You are here: TUTWiki>Tietoturva/Tutkielmat>RaporttiJariKuisti?>StealthCommunication (revision 1)

TTY / Tietoturvallisuuden jatkokurssi / Tutkielma 2013 / Luonnosvaihe

Jari Kuisti

Tietoliikenteen salaus ja sen kätkeminen tiedon hajautusalgoritmeilla

Johdanto

Perinteisesti tietoliikenne on salattu erilaisilla VPN-tekniikoilla, joista yksi tunnetuimmista ja käytetyimmistä on IPSec VPN. Esimerkiksi IPSec VPN-tunnelin ongelma on se, että verkkoliikenteestä voidaan helposti tunnistaa ESP-paketit (IPSec "tunneli-moodissa") ja näin ollen voidaan esimerkiksi päätellä liikennöivät osapuolet, koska paketin lähde- ja kohdeosoitteet eivät ole salattu. Seuraamalla liikennöintiä, esimerkiksi ajankohtaa ja liikennemääriä, voidaan tehdä johtopäätöksiä liikennöivien osapuolten johtosuhteesta tai meneillään olevasta tilanteesta. Lisäksi voidaan suorittaa kryptoanalyysia kaappaamalla paketteja. Näihin ongelmiin on pyritty vastaamaan tietotekniikassa uuden tyyppisellä ajatusmallilla, jossa tietoliikenne (paketit) pyritään salaamaan sekä hajauttamaan siten, että sitä on kokonaisuudessaan mahdoton havaita. Yhdysvaltalainen yritys Unisys on lanseerannut edellä mainitusta konseptista uuden tuotteen nimeltään Unisys Stealth Solution Suite. He markkinoivat tuotettaan lennokkaasti: "mitä et voi havaita, et voi myöskään murtaa". [1]. Tässä tutkielmassa on tarkoitus perehtyä tarkemmin Unisys Stealth Solution Suite -tuotteen käyttämiin tekniikoihin ja teknologioihin. Unisys ei esitä kovin tarkkoja teknisiä tietoja tuotteestaan, mutta tekniikoista ja teknologioista, joihin tuote väitetään perustuvan on olemassa useita tutkielmia, joita on tarkoitus käsitellä tässä tutkielmassa.

Tiedon hajautusalgoritmit

Unisys ilmoittaa Unisys Stealth Solution Suite -tuotteen esitteessään, että se salaa tiedon FIPS 140-2 standardin mukaisella AES-256 algoritmilla. Lisäksi se käyttää tiedon hajautusalgoritmia tiedon hajauttamiseen, siten että vain oikea vastaanottaja kykenee "parsimaan" paketit kasaan. Tällä tavoin salattu liikenne pyritään kätkemään muilta. [1]. Unisysin tekniikka sisältää sekä asiakasohjelmiston että erillisen laitteen, joka lisää tietynlaisen otsikon TCP/IP-pakettiin, salaa paketit ja "paloittelee" ne hajautusalgoritmin avulla [2]. Kyseisestä tuotteesta ei tämän tarkempia teknisiä tietoja julkisista lähteistä löydy. Voidaan siis vain spekuloida, kuinka kyseinen tuote on toteutettu. Julkisesti tiedossa on, että Stealth tuotteen tietoliikenteen häivyttäminen perustuu kuitenkin tiedon hajautusalgoritmiin (Information dispersal algorithm = IDA), jota on tarkoitus käsitellä tarkemmin tässä kappaleessa.

Tiedon tai informaation hajautusalgoritmi on metodi, jossa tiedosto f voidaan jakaa n:ään palaseen siten, että tiedosto f voidaan uudelleen konstruoida osasta palasista k [3]. Toisin sanoen tiedosto hajautetaan n:ään "varjoon" (eng. shadows), siten että mistä tahansa k palasesta voidaan palauttaa alkuperäinen tiedosto. [4]. Rabin [5] kuvaa saman asian seuraavasti: tiedosto F, jonka pituus on L jaetaan n palaseen (tai paikkaan) F_l,l≤i≤n, jokainen pituudeltaan |F_l | = L/m , josta m määrästä paloja voidaan uudelleen konstruoida F. Pituuksien summa on |F_l | = n/m*L. Informaation hajautusalgoritmilla on useita sovelluskohteita kuten, hajautetut järjestelmät ja niiden vikasietoinen ja tehokas tiedonsiirto sekä tiedon varastointijärjestelmien turvaominaisuuksien että luotettavuuden parantaminen. [3].

Tiedon hajautusalgoritmi ei itsessään salaa tietoa, mutta tiedolla ei kuitenkaan tee mitään, jos siitä ei ole riittävää määrää palasia tiedossa. Esimerkiksi 10-15-toteutus IDA ympäristöstä tarvitsee 10 tietovirtaa, solmua tai datavarastoa kokonaismäärästä 15, jotta tieto voidaan uudelleen konstruoida [6]. Tämä tarkoittaa sitä, että hyökkääjän pitää hyökätä kymmeneen eri kohteeseen, jotta se saa tarvittavan tiedon. Yhdistämällä tiedon salaus ja hajautusalgoritmi, saadaan luonnollisesti lisää turvallisuutta. Tällöin data kryptataan symmetrisellä avaimella, jolloin avain voidaan liittää itse tietoon, jonka jälkeen koko paketti ajetaan hajautusalgoritmin lävitse. Näin ollen avaimen hallinta yksinkertaistuu merkittävästi, koska tietty osa avaimesta on tiedon mukana hajautettuna, ei ole siis avainta hukattavana. Tässä tapauksessa, jos tieto kuitenkin jostain syystä vaarantuu, esimerkiksi 10-15-toteutuksessa, siten että hyökkääjä saa käsiinsä 10 "palasta", niin hyökkääjän tulee tuntea tiedon hajautusalgoritmi sekä salausalgoritmi, jotta hän saa alkuperäisen tiedon. [7].

Päätelmät / yhteenveto

Vastaukset ongelmaan tiivistetään tässä luvussa, jonka maksimipituus on sama kuin johdantoluvunkin. Tässä ei toisteta aiempia ilmaisuja eikä viitata aiempiin kohtiin. Toisaalta uusia näkökulmia ei tuoda esille, paitsi ehkä mainintoja siitä, miten työtä voisi jatkaa: syvemmälle tai laajemmalle. Lukija voi lukea vain johdannon ja päätelmät. Päätelmäluku on hyvä, jos lukija tällöin haluaakin lukea, mitä välissä on.

Lähteet

SivuTiedotLaajennettu edit

Vaativuus Jatko
Valmius Valmisteilla
Tyyppi Esitys
Luokitus Verkko
Mitä Luottamuksellisuus
Miltä Useita
Missä Järjestelmä
Kuka Titu-ammattilainen
Milloin Päivittäin
Miksi Muu
Print version |  PDF  | History: r2 < r1 | 
Topic revision: r1 - 31 Oct 2013 - 16:18:16 - JariKuisti?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback