You are here: TUTWiki>Tietoturva/Tutkielmat>Tutkielmat?>MassamuistinSalaus (revision 4)

Olli Mäntylä

Massamuistin salaus ja luotettavuus

Johdanto

Massamuistin salausta käytetään tiedon suojaamiseen ulkopuolisilta tahoilta. Kryptattua eli salattua tietoa ei pitäisi pystyä lukemaan ilman, että salaus ensin puretaan salasanalla, avaintiedostolla tai muulla vastaavalla.
Kukapa haluaisi omien henkilökohtaisten tietojen joutuvan tuntemattoman käsiin.

Eri käyttöjärjestelmillä on erilainen tarjonta ohjelmia salauksen toteuttamiseksi. Microsoft tarjoaa BitLockerin? ja Apple tarjoaa FileVa? ultin. Tietoturvayhtiöt tarjoavat kaupallisia tuotteita, jotka ovat yleensä Windowsille. Näiden lisäksi on joitain open-source työkaluja kuten TrueCrypt?, joka on OS X:lle, Windowsille ja linuxille, ja dm-crypt, joka kuuluu linuxin keskeisiin työkaluihin, mutta jonka salaus on mahdollista aukaista myös Windowsilla erillisellä ohjelmalla.
Tässä yhteydessä massamuistilla tarkoitetaan lähinnä kiintolevyjä, muistitikkuja ja muistikortteja. Salauksen toteuttamista ei käydä läpi.

Tiedon salaamisen tarpeellisuus

Kovaa vauhtia digitalisoituvassa maailmassa luotetaan kasvavassa määrin tiedon digitaaliseen muotoon. Paljon henkilökohtaista tietoa voi olla tallennettuna muistitikulle tai tietokoneen kovalevylle.
Tietokoneelta löytyvät henkilökohtaiset tiedostot ovat tavallisesti esimerkiksi henkilön lomakuvia ja sähköposteja. Myös selaimen välimuisti ja historia voivat sisältää paljon henkilökohtaisuuksia.
Selaimen säilyttämät evästeet tai ohjelmien automaattikirjautumiset voivat antaa pääsyn käyttäjän tileille ilman salasanaa. Mobiililaitteiden määrä kasvaa kovaa tahtia.


Mielestäni erityisen tärkeitä ovat muistitikut, ulkoiset kovalevyt, kannettavat tietokoneet ja muut mobiililaitteet, joita kannamme mukana. Mobiililaitteiden käyttö on myös hurjassa kasvussa kun tekniikka pienenee entisestään.

Yrityksille salaustoimet ovat erityisen tarpeellisia. Yritykseen liittyvä tieto voi olla salaista ja hyvinkin arvokasta. Jos hävinnyt laite on esimerkiksi yritykselle kuuluva kannettava tietokone tai muistitikku, voi se sisältää tärkeää informaatiota, jonka yritys haluaa varmasti suojata. Myös EFF on suositellut salauksen käyttöä tarpeen mukaan[3].

Käyttöönoton hankaluudet

Tietoturvan lisääminen harvoin helpottaa käyttöä. Hankalinta on luultavasti käyttöönotto. Useimmiten se vaatii levyn alustamisen uudelleen, joten levytilan ollessa vähissä, voi tiedostojen siirteleminen olla hankalaa.
Monet ohjelmat tarjoavat kuitenkin suhteellisen helppokäyttöisiä ohjattuja toimintoja salauksen luontiin. Muistitikkujen tapauksessa on tarjolla myös tikkuja joihin on salakirjoitusominaisuudet liitetty jo valmiiksi. Käyttö vaatii monesti silti ohjelman salauksen käyttöä varten.

Levyn salaamisen jälkeen kysymys onkin, että missä laitteissa salattua muistia voi käyttää. Salausohjelmaa tarvitaan myös salatun levyn käyttöön. Muistitikun tai ulkosen kovalevyn voi osioida siten, että sinne jää myös salaamaton osio tiedostojen kuljetukseen laitteilta, joilla salauksia ei voi käyttää.


Salatun tiedon lukeminen vaatii salakirjoituksen avaamista, mikä taas vaatii prosessorilta laskentatehoa. Levyn käyttö vie siis prosessoriaikaa ja voi olla hitaampaa kuin levyn käyttö ilman salausta.
Mobiililaitteissa voi lisäksi olla merkitystä ylimääräsen laskennan tuomasta virrankulutuksesta. Useita seikkoja tarvitsee siis ottaa käyttöönotossa huomioon.

Kuinka turvassa salattu tieto on?

Tavallista kuluttajaa ajatellen kryptaussovellukset riittävät hyvin pitkälle. Salaukseen voi valita eri asetuksia ja algoritmeja joista valita. Toiset algoritmit ovat tehokkaampia ja toiset vahvempia.
Levyn salaamisen riittävyys ja luotettavuus tuleekin esille enemmän siinä vaiheessa, kun tiedon suojaaminen on erityisen tärkeää ja levyllä on todella arkaluontoista tietoa.


Kryptaus ei ole siis täysin takuuvarma keino tiedon turvaamiseen. Salauksen murtamiseen on kehitetty erilaisia ns. side channel -hyökkäyksiä. Sellaisissa hyökkäyksissä pureudutaan yleensä tiedon keräämiseen salausmekanismista erilaisten salausoperaation aiheuttamien sivuvaikutusten kautta, kuten tehonkulutusta, äänentuottoa tai laskentaan kulunutta aikaa tutkien. Kryptoanalyysi tutkii jatkuvasti erilaisia keinoja salausmekanismien murtamiseen.
Eräs suhteellisen tunnettu side channel -hyökkäys salatun tiedon avaamiseksi on ns. "cold boot"-hyökkäys. Hyökkäyksessä hyödynnetty tietoa siitä että salauksen purkamisessa käytettävä avain säilötään tietokoneen muistissa[1][2].
Jos salausohjelma säilyttää avainta salauksen purkamiseen muistissa, voi se johtaa avaimen paljastumiseen, jos muistiin päästään käsiksi.


Erityisesti kannettavilla tietokoneilla tämä voi olla riski, sillä virransäästötilassa muistin sisältö on käyttöä jatkaessa edelleen sama kun koneen oltua aiemmin päällä.
Tutkijat ovat onnistuneet käyttämään cold boot -hyökkäystä, missä tietokoneen muistit siirretään toiseen tietokoneeseen, jossa muistin sisältö käydään läpi ja varastoidaan pysyvämpään muistiin analysointia varten.
Jos muisteja jäähdytetään, säilyttävät ne tilansa muuttumattomana todennäköisemmin.

Päätelmät / yhteenveto

Kiintolevyn tai musititikun salaaminen riittää peruskäyttäjälle vallan mainiosti henkilökohtaisten tietojensa turvaamiseen. Ohjelmallinen salaus riittää pitkälle myös arkaluontoisemman tiedon kanssa, mutta turvallisuudessa on puutteita, joita laitteistotason salausmekanismit pystyvät paikkaamaan.

Lähteet

SivuTiedotLaajennettu edit

Vaativuus Jatko
Valmius Valmisteilla
Tyyppi Ydin
Luokitus Krypto
Mitä Yksityisyys
Miltä Useita
Missä Muu
Kuka Titu-ammattilainen
Milloin Ennakolta
Miksi Hyvä tapa
Print version |  PDF  | History: r5 < r4 < r3 < r2 | 
Topic revision: r4 - 01 Nov 2012 - 00:33:39 - OlliMantyla?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback