Voiko salauksiin luottaa?

Salauksen historia on salauksen murtamisen historiaa. Voitot ja tappiot tässä kilpajuoksussa ovat alan paraatipuoli, kääntöpuolella on salausmenetelmissä ja -tuotteissa piilevien vikojen ja puutteiden tulva.

Tietoturva-alan ammattilaiset eivät ole sen immuunimpeja nolostuttaville erehdyksille kuin muidenkaan IT-alojen edustajat. Uutiset salausten murtamisista ja salaukseen liittyvistä tietoturvaongelmista ovat pysyvä ilmiö.

PGP-salauksen (Pretty Good Privacy) avainten käsittelystä löytyi viime vuonna kiusallinen virhe, ja tänä vuonna oli SSH:n vuoro paikkailla koodiaan. Langattomien verkkojen salausstandardi WEP asetettiin viime talvena hyvin perustein kyseenalaiseksi, ja kesällä IETF (Internet Engineering Task Force) keskeytti IP:n tietoturvaversio IPseciin kuuluvan IKE-avaintenvaihtomenetelmän (Internet Key Exchange) standardointityön tietoturvaongelmien vuoksi.

Aikaansa seuraava lukija saattaa pelätä, että salaus ei vahvasta matemaattisesta perustastaan huolimatta voi koskaan toimia todellisessa maailmassa. Näin ajatteleva on hyvässä seurassa. Alan perusteoksen Applied Cryptography kirjoittaja ja Blowfish-algoritmin kehittäjä Bruce Schneier on itse jo luopunut toivosta, että salauksella voitaisiin pelastaa maailma.

Schneierin yritys Counterpane Internet Security on tarkastanut monta salaustuotetta ja salausta hyödyntävää asiakasinstallaatiota. Niistä löydetyt ammottavat aukot ovat saaneet Schneierin päättelemään, että itsessään täydelliset matemaattiset menetelmät eivät riitä takaamaan tietoturvan tasoa. Liki ylipääsemätön ongelma on huolimattomassa käytäntöön soveltamisessa ja välinpitämättömässä testaamisessa.

Teoria kohtaa käytännön

Kryptografisten menetelmien käyttö eroaa monista muista tietotekniikan osa-alueista siinä, että sovelluksen toteuttajalla pitää olla kunnollinen ymmärrys menetelmän toimintojen ja määrittelyjen merkityksestä. Salakirjoitus on korkeampaa matematiikkaa, eikä menetelmiä sovelleta peruskoulupohjalla.

Vanha sanonta matematiikan eri tasojen eroista pätee hyvin salaukseen. Sen mukaan peruskoulussa riittää, kun saa laskutehtävistä oikean vastauksen, lukiossa pitää tietää myös, miten oikea vastaus lasketaan, mutta yliopistossa täytyy osata perustella, miksi ja milloin oikeaan vastaukseen päädytään juuri näin laskemalla.

Peruskoulutasoinen omatarveohjelmoija on tyytyväinen saatuaan selväkielisen tekstin sotkettua näennäisesti käsittämättömään muotoon. Yksinkertainen frekvenssianalyysi tai raaka laskentavoima voi kuitenkin murtaa salauksen helposti.

Valitettavan moni kaupallinen salausohjelma taas on lukiotasoa. Suunnittelijat ja ohjelmoijat ovat poimineet standardeista ja muista lähdeteoksista teoriassa murtamattomat salausalgoritmit, mutta hutiloineet sen soveltamisessa käytäntöön. Kelvoton satunnaislukugeneraattori, selväkielisinä tallennetut tai siirretyt salausavaimet tai tuotantoversioon jääneet testauksen aikaiset takaovet tekevät ponnistukset tyhjiksi.

Korkeakoulutason vaatimukset salausmenetelmä täyttää vasta silloin, kun se on dokumentoitu huolellisesti sekä julkaistu ja alistettu avoimen kritiikin alaiseksi. Kaupallisissa tuotteissa menettely on harvinainen. Aikataulupaineet ja rajalliset budjetit lyhentävät talon sisäisiä testausvaiheita, ja halu säilyttää liikesalaisuuksia estää kommenttien pyytämisen ulkopuolisilta.

Niinpä testaus tapahtuu jälkikäteen asiakkaiden, kilpailijoiden ja hakkereiden toimesta. Tuotteet eivät ehdi koskaan kunnolla valmistua, koska vähintään pari vuotta kestävän korjailu- ja kypsymisjakson jälkeen on päälle painamassa jo seuraava versio omine markkinointipaineineen.

Reikiä standardeissa

Kelvotonta jälkeä syntyy paitsi ohjelmistotaloilta myös salausstandardeja määritteleviltä yhteisöiltä, joiden aikatauluja voisi luulla väljemmiksi.

Hyvä esimerkki on WLANien (Wireless Local Area Network) tietoturvan kohtaamat ongelmat. IEEE 802.11- ja 802.11b-standardien mukaisten langattomien lähiverkkojen salausjärjestelmä on optimistisesti kastettu WEPiksi (Wired Equivalent Privacy). Tietojen pitäisi siis olla yhtä hyvässä suojassa ulkopuolisilta tarkkailijoilta kuin perinteisissä, kaapelein toteutetuissa lähiverkoissa.

Toisin kuitenkin kävi. Viime talven ja kuluneen kesän aikana WEP-arkkitehtuurista on paljastettu ongelmia, jotka mahdollistavat niin sanotun parkkipaikkahyökkäyksen. Uhkakuvassa vakooja ajaa yrityksen parkkipaikalle ja lukee matkamikrollaan lähiverkon liikennettä kuin avointa kirjaa.

Kuunteluhan on langattomalla tekniikalla määritelmän mukaan aina mahdollista. 802.11-korttien ajurien ei tosin pitäisi luovuttaa tietokoneelle väärällä avaimella vastaanottamaansa tietoa, mutta monien kaupallisten sovitinten ajurien muuntaminen ”debug-tarkoituksiin” on osoittautunut helpoksi.

Salauksen tehtävänä on estää salakuunnellun tiedon tulkinta. WEP käyttää RC4-salausta, jossa avaimen pituus voi vaihdella 40 bitistä 128:aan. Menetelmässä luodaan avaimen perusteella pseudosatunnainen bittijono, jonka kanssa salattava tieto prosessoidaan XOR-funktiolla (poissulkeva tai). Avain on myös vastaanottajan tiedossa, ja tämä purkaa salauksen toistamalla operaation.

Tällaisella menetelmällä on parikin ominaisuutta, joiden perusteella salakuuntelija voi yrittää purkaa salausta tai jopa luoda verkkoon omaa liikennettään. Berkeleyn yliopiston tutkijat Nikita Borisov, Ian Goldberg ja David Wagner julkaisivat tammikuussa seuraavan sisältöisen selvityksen WEPin heikkouksista.

Turvaton kaikilla avaimenpituuksilla

Ensinnäkin, jos salakuuntelijalla on käytössään kaksi samalla avaimella salattua merkkijonoa, hän voi laskea niistä alkuperäisten tietojen XOR-funktion. Näistä voi pyrkiä selvittämään alkuperäiset tiedot tilastollisella analyysilla. IP-liikenteen säännönmukaisuuksien perusteella voi myös tehdä kohtalaisen järkeviä arvauksia. Mitä enemmän samalla avaimella salattuja merkkijonoja on käytössä, sitä helpompaa analyysi on.

WEP pyrkii estämään tämän salaamalla jokaisen paketin eri RC4-avaimella. Tämä tapahtuu yhdistämällä avaimeen 24-bittinen alustusvektori, jota vaihdellaan paketista toiseen.

Virhe tehdään siinä, että vektori liitetään selväkielisenä jokaiseen pakettiin. Näin vakoilija voi kerätä aineistoa ja vertailla paketteja, joissa on käytetty samoja alustusvektoreita. Koska useimmat tuotteet vaihtavat alustusvektoreita deterministisen kaavan mukaan ja saman WLANin työasemat käyttävät yleensä samaa avainta, salaukseen on tällöin todennäköisesti käytetty samaa bittijonoa.

Koska alustusvektori on vain 24 bitin mittainen, sen kaikki mahdolliset arvot tulevat verraten pian käydyiksi läpi. 11 megabittiä sekunnissa siirtävällä 802.11b-tukiasemalla näin käy todennäköisesti vuorokauden kuluessa, ja jatkuvalla täydellä kuormituksella viidessä tunnissa. Kaikkia alustusvektorin arvoja vastaavien salausavainten keräämiseen tarvitaan vain noin 15 gigatavua levytilaa, ja tämän tiedon avulla vakooja voisi teoriassa avata kaiken liikenteen tosiajassa.

Toinen ongelma on siinä, että yhden bitin muuttaminen lähdetiedossa johtaa saman bitin muuttumiseen salatussa tiedossa. Mikäli salakuuntelija saa selville vaikkapa vain verkosta lähtevien pakettien osoitekenttien sisällön, hän voi muuttaa osoitteet haluamikseen ja lähettää tiedot esimerkiksi yrityksen Internet-yhteyttä käyttäen minne hyvänsä. Jos hän vielä muuttaa kohdeportin arvoksi vaikkapa 80, tietovirta todennäköisesti läpäisee HTTP-liikenteenä yrityksen palomuurin.

WEP pyrkii estämään datan muuntelun laskemalla salatusta tiedosta pakettikohtaiset tarkistussummat. Ikävä kyllä tarkoitukseen käytetään lineaarista funktiota, minkä johdosta bittimuunnoksen vaikutus tarkistussummaan on helppo laskea. WEP on siis teoriassa haavoittuvainen niin tiedon salassapysymisen kuin sen integriteetinkin kannalta.

Käytännössä menettelyt ovat työläitä ja epävarmoja. Onnistuneita murtautumisia yritysten WLAN-järjestelmiin ei ole dokumentoitu, ei ainakaan vielä. Valmista murtautumissovellusta ei ole myöskään vielä levitetty Internetissä.

WLANien käyttö lisääntyy nopeasti, joten on vain ajan kysymys, milloin tietoturva-aukkoja aletaan käyttää väärin. Standardin tulevissa versioissa ongelmat pyritään tietysti korjaamaan. Vie kuitenkin oman aikansa, ennen kuin niihin perustuvia tuotteita saadaan markkinoille, eikä kaikkia jo käyttöönotettuja WLAN-tuotteita välttämättä edes pysty päivittämään.

WEPistä on kaiken lisäksi löydetty tänä vuonna lisää mahdollisia aukkoja. Tietoturva-asiantuntijat suosittelevatkin langattomissa verkoissa siirrettävän tiedon turvaamista esimerkiksi IPsec-käytännön mukaisella VPN:llä (Virtual Private Network).

Uusia ongelmia

Uudessa purkissa on kuitenkin tuoreita matoja. Elokuussa IETF keskeytti IPsec-protokollaperheeseen kiinteästi kuuluvan avaintenvaihtomenettelyn IKEn (Internet Key Exchange) kehitystyön. Syynä olivat mitkäpä muutkaan kuin paljastuneet tietoturvaongelmat.

IKEn tapaus on kuitenkin erilainen kuin WEPin. Kyseessä eivät ole tuoreet löydökset, vaan keskeytyspäätös perustui tietoturvakonsultti William Simpsonin vuonna 1999 julkaisemaan selvitykseen ”IKE/ISAKMP Dangerous”. Siihen hän oli koonnut omien sanojensa mukaan tuolloinkin jo pari vuotta sitten käytäväpuheina kuulemiaan potentiaalisia ongelmia, joita ei kuitenkaan ollut otettu huomioon standardiluonnosta kirjoitettaessa.

Merkittävimmät Simpsonin osoittamat IKEn ongelmat eivät niinkään liity salauksen purkamiseen kuin protokollan haavoittuvuuteen palvelunestohyökkäyksiä vastaan. Hyökkääjä voi helposti lähettää IPsec-osapuolelle suuria määriä muodollisesti kelvollisia, mutta mielettömiä avaintenvaihtokäytäntöön liittyviä paketteja. Koska niiden sisällön purkaminen on laskennallisesti raskasta, eivät kohdekoneen resurssit välttämättä enää riitä oikeiden keskustelukumppanien palvelemiseen.

IKE liittyy paitsi avainten luomiseen ja hallintaan myös VPN-tunneleiden päätepisteiden luotettavaan tunnistukseen sekä istuntokohtaisten salaus- ja autentikointimenettelyiden neuvotteluun. Kokonaisuutena IKE on sen verran monimutkainen prosessi, että mahdollisia hyökkäystapoja on useita.

Pari vuotta sitten ongelma ei ollut samalla tavalla tapetilla kuin tänään. Viimeisen puolentoista vuoden aikana eri tyyppiset hajautetut palvelunestohyökkäykset ovat lamaannuttaneet palveluita ympäri maailmaa, ja uhan todellisuuteen on havahduttu vasta nyt.

Mistä ratkaisu?

Niin kuin näistäkin esimerkeistä näkyy, salauksen suurimmat ongelmat eivät yleensä ole matemaattisissa algoritmeissa ja niiden murtamisessa. Vaara piilee käytännön toteutuksissa. Lopullista ratkaisua ei sen takia ole kryptografian keinoin löydettävissä.

Salausguru Schneierin ratkaisu ongelmaan on aktiivinen tarkkailu. Koska salakuuntelua ja tunkeilua ei voida kokonaan estää, tärkeintä on havaita rikkomukset riittävän ajoissa, jotta varotoimet voidaan käynnistää ennen suuremman vahingon kertymistä.

Tärkeintä on jatkuva kehityksen seuranta ja varuillaanolo. Salaus on passiivinen mekanismi, jonka olemassaolo parantaa, mutta ei takaa turvallisuutta. Hyökkääjät ovat eläviä ihmisiä, joita vastaan taistelemaan tarvitaan eläviä ihmisiä. Tekniikan kehittyessä tietoturva-ala onkin kasvava työllistäjä.