Maailma muuttuu koko ajan entistä digitaalisemmaksi, minkä myötä tietoturvan merkitys on tärkeämpi kuin koskaan ennen. Siksi myös salaus ja sen käyttö kybersuojauksessa ovat yleistyneet.
Salauksella tarkoitetaan viestinnän suojaamista erilaisilla tekniikoilla. Salaukseen läheisesti liittyvä käsite on kryptaus eli selväkielisen tekstin muuttaminen salakirjoitukseksi – ja takaisin selväkieliseksi määränpäässään. Vuosisatojen kuluessa erilaisia salausjärjestelmiä ovat kehitelleet ja käyttäneet monet historiasta tutut henkilöt, kuten kreikkalainen historijoitsija Polybios, ranskalaisdiplomaatti Blaise de Vigenère, Rooman keisari Julius Caesar – jota pidetään yhtenä ensimmäisistä modernin salakielen käyttäjistä – sekä koodinmurtajakone Enigman toisessa maailmansodassa kehittänyt Arthur Scherbius. Kukaan ei heistä ei kuitenkaan todennäköisesti tunnistaisi nykyisiä 2000-luvun salakieliä. Mutta mitä salauksella oikeastaan tarkoitetaan? Ja miten se toimii?
Salauksen määritelmä
Salauksella tarkoitetaan tekniikkaa, jolla peitetään tai koodataan tietoja niin, että vain luvalliset henkilöt – joilla on salauksen purkamiskoodi – voivat lukea niitä. Salauksesta käytetään myös nimitystä kryptografia, joka on peräisin kreikankielisistä sanoista ”kryptós” (piilotettu) ja ”graphein” (kirjoittaa). Kirjaimellisesti se tarkoittaa siis piiloitettua kirjoittamista. Nykyisessä käyttöyhteydessä salauksella tarkoitetaan kuitenkin lähinnä tiedonsiirron suojaamista.
Salauksen historia juontaa takaisin muinaiseen Egyptiin ja sen luovaan hieroglyfien käyttöön. Vuosituhansien kuluessa salaustekniikat ovat kehittyneet tästä suurin harppauksin, ja modernissa salauksessa käytetään kehittyneitä tietokoneteknologoita, tekniikoita ja matemaattisia ratkaisuja – monien muiden oppien lisäksi. Näin on saatu luotua erittäin kehittyneitä ja turvallisia algoritmeja ja salakieliä, jotka sopivat luottamuksellisten tietojen suojaamiseen modernissa digitaalisessa maailmassa.
Näitä salaustekniikoita käyttämällä on voitu luoda esimerkiksi erilaisia salausprotokollia, joita käytetään säännöllisesti tietojen suojaamiseen. Niitä ovat esimerkiksi 128- ja 256-bittinen salaus sekä SSL- ja TLS-salausprotokollat. Näitä salausprotokollia käytetään kaikenlaisen digitaalisen tiedon ja datan suojaamiseen salasanoista ja sähköpostiviesteistä verkkokauppa- ja verkkopankkitapahtumiin.
On olemassa on monia erilaisia ja erilaisiin tarkoituksiin soveltuvia salausmalleja. Esimerkki kaikkein yksinkertaisimmasta salauksesta on symmetrisiin avaimiin perustuva salaus. Siinä tiedot salataan salausvainta käyttämällä, minkä jälkeen salattu viesti ja käytetty salausavain lähetetään vastaanottajalle purettavaksi. Tähän liittyvä ongelma on luonnollisesti se, että jos joku saa viestin kaapattua, hän voi helposti purkaa salauksen salausavaimella ja varastaa viestin tiedot.
Tämän takia salaustekniikoiden kehittäjät ovat luoneet epäsymmetrisen salausmallin, jota kutsutaan julkisen avaimen järjestelmäksi. Sitä käytettäessä kaikilla käyttäjillä on kaksi salausavainta: julkinen ja yksityinen. Kun lähettäjä haluaa luoda salatun viestin, hän pyytää viestin vastaanottajalta tämän julkista avainta viestin salaamista varten. Tällä tavalla salatun viestin voi purkaa vain vastaanottajan yksityisellä salausavaimella. Tämä varmistaa, että viestin kaappaajat eivät pysty purkamaan sen salausta.
Miksi salaus on tärkeää?
Salaus on välttämätön työkalu kybersuojauksessa. Sen avulla tietojen ja käyttäjien tietoturvaa saadaan vahvistettua suojauksen lisätasolla, joka varmistaa yksityisyyden ja luottamuksellisuuden ja auttaa pitämään tiedot turvassa kyberrikollisilta. Käytännössä salauksen käyttämiselle on monia perusteita:
- Luottamuksellisuus: tiedot on kyettävä pitämään vain tarkoitetun vastaanottajan käytettävissä ja luettavissa, jotta keskustelut ja data pysyvät yksityisinä.
- Tietojen koskemattomuus: salaustekniikat – kuten digitaaliset allekirjoitukset – varmistavat, ettei suojattuja tietoja voida muokata tai peukaloida mitenkään matkalla lähettäjältä vastaanottajalle ilman, että siitä jää jäljitettävissä olevia merkkejä.
- Todentaminen: salaus auttaa vahvistamaan identiteetit ja vastaanottajat (tai lähettäjät).
- Todistettavuus: lähettäjät eivät voi myöhemmin sanoutua irti viesteistä, jotka he ovat lähettäneet, koska digitaalisten allekirjoitusten ja sähköpostin seurannan kaltaiset salaussovellukset mahdollistavat viestipolun seuraamisen.
Salauksen käyttökohteet kybersuojauksessa
Kiinnostus salausta kohtaa alkoi kasvaa tietokoneiden kehittämisen myötä ja etenkin, kun niitä alettiin yhdistää toisiinsa avoimen verkon välityksellä. Ajan myötä kävi selväksi, että tiedot oli kyettävä suojaamaan kappaamiselta ja manipuloinnilta, kun niitä välitettiin tämän verkon kautta. IBM oli pioneeri tällä alalla. Se julkaisi jo 1960-luvulla Lucifer-salauksensa, josta kehittyi ensimmäinen DES-salausstandardi.
Elämämme digitalisoituu koko ajan enemmän, joten tarve salata massiivisia määriä luottamuksellisia tietoja on kasvanut valtavan suureksi. Nykyään salaus on välttämätön osa monia verkkoelämämme osa-alueita. Esimerkiksi luottamuksellisten tietojen välittäminen verkon kautta ei olisi mahdollista nykyisessä laajuudessaan ilman salausta. Salausta käytetään esimerkiksi seuraavissa yhteyksissä:
- VPN-yhteyksien eli virtuaalisen yksityisten verkkojen tai SSL:n kaltaistan protokollien käyttäminen Internetin turvalliseen ja suojattuun selaamiseen.
- Sellaisten rajoitettujen käytönvalvontamenetelmien luominen, jotka varmistavat, että vain oikeat käyttöoikeudet omaavat henkilöt voivat tehdä määrättyjä toimia tai käyttää määrättyjä kohteita.
- Erilaisen verkkoviestinnän suojaaminen. Esimerkiksi sähköpostit, käyttötietojen välittäminen ja jopa tekstiviestit sekä WhatsApp-tai Signal-viestit voidaan suojata päästä-päähän-salauksella.
- Käyttäjäien suojaaminen erilaisilta kyberhyökkäyksiltä, kuten väliintulohyökkäyksiltä.
- Yritysten lainsäädäntöön, kuten yleiseen tietosuoja-asetukseen (GDPR), perustuvien velvoitteiden täyttäminen.
- Käyttötietojen ja erityisesti salasanojen luominen ja vahvistaminen.
- Kryptovaluuttojen suojattu hallinta ja siirtäminen.
- Digitaalisten allekirjoitusten käyttäminen asiakirjojen ja sopimusten allekirjoittamiseen verkossa.
- Identeetin vahvistaminen verkkotileille kirjauduttaessa.
Millaisia erilaisia salausmalleja on olemassa?
Salauksen käsitteen alle mahtuu ymmärrettävästi todella paljon erilaisia tekniikoita. Se johtuu siitä, että kyseinen termi kattaa lukuisia erilaisia prosesseja. Siksi olemassa monia erityyppisiä salausalgoritmeja, joiden tarjoaman suojauksen taso vaihtelee välitettävien tietojen luonteen mukaan. Kolme tärkeintä salausmallia ovat seuraavat:
- Symmetrisiin avaimiin perustuva salaustekniikka: Tämä yksinkertainen salaustekniikka perustuu siihen, että sekä lähettäjällä että vastaanottajalla on sama salausavain, jolla tietojen salaaminen ja salauksen purkaminen tehdään. DES (Data Encryption Standard)- ja AES (Advanced Encryption Standard) -salausstandardit ovat esimerkkejä tästä tekniikasta. Tähän salausmalliin liittyvä suurin haaste on, miten avain saadaan jaettua turvallisesti lähettäjän ja vastaanottajan välillä.
- Asymmetrisiin avaimiin perustuva salaus: Tämä edellistä turvallisempi salaustekniikka perustuu siihen, että sekä vastaanottajalla että lähettäjällä on hallussaan kaksi salausavainta: julkinen ja yksityinen avain. Lähettäjä salaa viestinsä vastaanottajan julkista avainta käyttämällä. Salauksen luottamuksellisuus perustuu siihen, että näin salatun viestin salauksen voi purkaa vain vastaanottajan yksityisellä avaimella. Yksityinen ja julkinen avain ovat erilaiset, ja koska salaukseen käytettyä julkista avainta vastaava yksityinen avain on vain vastaanottajalla, hän on ainoa, joka voi lukea salatut tiedot. RSA-algoritmi on suosituin asymmetrisen salaustekniikan muoto.
- Hajautusfunktiot: Tämän tyyppiset salausalgoritmit eivät käytä minkäänlaisia salausavaimia. Sen sijaan salaaminen tapahtuu käyttämällä hajautusarvoa. Se on kiinteäpituinen numerosarja, joka luodaan salattavan selkokielisen tekstin pituuden perusteella. Tätä menetelmää käytetään yleisesti eri käyttöjärjestelmissä esimerkiksi salasanojen suojaamiseen.
On selvää, että symmetrisen ja asymmetrisen salauksen suurin ero on se, että edellisessä käytetään vain yhtä salausavainta ja jälkimmäisessä kahta.
Erilaiset symmetriset salausmallit
Symmetristä salausta voidaan kutsua myös salausavainkoodaukseksi, koska siinä käytetään vain yhtä – oletettavasti luottamuksellista – avainta salaamiseen ja salauksen purkamiseen. Tämän tyypin salaus jaetaan yleensä seuraaviin menetelmiin:
- Jonosalaajat: Nämä salausmenetelmät salaavat tietojonon tavu kerrallaan ja muuttavat salausavainta säännöllisesti. Prosessin avainjono voi olla tahdistettu viestin tietojonoon tai siitä riippumaton. Edellistä kutsutaan itsestään synkronoituvaksi tahdistukseksi ja jälkimmäistä synkronoiduksi tahdistukseksi.
- Lohkosalaajat: Nämä salausmenetelmät, joihin esimerkiksi Feistel-salaus kuuluu, salaavat ja purkavat tietoja lohkon kerrallaan.
Asymmetrisen avainsalauksen muotoja
Asymmetrinen salaus tai julkisen avaimen salaus perustuu siihen, että salatun viestin vastaanottajalla on kaksi salausavainta: julkinen ja yksityinen. Lähettäjä käyttää vastaanottajan julkista avainta tietojen salaamiseen ja vastaanottaja purkaa salauksen käyttämällä yksityistä avaintaan, joka on vain hänen hallussaan.
Asymmetrisessä avainsalauksessa viestit salataan ja puretaan algoritmeja käyttämällä. Ne puolestaan perustuvat erilaisiin matemaattisiin toimintoihin, kuten kertomiseen, tekijöihin jakamiseen – yhden niin massiivisen satunnaisluvun luomiseen kertomalla kaksi isoa alkulukua keskenään, että sen murtaminen on uskomattoman vaikeaa – tai potenssiin korottamiseen ja logaritmeihin. Algoritmien avulla voidaan luoda poikkeuksellisen monimutkaisia numerosarjoja, joita on lähes mahdotonta purkaa. Esimerkiksi 256-bittinen salaus perustuu tällaiseen algoritmiin. Myös asymmetrisia avainalgoritmeja on erityyppisiä, kuten esimerkiksi seuraavat:
- RSA: Ensimmäinen koskaan luotu asymmetrinen salausalgoritmi. Esimerkiksi digitaaliset allekirjoitukset ja avainten vaihtaminen perustuvat RSA-algoritmiin. Tämä algoritmi perustuu tekijöihin jakamiseen.
- Elliptisten käyrien salaus (ECC): Usein älypuhelimien ja kryptovaluuttojen yhteydessä käytetty ECC-selaus muodostaa monimutkaisia algoritmeja elliptisiin käyriin perustuvilla laskutoimituksilla. Sen merkittävä etu on, että se vaatii vain vähän muistia tai kaistanleveyttä, joten se on erityisen hyödyllinen rajoitetun laskentatehon elektronisissa laitteissa.
- Digitaalinen allekirjoitusalgoritmi (DSA): Modulaarisiin eksponenttiin korotuksiin perustuva DSA on sähköisten allekirjoitusten vahvistamiseen käytettävä standardialgoritmi. Se on Yhdysvaltain standardisointi- ja teknologiainstituutin (NITS) kehittämä.
- Identiteettiin perustuva salaus (IBE): Tätä ainutlaatuista algoritmia käytettäessä viestin vastaanottajan ei tarvitse toimittaa julkista avaintaan lähettäjälle. Sen sijaan lähettäjä muodostaa viestin salaamiseen käytettävän julkisen avaimen vastaanottajan tunnetun yksilöllisen tunnisteen, kuten sähköpostiosoitteen, perusteella. Luotettava kolmantena osapuolena toimiva palvelin luo sitten vastaavan yksityisen avaimen, jota vain vastaanottaja voi käyttää salauksen purkamiseen.
Salaushyökkäykset
Useimpien muiden teknologioiden tapaan salaustekniikat ovat kehittyneet koko ajan hienostuneemmiksi. Se ei kuitenkaan tarkoita sitä, etteikö moderneja salauksia voitaisi murtaa. Jos salausavaimet paljastuvat, ulkoisen tahon on helppo murtaa salaus ja päästä lukemaan suojattuja tietoja. Siksi on tärkeää varoa seuraavia ongelmatilanteita:
- Heikot avaimet: Salausavaimet ovat joukko satunnaislukuja, joiden perusteella salausalgoritmi muuntaa ja peittää tiedot muille lukukelvottomaan muotoon. Mitä pidempi salausavain on, sitä enemmän siinä on numeroita ja sitä vaikeampi sitä on murtaa. Ja siksi se on myös tehokkaampi tietojen suojaamisessa.
- Avainten virheellinen käyttö: Salausvaimet toimivat vain, jos niitä käytetään oikein. Jos niin ei tehdä, hakkerit voivat helposti murtaa ne ja käyttää niiden avulla tietoja, joita niiden on määrä suojata.
- Avainten uudelleenkäyttö eri tarkoituksiin: Salasanojen tapaan kunkin salausavaimen tulisi olla yksilöllinen. Saman salausavaimen käyttäminen eri järjestelmissä heikentää salauksen suojaustehokkuutta.
- Avainten jättäminen vaihtamatta: Salausavaimet voivat vanhentua nopeasti. Sen takia ne on tärkeää päivittää säännöllisesti, jotta tiedot pysyvät suojassa.
- Avainten turvaton säilyttäminen: Varmista, että salausavaimia säilytetään aina turvallisesti paikassa, josta niitä ei löydä helposti. Muutoin ne voidaan varastaa, mikä asettaa kaikki niiden suojaamat tiedot vaaraan.
- Sisäpiirihyökkäykset: Salausavaimet voivat paljastua myös niiden käyttöön oikeutettujen henkilöiden toiminnan seurauksena. Esimerkiksi tyytymätön työntekijä voi päätyä myymään yrityksen salausavaimen rikolliselle toimijalle.
- Varmuuskopioinnin unohtaminen: Salausavaimet pitää varmuuskopioida. Muutoin salausavaimella suojatut tiedot voivat muuttua käyttökelvottomiksi, jos salausavain vikaantuu.
- Avainten kirjaaminen muistiin virheellisesti: Salausavaimen kirjoittaminen muistiin laskentataulukkoon tai paperille saattaa vaikuttaa loogiselta ratkaisulta. Siihen liittyy kuitenkin sekä väärinkirjoittamisen että varkauden riski.
Olemassa on myös erityisiä salaushyökkäyksiä, jotka on suunniteltu murtamaan salauksia etsimällä oikea salausvainta. Seuraavassa on joitakin yleisimpiä hyökkäystapoja:
- Väsytyshyökkäys: raakaan laskentatehoon perustuva hyökkäys, joissa yksityisiä avaimia yritetään arvata satunnaisesti tunnettua algoritmia käyttämällä.
- Vain salakieli -näytehyökkäys (COA): hyökkääjä saa haltuunsa salattuja viestejä ja yrittää niitä analysoimalla selvittää salauksen purkuavaimen.
- Salakieli-selväkieli-parien tuottohyökkäys (CCA): COA-hyökkäyksen vastakohta. Hyökkääjä saa haltuunsa selkokielisen tekstin ja yrittää selvittää salauksen purkuavaimen analysoimalla salakielistä osaa ja sitä vastaavaa selkokielistä osaa.
- Selväkieli-salakieli-parien tuottohyökkäys (CPA): hyökkääjä pyrkii selvittämään salausvaimen tuottamalla salakielistä tekstiä selkokielisestä tekstistä.
- Selväkieli-salakieli-näyteparihyökkäys (KPA): Hyökkääjällä on käytettävissä selvä- ja salakielisiä näytepareja, joiden avulla hän voi alkaa selvittää salausavainta. Tämä menetelmä ei ole kovin tehokas moderneja salaustekniikoita vastaan, sillä se soveltuu parhaiten yksinkertaisten salausten murtamiseen.
- Algoritmihyökkäys: kyberrikollinen pyrkii selvittämään salausavaimen algoritmia analysoimalla.
Salaushyökkäysten uhan ehkäiseminen
Yksityishenkilöt ja organisaatiot voivat pyrkiä pienentämään salaushyökkäyksen uhriksi joutumisen riskiä muutamin eri tavoin. Käytännössä ne kaikki liittyvät asianmukaiseen salausavainten hallinnoimiseen, jotta ulkopuoliset tahot eivät pääse kappaamaan niitä tai eivät pysty hyödyntämään niitä, vaikka saisivatkin ne haltuunsa. Tässä on muutamia ehdotuksia:
- Käytä eri avaimia eri käyttötarkoituksiin. Käytä esimerkiksi todentamiseen ja digitaalisiin allekirjoituksiin eri salausavaimia.
- Suojaa salausavaimet vahvoilla avainten salausavaimilla (KEK).
- Käytä laitepohjaisia suojausmoduuleja avainten hallinnointiin ja suojaamiseen. Ne toimivat vastaavasti kuin tavalliset salasanojen hallintaohjelmat.
- Varmista, että avaimet ja algoritmit päivitetään säännöllisesti.
- Salaa kaikki luottamukselliset tiedot.
- Luo vahat ja ainutlaatuiset salausavaimet jokaista eri salaustarkoitusta varten.
- Talleta avaimet turvallisesti niin, etteivät ulkopuoliset pääse niihin käsiksi.
- Varmista, että salausjärjestelmä on toteutettu oikealla tavalla.
- Käsittele salaukseen liittyvät seikat työntekijöiden tietosuojakoulutuksissa.
Salauksen tarve
Useimmille ihmisille perustiedot salauksesta ovat täysin riittävät. Mutta tarkemmat tiedot salaukseen liittyvistä määritteistä, salausprosessin toiminnasta ja salauksen käyttökohteista kybersuojauksessa voivat auttaa parantamaan huolellisuutta päivittäisessä digitaalisessa vuorovaikutuksessa. Syvällisempi perehtyminen salaukseen auttaa ymmärtämään, miten sähköpostit, salasanat, verkko-ostokset ja verkkopankin käytön saa pidettyä parhaiten turvattuna, sillä kaikkien niiden suojausominaisuuksissa käytetään salausta.
Hanki Kaspersky Premium + 1 VUODEN MAKSUTON Kaspersky Safe Kids. Kaspersky Premium sai viisi AV-TEST-palkintoa parhaasta suojauksesta, parhaasta suorituskyvystä, nopeimmasta VPN:stä, hyväksytyistä lapsilukoista Windowsissa ja parhaista lapsilukoista Androidissa.
Aiheeseen liittyviä artikkeleita ja linkkejä:
Päätepisteiden havaitseminen ja reagoinnin ymmärtäminen
Aiheeseen liittyvät tuotteet ja palvelut: