Pikaviestinnän tietoturva

Transkriptio

1 Ongelmat, vaihtoehdot ja ratkaisut

2 Kandidaatintyö, TKK, tietotekniikka, kevät 2009 Varsinainen työ löytyy osoitteesta pikaviestinnan_tietoturva.pdf

3 Mitä? Mitä? Ongelmat Pikaviestintä on tosiaikaista viestinvälitystä kahden tai useamman ihmisen välillä Esimerkiksi IRC, Messenger jne. Käytetään sekä vapaa-ajalla että töissä Eri järjestelmillä maailmanlaajuisesti yhteensä satoja miljoonia käyttäjiä

4 Ongelmat Mitä? Ongelmat Pikaviestintä korvaa puheluita, kokouksia, fakseja jne. Ennen kasvotusten puhuttuja luottamuksellisia tietoja välitetään pikaviestintäverkon kautta Sähköisen viestinnän ja automaattisen tiedonkäsittelyn tuomia riskejä ei ymmärretä Työssä on huomioitu vain tekstipohjainen viestintä Vain verkkoliikenne on huomioitu - esimerkiksi päätelaitteiden turvallisuuden analysointi on rajattu pois työstä

5 CIA CIA Kryptografia Pikaviestintä Luottamuksellisuus, eheys, saatavuus Viestinvälityksen pitäisi olla luottamuksellista: viestejä saa luettua vain lähettäjä ja lähettäjän tarkoittamat vastaanottajat Viestinnän eheyden tulisi säilyä: kaikkien viestien pitäisi tulla perille samansisältöisenä Saatavuus: jos muuten täydellistä järjestelmää ei voi käyttää, järjestelmä on hyödytön

6 Kryptografia CIA Kryptografia Pikaviestintä Tiivistealgoritmit: luodaan tiedosta lyhyt suhteellisen yksilöllinen tiiviste Tiivisteitä käytetään tiedon eheyden tarkistamiseen Salausalgoritmit Symmetriset: tieto salataan ja salaus puretaan samalla salaisuudella Epäsymmetriset: tieto salataan julkisella avaimella ja salaus puretaan julkiseen avaimeen liittyvällä yksityisellä avaimella Salausalgoritmeja käytetään tiedon luottamuksellisuuden varmistamiseen

7 Pikaviestintä CIA Kryptografia Pikaviestintä Viestien salakuuntelu Viestien muokkaaminen Toisena henkilönä esiintyminen Palvelun estyminen Viestien eheys jälkikäteen Salauksen turvallisuus jälkikäteen

8 Katsaus Katsaus Suurimmat järjestelmät Sekalaiset SILC Katsauksessa valittiin Live Messenger, Skype, AIM, Google Talk, OTR, SILC, IRC ja tekstiviestit Työssä keskityttiin pikaviestintäjärjestelmiin, ei asiakasohjelmiin

9 Suurimmat järjestelmät Katsaus Suurimmat järjestelmät Sekalaiset SILC Live Messenger ja AIM välittävät viestit salaamattomina keskitetyn palvelimen kautta Molemmissa järjestelmissä on viestinvälityksen salaavat pro-versiot Salausta palvelimelta vastapuolelle ei pysty tarkistamaan Live Messengerissä salasana palautetaan henkilökohtaisilla kysymyksillä, esimerkiksi "ensimmäisen lemmikin nimi"

10 Sekalaiset Katsaus Suurimmat järjestelmät Sekalaiset SILC Skype käyttää suljettua protokollaa, jossa nykytiedon mukaan käytetään vahvaa salausta oikein OTR on akateemisesta maailmasta lähtenyt minkä tahansa pikaviestintäverkon päällä toimiva salausjärjestelmä Tekstiviestit ovat salaamattomia, mutta (GSM- ja UMTS-verkoissa) liikenne kännykän ja tukiaseman välillä on salattu IRC on hyvin vanha (vuodelta 1988), avoin ja salaamaton pikaviestintäverkko

11 Järjestelmät - SILC Katsaus Suurimmat järjestelmät Sekalaiset SILC SILC (Secure Internet Live Conferencing) on turvalliseen pikaviestintään suunniteltu järjestelmä Mahdollistaa luottamuksellisen ja eheän viestinnän Mahdollistaa lähetettyjen viestien allekirjoittamisen Mahdollisuus viestien salaamiseen lähettäjältä vastaanottajalle Autentikointi avaintenvaihdolla ilman luotettua kolmatta osapuolta

12 Kaikki suuret pikaviestintäjärjestelmät välittävät oletuksena tietoa salaamattomana Tekstipohjainen viestintä mahdollistaa automaattisen sisällön analysoinnin Turvallisia pikaviestintäjärjestelmiä on olemassa, mutta käyttöönottoon on korkea kynnys CIA on kätevä järjestelmä tietoturvan systemaattiseen analysointiin

13 Kysymyksiä?