Esipuhe

Tämä kirja kertoo poikkeuksellisen mielenkiintoisesta alasta: salaustekniikoista.

Maallikko yhdistää salaustekniikan lapsena lähetettyihin koodiviesteihin tai kenraalien joukoilleen lähettämiin hyökkäyskäskyihin. Käsitys on pahasti vanhentunut, sillä salausmenetelmien eri sovellukset ympäröivät meitä tänään päivittäin.

Kun nostamme rahaa, katsomme dvd-elokuvia, asioimme verkkopalvelussa tai soitamme matkapuhelimella, hyödynnämme huomaamattamme salaustekniikoita. Niistä osa on ikivanhoja, osa aivan tuoreita. Tämän päivän tieto- ja viestintätekniikka ei olisi mahdollista niillä salausmenetelmillä, jotka tunnettiin 40 vuotta sitten. Siksi salaustekniikka eri sovelluksineen kiinnostaa suuresti yrityksiä. Salauksella on myös yhteiskunnallista merkitystä. Toiset voimat haluavat rajoittaa kansalaisten oikeutta salata, toiset purkaa. Asiasta päättävät poliitikot ovat kahden tulen välissä, eivätkä aina edes tiedä sitä.

Vaikka itse salauksen periaatteet ovat pysyneet ennallaan 2000 vuotta, monet alan tärkeimmistä löydöistä ja keksinnöistä tehtiin vasta 1970-luvulla. Aihe on ikivanha, mutta samalla kuitenkin niin nuori. Mitä tahansa voi tapahtua aivan lähitulevaisuudessa. Siitä, miltä salaus näyttää 10 tai 30 vuoden kuluttua, emme tiedä vielä mitään. Juuri se tekee alasta erityisen jännittävän.

Hyvä esimerkki tästä saatiin tammikuussa 1999, kun 16-vuotias irlantilaistyttö Sarah Flannery ilmoitti keksineensä uuden epäsymmetrisen salausmenetelmän. Löytö ylitti kansainvälisen uutiskynnyksen, koska uusi tekniikka oli erittäin nopea. Vähän myöhemmin Sarah kuitenkin itse osoitti, että hänen menetelmänsä oli murrettavissa, eikä se siten uhannut RSA:ta.

Poikkeuksellista on sekin, että lähes kaikki 1970-luvun suuret keksijät ovat yhä elossa. Emme voi keskustella enää matematiikan historian suurten nerojen — kuten Gaussin, Descartesin tai Fermat'n — kanssa, mutta salaustieteen eli kryptologian alalta tavoitamme vastaavat nimet helposti sähköpostilla. Mielenkiintoista kyllä, hekin tekivät suuret löytönsä alle kolmikymppisinä, eivätkä he aina olleet edes kyseisen alan asiantuntijoita.

Kirja jakautuu kahteen osaan: teoriaan ja käytäntöön. Lisäksi olen ottanut mukaan jonkin verran aiheeseen liittyvää historiaa antamaan syvyyttä kirjan muutoin perin tekniselle osalle. Oli löytö tai keksintö millainen tahansa, sen takana on aina ihminen. Kirjan alkuosa esittelee teorian: miten tietoa salataan ja miksi kunnollisen salausmenetelmän kehittäminen on niin vaikeaa. Perinteisten salausmenetelmien ohella käydään läpi yleinen DES-menetelmä sekä muita moderneihin salauksiin liittyviä asioita. Julkisen avaimen tekniikasta esitellään RSA-menetelmä ja sen avaimen pituuteen liittyviä kysymyksiä, jotka varsinkin HST-kortin turvallisuutta arvioitaessa nousevat aina esille.

Tältä osin kirjaa voi käyttää myös oppikirjana, sillä salaustekniikan periaatteiden läpikäynti liittyy yhä useampien teknisten alojen opiskeluun. Taustalla olevan tekniikan ja periaatteiden ymmärtäminen ei ole välttämätöntä järjestelmien käytön kannalta, mutta ne nousevat väistämättä esille kun halutaan vastaus kaikkein yleisimpään kysymykseen: onko se turvallista?

Kansalaisille tarjotaan mitä erilaisimpia uusia laitteita ja palveluita. Pankit tyrkyttävät sähköistä tiliä, julkishallinto haluaa säästää siirtämällä kansalaisia sähköiseen itsepalveluun, kauppa haluaa eroon kolikkojen ja setelien käytöstä. Me itse haluamme viestiä ajasta ja paikasta riippumatta niin puhelimella kuin sähköpostilla.

Mutta uskaltaako niin tehdä?

Tuntemalla salaustekniikan periaatteita lukija voi itse päätellä, miten turvallisia uudet järjestelmät tältä osin ovat. Lopputuloksena pitäisi syntyä oivallus siitä, että oli salaustekniikoissa millaisia riskejä tahansa, ne ovat yleensä pieniä arkipäivän käytäntöön liittyviin riskeihin verrattuina. Riskit eivät juuri koskaan ole salauksessa sinänsä, vaan sen soveltamisessa ja ihmisten tavoissa toimia — eli aiheissa, joita edellinen kirjani Tietoturva ja yksityisyys käsitteli. Tämä kirja onkin jatkoa sille ja sai alkunsa materiaalista, joka kirjaan ei mahtunut.

Tietoturvasta ja salauksesta puhuvat yleensä insinöörit. Heidän keskustelunsa kääntyy nopeasti väittelyksi siitä, mikä on riittävän turvallinen salausavaimen pituus ja tarpeeksi luotettava salausmenetelmä. Kiinnostus avaimen pituutta kohtaan johtuu osittain yleisestä tarpeesta pukea asiat numeroiksi ja siitä kuvitelmasta, että toisin kuin sanat, numerot eivät valehtele. Numeroita on helpompi käsitellä, niitä voi verrata ja niillä voi laskea, mutta eksakteja tai tosia ne eivät ole. Käytännössä avaimen pituudella ei ole juurikaan merkitystä tietoturvan kannalta.

Viime kädessä tietotekniikan ja verkkopalvelujen käytössä on kyse luottamuksesta. Olkoon tämä kirja osaltaan edesauttamassa sen syntymistä.

Espoossa 5.5.-7.7.2003
Petteri Järvinen