Tietokone-lehti 12/2003

Kuka siellä?

Tietoturvan saavuttamiseksi on tärkeää, etteivät luottamukselliset tiedot päädy ulkopuolisten silmiin.

Toisin kuin usein kuvitellaan, luottamuksellisten tietojen suojaaminen on helppoa. Tarjolla on useita hyviä salausohjelmia, joilla koodattua tietoa on nykytietämyksen valossa mahdoton murtaa. Jos voidaan olla varmoja siitä, ettei salausavain vuoda ulkopuolisille, tietoliikenteen ­ esimerkiksi sähköpostin tai etäkäyttäjän vpn-yhteyden kautta ­ on tietoturva tältä osin kunnossa.

Paljon vaikeampaa on varmistua osapuolten aitoudesta. Toisin kuin tiedon salaukseen, aitouden varmistamiseen ei ole mitään helppoa tapaa.

Tarjolla on lähinnä huonoja ja erittäin huonoja keinoja.

Teeskentely helppoa

On helppo nähdä, miksi todennus on tärkeämpää kuin salaus. Mikäli hyökkääjä onnistuu kaappaamaan ja murtamaan salattua verkkoliikennettä, sen tietosisältö päätyy ulkopuolisten tietoon.

Mutta jos hyökkääjä onnistuu tekeytymään tiedonsiirron toiseksi osapuoleksi, hän pääsee näkemisen ohella muokkaamaan tietoa. Tällaisella toiminnalla on paljon vakavammat seuraukset.

Kuten kuuluisa hakkeri Kevin Mitnick osoitti, toiseksi ihmiseksi tekeytyminen on helppoa. Miksi nähdä vaivaa salauksen murtamisesta, kun voi helpommin soittaa yritykseen ja teeskennellä olevansa tietoon oikeutettu henkilö, joka on vain unohtanut salasanansa?

Useimmat Mitnickin käyttämistä tempuista onnistuisivat vielä tänäänkin, sillä ihminen on yhä tietoturvan heikoin lenkki. Taitavalla psykologialla työntekijää voi manipuloida niin, että tekniset suojaukset menettävät merkityksensä.

Varsinkin verkkopalveluissa Kuka siellä? -kysymys nousee koko ajan tärkeämmäksi. Kyse ei ole vain käyttäjän henkilöllisyydestä, myös verkkopalvelun on pystyttävä todentamaan oma aitoutensa. Ulkomailla tunnetaan tapauksia, joissa pankkien verkkosivuja on väärennetty, ja näin krakkerit ovat saaneet haltuunsa asiakkaiden käyttäjätunnuksia sekä salasanoja.

Todentamista kaupan kassalla

Yleensä tietokone todentaa henkilön pelkän käyttäjätunnuksen ja salasanan perusteella. Jos ne täsmäävät, pääsy koneeseen ja yrityksen verkkoon aukeaa. Kone ei välitä siitä, kuka näppäimistöä todellisuudessa käyttää.

Todentamisen ongelmat tulevat vastaan päivittäin, ilman tietokoneitakin. Esimerkiksi kaupan kassa pyytää asiakasta todistamaan henkilöllisyytensä, mikäli ostosten loppusumma ylittää pankin tai luottokorttiyhtiön määräämän rajan.

Useimmiten ajokortin näyttäminen on pelkkä muodollisuus, sillä vanha valokuva muistuttaa kantajaansa vain etäisesti. Kaupan kassalta vaadittaisiin todella paljon pokkaa epäillä kuvallista henkilötodistusta, vaikkei se olisi lainkaan näköinen.

Helmikuussa 2003 iltapäivälehti kertoi, miten afrikkalainen mies oli yrittänyt todistaa henkilöllisyyttään helsinkiläisessä ravintolassa valkoisen miehen passilla. Se ei sentään mennyt läpi ­ mutta melkein mikä tahansa muu menee.

Monet matkapuhelinoperaattorit luovuttavat lukkiintuneen sim-kortin avaamiseen tarvittavan puk-koodin puhelimessa, mikäli asiakas osaa kertoa liittymän haltijan nimen ja henkilötunnuksen.

Käytännön syistä henkilötunnusta käytetään usein todentamisen välineenä, vaikkei sitä ole sellaiseen tarkoitettu. Tunnus on kaikesta huolimatta julkinen tieto, jonka kuka tahansa voi hankkia. Kuten pääministeri Vanhanen hiljattain sai havaita, tunnus löytyy esimerkiksi asunnon kauppakirjasta tai oikeudenkäynnin asiakirjoista.

Tarve hst-kortille

Biometriset järjestelmät ovat hankalia. Ne vaativat erikoislaitteita, eivätkä ole erehtymättömiä. Sormenjälkiskanneria voi huijata teipeillä, eikä koneellisen kasvotunnistuksen tarkkuus yllä edes passipoliisin tekemän perinteisen silmämääräisen tarkistuksen tasolle. Lentokenttätestien tulokset ovat osoittaneet biotunnistuksen vielä kovin epävarmaksi.

Verkkoasiointia varten tarvitaan muita menetelmiä. Niistä hst-kortti on lupaavin.

Suomi käynnisti sähköisen henkilökorttiprojektin jo vuonna 1999, mutta korttien kysyntä jäi vähäiseksi. Tämän vuoden keväällä hst sai lisävauhtia, kun siruttomien korttien myöntäminen lopetettiin, ja verkkopalvelujen tekijöille alettiin tarjota valmista ohjelmistopalikkaa hst-tuen lisäämiseksi.

Hst perustuu varmenteeseen, joka on upotettu henkilökortin mikrosirulle. Varmenne voi jatkossa sijaita myös matkapuhelimessa tai digiboksissa. Yhdessä pin-koodin kanssa se todistaa haltijansa henkilöllisyyden liki pomminvarmasti.

Kortilla on monia etuja. Sitä voi käyttää sähköpostin salaukseen, lähiverkkoon kirjautumiseen ja sähköisiin allekirjoituksiin. Mikä parasta: kaikki mukana olevat palvelut toimivat yhdellä kortilla ja samalla pin-koodilla.

Hst-järjestelmä tarvitsee lukulaitteen ­ ja tietenkin käyttäjälle myönnetyn kortin. Kestää aikansa, ennen kuin molemmat ovat yleistyneet riittävästi. Mutta mitään vaihtoehtoista, yhtä turvallista tekniikkaa ei ole näköpiirissä.

Luotettavan todennuksen tarve verkossa käy päivä päivältä polttavammaksi.

<takaisin