220 likes | 366 Views
Turbe valuprobleemid digitaalregistrite juurutamisel. Valdo Praust arvuti- ja andmeturbespetsialist digitaalallkirja seaduse kaasautor Andmekaitse Inspektsiooni nõunik vpraust@delfi.ee Ettekanne Cybernetica AS teaduskonverentsil 23. oktoobril 2002.
E N D
Turbe valuprobleemid digitaalregistrite juurutamisel Valdo Praust arvuti- ja andmeturbespetsialist digitaalallkirja seaduse kaasautor Andmekaitse Inspektsiooni nõunik vpraust@delfi.ee Ettekanne Cybernetica AS teaduskonverentsil 23. oktoobril 2002
Hetkereaalsus: digitaalregistrid + paberdokumendid Lähtekoht: traditsiooniline dokument on paberkandjal olnud juba aastasadu Ka asutuse asjaajamine ehk dokumendihaldus on reeglina kuni viimase ajani olnud paberkandjal v.a kaks erandit • Relatsiooniline andmebaas andmete mugavaks sidumiseks ja otsimiseks • Digitaalne dokumendiregister avalikus sektoris tänu avaliku teabe seadusele
Digitaalregister informatiivse tähendusega Tüüpiline andmebaas e register on kaasajal küll digitaalkujul, kuid reeglina on õiguslik tähendus paberkandjal alusdokumentidel Ametlik dokument on reeglina viimase ajani olnud paberdokument omakäelise allkirja, pitsatite jm rekvisiitidega Kui dokument luuaksegi digitaalkujul (tekstiredaktoris) saab ta õigusliku tähenduse alles paberkandjana
Lahendus: digitaalallkiri Lähtealus: digitaalallkiri on failile lisatav andmekogum, mis arvutatakse andmetest ja allkirja andja privaatvõtmest krüptograafiliste primitiividega Digitaalallkiri koos seda toetava avaliku võtme infrastruktuuriga (PKI) seob allkirjastatava faili üheselt ta loojaga andmete tasemel, nii nagu omakäeline allkiri seob dokumendi loojaga kandja tasemel Digitaalallkiri tagab staatilise (muutumatu, üksiku) dokumendi tervikluse ehk tõestusväärtuse, sidudes ta looja isikuandmetega
Digitaalallkiri praktikas, I Saab juba täna kasutada: vastupidi väljakujunenud arvamusele on infrastruktuur olemas: • Digitaalallkirja seadus kehtib ja ta annab digiallkirjaga varustatud digidokumendile samasuguse õighusliku tähenduse nagu omaköelise allkirjaga varustatud paberdokumendile • On olemas turvaline andmide vahend ehk privaatvõtme konteiner ID kaardi näol
Digitaalallkiri praktikas, II • On olemas sertifitseerimisteenuse osutaja Sertifitseerimiskeskuse AS-i näol • Välja on tulnud Sertifitseerimiskeskuse AS-i projekt DigiDoc nii portaali kui ka vabavarakliendi näol, mis võimaldab digiallkirja andja ja verifitseerida Kõik märgid näitavad, et digitaalallkirja ja digitaaldokumendi idee on kohe jõudmas praktikas masspruukimisse
Registrite turbe lähtekohad, I • Eeldatakse, et andmed on üldjuhul esitatud relatsioonilise andmebaasina (tabelid, nendevahelised seosed, kirjed, väljad) • Tuleb tagada andmete konfidentsiaalsus erinevate andmebaasi väljade tasemel, st tagada, et neid saaks lugeda vaid selleks volitatud isikud • Kusagil on kindlaks määratud, millised kasutajad (kasutajagrupid) võivad milliseid andmeid vaadata ja muuta
Registrite turbe lähtekohad, II • Tuleb tagada andmete terviklus – st suuta kõikide andmete korral tuvastada nende sisestajat ning veenduma, et andmeid ei oleks hiljem muudetud. Vahel tuleb tuvastada ka sisetus- ja muutmisajad ning kõik eelnevad muutjad • Andmebaasil on reeglina suur hulk kasutajaid, millest reeglina mitmetel on samade andmete kirjutamisõigus
Lihtsaim turbe realiseerimine: rakendustarkvara-põhine kasutajate, andmete muutmise jm arvestus käib rakendustarkvarapõhiselt (andmebaasitarkvara) iga kasutaja autenditakse süsteemis, nt kasutajanime ja parooli põhjal andmebaas ise asub serverarvutis, kuhu on ligipääs vaid süsteemihalduritel Oluline puudus: andmebaas on serverarvutil avatud kujul ja süsteemiadministraator saab kõike märkamatult lugeda ja muuta Liialt suur riskide koondamine ühte punkti
Teine rakendustarkvara-põhiseregistri turvaoht Iga suurem tarkvara sisaldab alati vigu (turvaauke), sh andmebaasi hõlvetarkvara ja klient-server tüüpi sidetarkvara Kui keegi leiab tarkvaras vea, siis levib teave selle kohta turvafoorumites Selle järgselt valmistatakse paik (batch), mille installeerimine kõrvaldab turvaaugu Kurb reaalsus: ajavahemikul turvaaugu publitseerimisest paiga installeerimiseni on rakendustarkvara-turvapõhised registrid tihti rünnete ees kaitsetud
Ka pelk digitaalallkiri ei aita... Kurb reaalsus: kui varustame andmebaasi iga kirje või välja digitaalallkirjaga, tagab see küll tervikluse kirje või välja tasemel, kuid ei taga terviklust kogu andmebaasi (registri) tasemel Peamine puudus: saame volitamatult jälgi jätmata ära kustutada terveid kirjeid ja välju (seda võib teha nt turvaauku kasutav ründaja)
Registri terviklusest (tõestusväärtusest) Lahendus: digitaalregistri korral peame lisaks digitaalallkirjadega varustama veel krüptograafial põhinevate mehhanismidega, mis seovad andmebaasi eri osad omavahel. Näiteks tuleks krüptograafiliste ühesuunaliste funktsioonidega (lokaalse ajatempliga) siduda omavahel kõik andmebaasis tehtavad muutused Sel juhul ei tohi mitte midagi andmebaasist kunagi kustutada, ka mitte valesid andmeid Järeldus: ajalugu ei saa enam muuta!
Registri tervikluse tagamise vahenditest Kurb reaalsus: maailmas — sh Eestis — ei ole sellised krüptograafilised vahendid üldlevinud; see on tulevikumuusika On olemas ka mitmeid lihtsamaid hädapäraseid lahendusi, mis kõike seda mingil tasemel võimaldavad tagada, kuid mitte täiuslikult, jättes suuri turvaauke. Kokkuvõtteks: digitaalteabe terviklust ei suudeta kaasajal praktikas tagada nii hästi kui paberkandjal teabe korral. On olemas väga suuri riske
Registri terviklusest (tõestusväärtusest) • Järeldused: • esialgu saab digitaalsele kujule viia turvaliselt vaid staatilisi (muutumatuid) paberdokumente, mitte dünaamilisi registreid (andmekogusid) • andmekogude viimine digitaalseks ja neile õigusliku tähenduse (tõestusväärtuse) andmine on digitaaldokumendi evitamise järel teine samm
Täiendavad tervikluskaitse meetmed (kokkuvõte) • kõik andmebaasi väljad (registri kanded) tuleb varustada digitaalallkirjaga • kõik muudatused tuleb säilitada, midagi ei tohi kunagi kustutada • kõik lisatud andmed tuleb lisamise järjekorras aheldada krüptograafiliste funktsioonidega üheks ahelaks, kuhu hiljem ei saa andmeid vahele panna ega sealt ära võtta • kasutajate identifitseerimist (autentimist) ei tohi mitte teha rakendustarkvara tasemel nagu praegu tavaks (see annab süsteemiadministraatorile piiramatu muutmise õiguse), vaid siin tuleks kasutada krüptograafilisi meetodeid — näiteks digitaalallkirja — mis põhinevad nt digitaalsignatuuri mehhanismidel
Täiendava tervikluskaitse eelised ja puudused Eelised: • süsteemihaldur ei saa ligi andmetele endile, vaid nende signeeritud kujule, mida ta ei saa muuta • rakendustarkvara rikke või turvaaugu leidumise korral selles jääb andmete terviklus digitaalallkirjaga siiski kaitstuks • Puudused: • nõuab andmebaasitarkvaralt täiendavaid tingimusi ja/või avaliku võtme infrastruktuuri toetust • tihti on vaja muuta ka andmebaasi pidamispõhimõtteid
Täiendavad käideldavuskaitse meetmed Alus: reeglina kuumvarundamine üle Interneti mingis teises füüsilises paigas Võimaldab kahandada füüsilisest turbest lähtuvaid riske (nt hävimist terrorirünnaku korral) Hädavajalik eeldus: kui kasutada võõraid organisatsioone, peab andmebaas olema krüpteeritud ja signeeritud Tekib nn kaugarhiveerimine
Registrite turve praktikas • Põhjused: • digitaalallkirja, ajatempli ja infrastruktuuri uudsus, väike levik ja ühtsete standardite puudumine • vajaduse puudumine tunnistada andmebaasis leiduvat teavet juriidilist jõudu omava dokumendina (ükski erafirma ei valmista liigset) • viimase ajani kestnud USA krüptotoodete ekspordipiirang üle 40 bitist võtit kasutatavate toodete osas ... on paljus kahjuks lapsekingades, väga palju kasutatakse tarkvarapõhist lähendust
Registrite turbe hetkeseis • Digitaalne asjaajamine on koos digitaalallkirjaga ja selle praktilise kasutamisega kohe-kohe realiseerumas • Registrite turve on siit samm edasi, mis on kaasajal veel paljus tulevikumuusika, kuid mitte kauaks: igal juhul tuleb see lahendada enne, kui antakse digitaalkujul registri andmete õiguslik tähendus Praegu andmebaasitoodetesse sisseehitatud lahendused on vaid esimene samm sel teel
Praktilised tavad jne... • ... juurduvad arvatavasti lähitulevikus nii • avatud standarditena (vrd HTML, TCP/IP, SSL jne • kui ka • tarkvaratoodetena Lähiaastad näitavad, millisele teele praegusel teelahkmel maailm suurdub
Käesoleva ettekande materjalid (MS PowerPoint 2000 vormingus) on saadaval veebis aadressil http://www.hot.ee/allkiri/turvreg.ppt Edasised küsimused palun aadressil vpraust@delfi.ee