Yksi asia, joka on tullut internet-aikakaudella täysin selväksi, on se, että on äärimmäisen vaikeaa estää asiattomien henkilöiden pääsy verkkokäyttöisiin tietokonejärjestelmiin tallennettuihin tietoihin. Riittää, että työntekijä napsauttaa väärää linkkiä sähköpostiviestissä tai vastaa varomattomasti näennäisesti lailliseen tietopyyntöön, ja tunkeutuja voi saada täydellisen pääsyn kaikkiin tietoihin. Nykypäivän sääntely- ja suhdetoimintaympäristöissä tällainen tietoturvaloukkaus voi olla katastrofaalinen.
Mutta entä jos voisit olla varma siitä, että vaikka hyökkääjä pääsisi käsiksi tietoihin, hän ei voisi käyttää niitä? Siinä on tietojen salauksen tehtävä.
Miten salaus toimii
Salauksen perusidea on muuttaa tiedot muotoon, jossa niiden alkuperäinen merkitys on peitetty, ja vain asianmukaisesti valtuutetut henkilöt voivat purkaa ne. Tämä tapahtuu sekoittamalla tiedot matemaattisilla funktioilla, jotka perustuvat avaimeksi kutsuttuun numeroon. Käänteistä prosessia, jossa käytetään samaa tai eri avainta, käytetään tiedon salauksen purkamiseen (tai salauksen purkamiseen). Jos samaa avainta käytetään sekä salaukseen että salauksen purkamiseen, prosessin sanotaan olevan symmetrinen. Jos käytetään eri avaimia, prosessi määritellään epäsymmetriseksi.
Kaksi nykyisin yleisimmin käytettyä salausalgoritmia ovat AES ja RSA. Molemmat ovat erittäin tehokkaita ja turvallisia, mutta niitä käytetään tyypillisesti eri tavoin. Katsotaanpa, miten niitä verrataan toisiinsa.
AES-salaus
AES:stä (Advanced Encryption Standard) on tullut hallitusten, rahoituslaitosten ja turvallisuustietoisten yritysten valitsema salausalgoritmi kaikkialla maailmassa. Yhdysvaltain kansallinen turvallisuusvirasto (NSC) käyttää sitä suojaamaan maan ”huippusalaista” tietoa.
AES-algoritmi soveltaa peräkkäin matemaattisia muunnoksia kuhunkin 128-bittiseen tietolohkoon. Koska tämän lähestymistavan laskentavaatimukset ovat alhaiset, AES:ää voidaan käyttää kuluttajille tarkoitetuissa tietokonelaitteissa, kuten kannettavissa tietokoneissa ja älypuhelimissa, sekä suurten tietomäärien nopeaan salaamiseen. Esimerkiksi IBM:n z14-pääkonesarja käyttää AES:ää mahdollistamaan läpäisevän salauksen, jossa koko järjestelmän kaikki data, olipa se sitten levossa tai liikkeellä, salataan.
AES on symmetrinen algoritmi, joka käyttää samaa 128-, 192- tai 256-bittistä avainta sekä salaukseen että salauksen purkamiseen (AES-järjestelmän turvallisuus kasvaa eksponentiaalisesti avaimen pituuden kasvaessa). Jopa 128-bittisellä avaimella AES:n murtaminen tarkistamalla jokainen 2128:sta mahdollisesta avainarvosta (”brute force” -hyökkäys) on niin laskentaintensiivinen tehtävä, että nopeimmallakin supertietokoneella siihen kuluisi keskimäärin yli 100 biljoonaa vuotta. Itse asiassa AES:ää ei ole koskaan murrettu, ja nykyisten teknologisten suuntausten perusteella sen odotetaan pysyvän turvallisena vielä vuosia.
Lue e-kirjamme
IBM i:n salaus 101
Tämä e-kirja tarjoaa johdannon salaukseen, mukaan lukien parhaat käytännöt IBM i:n salausta varten.
RSA-salaus
RSA on nimetty MIT:n tutkijoiden (Rivest, Shamir ja Adleman) mukaan, jotka kuvasivat sen ensimmäisen kerran vuonna 1977. Se on epäsymmetrinen algoritmi, joka käyttää salaukseen julkisesti tunnettua avainta, mutta vaatii salauksen purkamiseen toisen, vain vastaanottajan tunteman avaimen. Tässä järjestelmässä, jota kutsutaan sopivasti julkisen avaimen kryptografiaksi (PKC), julkinen avain on kahden suuren alkuluvun kertolasku. Vain tämä tulo, jonka pituus on 1024, 2048 tai 4096 bittiä, julkistetaan. RSA:n salauksen purkaminen edellyttää kuitenkin tuotoksen kahden alkuluvun tuntemista. Koska näin suurten lukujen alkutekijöiden laskemiseen ei tunneta mitään menetelmää, vain julkisen avaimen luoja voi luoda myös salauksen purkamiseen tarvittavan yksityisen avaimen.
RSA on laskentaintensiivisempi kuin AES ja paljon hitaampi. Sitä käytetään yleensä vain pienten tietomäärien salaamiseen.
Miten AES ja RSA toimivat yhdessä
AES:n suurimpana ongelmana on se, että symmetrisenä algoritmina se edellyttää, että sekä salaaja että purkaja käyttävät samaa avainta. Tästä aiheutuu ratkaiseva avainhallintakysymys – miten tuo tärkeä salainen avain voidaan jakaa ehkä sadoille vastaanottajille ympäri maailmaa ilman, että on suuri riski, että se vaarantuu huolimattomasti tai tahallisesti jossakin matkan varrella? Vastaus on yhdistää AES- ja RSA-salauksen vahvuudet.
Monissa nykyaikaisissa viestintäympäristöissä, kuten internetissä, suurin osa vaihdettavasta datasta salataan nopealla AES-algoritmilla. Saadakseen salaisen avaimen, jota tarvitaan tiedon salauksen purkamiseen, valtuutetut vastaanottajat julkaisevat julkisen avaimen ja säilyttävät siihen liittyvän yksityisen avaimen, jonka vain he tietävät. Tämän jälkeen lähettäjä käyttää kyseistä julkista avainta ja RSA:ta salatakseen ja lähettäessään kullekin vastaanottajalle oman salaisen AES-avaimensa, jota voidaan käyttää tietojen salauksen purkamiseen.
Lisätietoa salakirjoituksesta saat e-kirjastamme: IBM i Encryption 101
.