lähettäjä laskee viestistään jollain menetelmällä tarkistussumman ja salaa tämän salaisella avaimellaan. Tällöin kuka tahansa voi tarkistaa viestin oikeellisuuden purkamalla tarkistussumman lähettäjän julkisella avaimella ja vertaamalla sitä viestistä itse laskettuun tarkistussummaan.

Julkisen avaimen järjestelmät ovat tyypillisesti huomattavasti hitaampia kuin symmetriset järjestelmät. Tästä syystä julkisen avaimen järjestelmiä käytetään ns. hybridijärjestelmien osana. Esimerkiksi PGP toimii siten, että itse salaus tehdään symmetrisellä IDEA-algoritmilla. IDEA-salaukseen käytettävä avain luodaan joka kerta erikseen. Tämä avain puolestaan salataan RSA:lla ja liitetään viestin mukaan.

Vakoilulta suojautuminen käytännössä

Jos haluaa olla 100% varma siitä, ettei missään muodossa joudu vakoilun uhriksi, on parasta sulkea kännykkä ja vetää tietokoneen pistoke irti seinästä. Käytännössä kuitenkin riittää pitkälle, että on huolellinen salasanojen käytössä ja ei luovuta tarpeettomasti henkilötietojaan joka ikiselle palvelun tarjoajalle verkossa. Tietoturvallisuuden kannalta on yleensäkin paras tapa käyttää tunnuksia otettaessa yhteyksiä Internettiin. Yhdyskäytäväpalvelut on hyvä toteuttaa joko palveluntarjoajan valvoman ja ylläpitämän palomuuri- ratkaisun tai itse ylläpidetyn ratkaisun avulla.

Yrityksissä voidaan lisäksi vähentää verkon kautta tulevia tietoturvauhkia konfiguroimalla mm. reitittimiin estoja, joilla rajoitetaan liikenne sisäänpäin vain tietyistä IP -numeroista.



Lähteet:
Markus Sadeniemi & Niko Mäkilä: Sähköposti - Kirje vai postikortti
Markus Hanhisalo: Tietoturva Suomessa
Tämä sivu on tehty Teletekniikan perusteet -kurssin harjoitustyönä.
Sivua on viimeksi päivitetty 08.12.2000 09:49
URL: http://www.netlab.tkk.fi/opetus/s38118/s00/tyot/60/suojautuminen.shtml