Tieliikenneturvallisuus
Salaisen avaimen menetelmä
Salauksessa, joka perustuu
salaiseen avaimeen (Secret Key), samaa avainta käytetään
sekä viestin salaamiseen että salatun viestin avaamiseen. Tätä
kutsutaan myös symmetriseksi salaukseksi. Itse salaus on matemaattinen
algoritmi, jossa avaimena toimii pitkä luku. Avaimen pituus eli luvun
bittien (merkkien) lukumäärä vaikuttaa salauksen vahvuuteen.
Pitkän avaimen murtaminen nykytekniikalla on hidasta. Algoritmit eli
menetelmät ovat julkisia, mutta muutoin niistä ei voi päätellä
käytettyä avainta yhdessä salatun viestin kanssa. Salaisen
avaimen järjestelmässä ongelmana on yhteinen avain, joka
pitää olla kummallakin osapuolella tiedossa. Avaimen joutuessa
vääriin käsiin, myös tiedot eivät ole enää
salassa.
Julkisen avaimen menetelmä
Salaamiseen ja purkamiseen
julkisen avaimen (Public Key) eli asymmetrisessä salauksessa
käytetään eri avaimia. Salausohjelmat luovat julkisen ja
salaisen avaimen erikseen. Julkinen avain annetaan kaikille vastapuolille
ja salainen avain pidetään salassa muilta. Salaus ja purku ovat
monimutkaisia matemaattisia algoritmeja. Lähettäjä ei voi
purkaa viestiä enää sen jälkeen, kun hän on sen
lähettänyt. Vain vastaanottaja voi purkaa viestinsä omalla
salaisella avaimellaan. Siis algoritmi ja julkinen avain eivät paljasta
vastaanottajan salaista avainta. Julkisen avaimen menetelmässä
ei tarvitse toimittaa mitään salassapidettävää
toiselle osapuolelle, vaan se voidaan toimittaa vaikka normaalissa sähköpostissa.
Digitaalinen allekirjoitus
Digitaalinen allekirjoitus
(Digital Signature) on julkisen avaimen menetelmän sovellus, jolla
voidaan varmistaa viestin eheys ja lähettäjän alkuperä.
Alkuperäinen viesti ja saatu allekirjoitus lähetetään
vastaanottajalle salattuna.
Sertifikaatit ja varmentajat
Digitaalinen allekirjoitus
ja julkisen avaimen menetelmä perustuvat julkisen avaimen käyttöön.
Avaimen käyttö varmistaa sen, ettei kukaan ulkopuolinen voi muuttaa
tai lukea viestejä. Lähettäjää ei sen sijaan voida
varmistaa, että hän on juuri hän, joka sanoo olevansa. Sertifikaatti
sitoo käyttäjän ja hänen julkisen avaimensa yhteen.
Sertifikaatin myöntää aina jokin kolmas luotettava osapuoli
(TTP, Trusted Third Party), jota kutsutaan varmentajaksi (CA, Certification
Authority). Sertifikaatin myöntäjä tarkistaa sitä antaessaan
saajan henkilöllisyyden allekirjoittaen sertifikaatin omalla salaisella
avaimellaan. Sertifikaattia ei siten siis voida jälkeenpäin muuttaa.
Kokonaisuus on nimeltään julkisen avaimen infrastruktuuri (Public
Key Infrastructure, PKI).
Varmenneorganisaation
tehtävät
- avainten generointi
- käyttäjien rekisteröinti
- julkisten avainten ja
sertfikaattien julkaiseminen
- sulkulistojen päivitys
Suomessa Luottokunta välittää
verkossa maksamisessa käytettävää SET -sertifikaattia.
Väestörekisterikeskus yhdessä muiden viranomaisten kanssa
on luonut PKI-järjestelmän, jossa yksityinen henkilö saa
julkisen avaimen ja sertifikaatin käyttöönsä hankkimalla
sähköisen henkilökortin.
Key Escrow on toimintamalli,
jossa salainen avain on luovutettu kolmannen osapuolen haltuun esim. poliisille.
Lakiin perustuvin oikeuksin tuomioistuimen päätöksellä
poliisi voi käyttää salaista avainta ja purkaa viestit rikostapauksissa.
IP-osoite
IP-osoite yksilöi jokaisen
internetiin kytketyn laitteen muista verkon laitteista. Jokaisella laitteella
on siis oma 32-bittinen IP-osoite (Ipv4). IP-osoite kirjoitetaan neljänä
desimaalisena kokonaislukuna 0...255 ja luvut erotetaan toisistaan pisteellä
esim. 226.786.54.03.
Koneen IP-osoite voi olla
staattinen tai dynaaminen. Dynaamisen IP-osoitteen toimituksista huolehtii
DHCP-protokolla (Dynamic Host Configuration Protocol).
Porttinumero
TCP- ja UDP-protokollien
yhteydessä käytetään portia tai porttinumeroa. IP-osoite
kertoo mille koneelle lähetys l. paketti on tarkoitettu. Porttinumero
taas kertoo mille palvelulle lähetys ohjataan (www, meili, telnet
jne). IP-osoitetta ja porttinumeroa kutsutaan yhdessä soketiksi (socket).
Linkki:
Tutustu
Tietotekniikan peruskäsitteiden verkko-oppimateriaaliin seuraavan
linkin kautta http://www.internetix.fi
Tietoturvan tekniikoita:
Palomuuri - wirefall
VPN-tekniikka - Virtual
Private Network
SSH www.ssh.com
SSL (Secure Sockets Layer)
Tehtävä:
Hae määritelmät ylläoleville käsitteille. Kerro
myös, milloin tarvitset niitä Internetissä toimiessasi.
Käytä apunasi lähdekirjallisuutta ja Internetiä.
Toteutus:
Yhteistoiminnallinen oppimistehtävä tai ryhmätyö.
Turvallinen sähköposti:
Tavallisessa sähköpostissa
ei käytetä minkäänlaista salausta. Sähköposti
voidaan salata mm. joko S/MIME:llä (Secure/Multipurpose Internet Extensions)
tai PGP:llä (Pretty Good Privacy).
S/MIME www.rsasecurity.com/standards/smime
Outlook 98/2000 sisältää
tuen S/MIME-salaukselle. Lisäksi tarvitaan digitaalinen tunnus, jonka
saa hankkimalla vaikkapa sähköisen henkilökortin. S/MIME
vaatii siis sertifiointiosapuolen.
PGP www.pgpi.com
PGP on S/MIME:n kilpailija.
Se on ilmainen ja sitä voidaan käyttää Outlookissa
samoin kuin S/MIME:a. PGP ei vaadi sertifikointiosapuolta, vaan ohjelman
asennuksen yhteydessä luodaan avaimet. Avainten hallinta perustuu
paikallisiin avainrenkaisiin, itse voi valita julkisen avaimen toimittajan.
Ammattimainen tai kaupallinen tiedonsiirto vaatii kuitenkin varmentajan.
Outlook salaa viestin sitä lähetettäessä vastaanottajan
julkisella avaimella. Salaaminen ei onnistu ellet tiedä vastaanottajan
julkista avainta. Saadessasi omalla julkisella avaimella salattua postia,
viestin saat selväkieliseksi salasanallasi.
Virukset:
Tietoturvan tärkeä
osa ovat virukset. Ne ovat tietokoneohjelmia, jotka on ohjelmoitu leviämään
tietokonesta toiseen. Ensimmäinen tietokonevirus Brain havaittiin
jo vuonna 1986, jolloin pakistanilaiset veljekset Basit ja Amjad Alvi laativat
sen ikuistamalla myös nimensä viruksen ohjelmakoodiin. Nämä
esihistorialliset DOS-virukset jaettiin lohkoviruksiin ja ohjelmaviruksiin,
joista lohkovirukset levisivät levykkeiden välityksellä.
Ensimmäinen virus Brain oli myös lohkovirus. Windows -käyttöjärjestelmän
tulo ajoi DOS-virukset vähitellen sukupuuttoon 1990-luvun puolivälin
tienoilla. Windows -sovellusohjelmien myötä alkoivat ilmestyä
kuitenkin makrovirukset, jotka levisivät tiedostojen välityksellä.
Makroviruksia tehtailtiin sovelluksen makrokieltä käyttäen.
Tietoliikenneyhteyksien käytön lisääntyessä yritysten
välillä, myös makrovirukset muodostivat riesan 1990-luvun
loppupuolella.
Melissa -niminen virus oli
ensimmäinen sähköpostivirus. Se sai alkunsa 1999 alt.sex
-keskusteluryhmään lähetetystä viestistä, joka
sisälsi Word-dokumentin sisältämän Melissa -viruksen.
Virus toimi Outlook 97/98 sähköpostiohjelmassa ja Word 97/2000
tekstinkäsittelyohjelmassa.Kun lukija avasi viestin, lähetti
Melissa itsensä tiedostoliitteenä 50 ensimmäiseen sähköpostin
osoitekirjasta löytyneeseen osoitteeseen. Tiedostoliitteenä se
lähetti eteenpäin käyttäjällä paraillaan
auki olevan tiedoston. Sähköpostin käytön yleistyminen
on tuonut tullessaan yhä vaikeammin torjuttavia liitetiedostojen kautta
tai viestistä leviäviä viruksia.
Mato
Mato leviää itsekseen
kirjoittamalla kopion itsestään paikkaan, josta se pääsee
suoraan ajettavaksi. Mato saattaa myös kopioitua järjestelmän
sisällä. Mato ei yleensä tuhoa tiedostoja, vaan kuormittaa
vain tietokoneen levy- ja muistitilaa sekä kuormittaa tietoliikenneyhteyttä.
Varsinainen virus tarvitsee isännän kuten levykkeen tai tiedoston,
mutta mato eroaa viruksesta leviämällä kopioimalla itseään.
Ensimmäinen mato oli vuonna 1988 Robert Tappan Morrisin kirjoittama
Morris-mato.
Troijalaiset eli takaoviohjelmat
Troijalaiset eivät levitä
itseään kuten virukset ja madot, vaan ne naamioivat todellisen
luonteensa ja antavat käyttäjän levittää itseään.
Sähköpostilla tai lähiverkosta lähetetty ohjelma saattaa
esittää esim joulutervehdyksen ja samalla jättää
jälkeensä jonkin vakoilu- taikka takaoviohjelman. Takaovi
tarkoittaa porttia, jonka alkuperäinen tekijä piilottaa ohjelmaansa.
Myöhemmin hän sitten voi ottaa ohjelmansa käyttäjän
eli uhrinsa tietokoneen jopa lähes täysin haltuunsa.
Virusten torjunta
Tehokkain tapa suojautua
viruksilta on virustorjuntaohjelmien käyttö. Virustorjunta voi
sijaita palomuurissa, postipalvelimessa tai omassa työasemassa. Palomuurin
virussuoja tarkistaa saapuvan liikenteen kuten ohjelmat ja java-appletit.
Tiedostojen pakkaus vaikeuttaa kuitenkin palomuurissa olevaa viruksentorjuntaa.
Sähköpostipalvelimessa ajettu virustarkistus on varma tapa suojautua
viruksilta, salattua sähköpostia virustorjunta ei kuitenkaan
pysty tarkistamaan. Työasemalla toimiva virusohjelma tutkii tiedostoliitteet
ennen käyttäjän ehdittyä niitä avaamaan, torjunta
kohdistuu myös purettuihin salattuihin viesteihin. Virustorjuntaohjelmat
on päivitettävä
aina tuoreimpaan, vaikka
nekään eivät pysty torjumaan aina uusinta virustulokasta.
Linkkejä:
http://www.f-secure.fi
http://www.virusbtn.com
http://www.uta.fi/laitokset/virus/index-sf.html
http://www.hackfix.org
http://www.vmyths.com
Päivitetty:
29.10.2003 Helena Tirronen, helena.tirronen@tamk.fi
| 
