80 likes | 286 Views
Salaus ja tietoturva. Salauksiin ja niiden purkamiseen erikoistunut tieteenala on nimeltään kryptologia (cryptology). Salakirjoituksen käyttämistä kutsutaan kryptografiaksi (cryptography) ja salausten murtamista kryptoanalyysiksi (cryptanalysis).
E N D
Salaus ja tietoturva • Salauksiin ja niiden purkamiseen erikoistunut tieteenala on nimeltään kryptologia (cryptology). • Salakirjoituksen käyttämistä kutsutaan kryptografiaksi (cryptography) ja salausten murtamista kryptoanalyysiksi (cryptanalysis). • Salaus ja tietoturva rinnastetaan usein toisiinsa – näin ei kuitenkaan asia ole. • Tietoturvan tavoitteena on turvata tietojenkäsittelyn toimivuus erilaisia uhkia vastaan, sekä suojata tietoja oikeudettomilta muutoksilta. Timo Mynttinen
Osa tietoja kohtaavista uhkista on teknisiä, suurin osa aiheutuu kuitenkin ihmisen omasta tahattomasta tai tarkoituksellisesta toiminnasta. • Tietoturvalla pyritään toteuttamaan kuusi yleistä periaatetta: 1. Luottamuksellisuus (confidentiality): tietoon on pääsy vain siihen oikeutetuilla henkilöillä. Luottamuksellisuuden turvaamisessa salausmenetelmillä on keskeinen rooli sekä tiedon säilytyksen että siirron ajan. Timo Mynttinen
2. Eheys (integrity): tiedot on suojattu oikeudettomilta muutoksilta. Salaustekniikoiden vaikutus eheyteen on rajallinen. Anti eheydelle on muutosten havaitsemisessa, esim. tiedosta laskettavat tiivisteet paljastavat muutokset ja salaus varmistaa, että itse tiivisteet pysyvät turvassa. 3. Saatavuus (availability): saatavuuteen vaikuttavat lähinnä varmuuskopiot, turvattu sähkönsyöttö, kahdennetut levyasemat ja luotettavat verkkoyhteydet. Saatavuus on ainoa tietoturvaperiaate, johon salauksella ei ole mitään annettavaa. Timo Mynttinen
4. Pääsynvalvonta (access control): varmistaa, että kun käyttäjä tai ohjelma on tunnistettu, sillä on pääsy vain ennalta määrättyihin tietoihin. Salausta voidaan käyttää apuna pääsynvalvonnan turvaamisessa, vaikka oikeuksien tarkistus ja valvonta on itsessään käyttöjärjestelmän ja sovelluksen tehtävä. Timo Mynttinen
5. Kiistämättömyys (non-repudiation): tietojärjestelmässä tehdyt toimenpiteet ovat myöhemmin tutkittavissa, ja niistä kertovat merkinnät on tehty riittävän luotettavalla tavalla. Kiistämättömyydellä on kaksi tasoa: tekninen ja käytännöllinen. Salaustekniikoilla voidaan luoda järjestelmä, jossa allekirjoitusta on teknisesti mahdotonta väärentää. • Ihminen voi silti väittää, että vaikka allekirjoitus on oikea, ei se silti ole hänen tekemänsä… Timo Mynttinen
6. Todennus (authentication): eri osapuolten henkilöllisyys (jos kyse on ihmisistä) tai aitous (jos kyse on tietokoneista ja ohjelmista) varmennetaan. Todennus on kriittisin ja vaikein osa-alue. Luottamuksellisuuden pettäessä ulkopuolinen henkilö saa haltuunsa hänelle kuulumatonta tietoa. Mutta jos todennus pettää, sama henkilö pääsee lukemisen ohella itse tuottamaan ja muokkaamaan tätä tietoa, mikä on paljon vakavampi tilanne. Timo Mynttinen
Todennus voi pohjautua kolmeen eri tekijään: johonkin, mitä henkilöllä on hallussaan (esim. henkilökortti), johonkin, mitä henkilö tietää (esim. salasana) tai johonkin henkilön yksilölliseen ominaisuuteen (esim. sormenjälki, verkkokalvo). • Mikään yksittäinen kolmesta perustekniikasta ei pysty vahvaan todennukseen, ja niinpä käytännössä yhdistetään kaksi tai kaikki kolme eri tapaa. • Salaustekniikoilla ei voida poistaa todennuksen periaatteellisia ongelmia, mutta niillä voidaan toteuttaa kaikkia kolmea todennusperiaatetta hyödyntäviä ratkaisuja. Timo Mynttinen
Esimerkiksi HST (Henkilön Sähköinen Tunnistaminen)-kortissa henkilöllisyys todennetaan kortin hallussapidon ja PIN-koodin perusteella. Kortti on lisäksi suojattu niin, että sen väärentäminen tai kopiointi on käytännössä mahdotonta. Timo Mynttinen