tiistai 20. elokuuta 2013

Urkinnan suo siellä, vetelä täällä

Vihreiden Oras Tynkkysen mielestä Suomen kannattaisi kehittää itsestään tietotekniikan turvasatama. Suomen pitäisi taata luottamuksellinen viestintä ja sitoutua olemaan urkkimatta maan sisäistä liikennettä.

Kantona kaskessa on Ruotsi, jonka kautta valtaosa Suomen ulkomaanyhteyksistä kulkee. Ruotsi urkkii kaikkea maansa läpi kulkevaa dataliikennettä -- lähinnä kai siksi, että se kalastelee kiinnostavia tietoja Venäjältä, jonka liikenne kulkee ensin Suomen läpi Ruotsiin ja sieltä maailmalle. Emme me suomalaiset Ruotsia kiinnosta, mutta Venäjältä urkittuja tietoja voi sitten vaihtaa NSA:n kanssa maata itseään kiinnostaviin tietoihin.

Ruotsista on tehty tarinan pahis, mikä on perin epäreilua. Ruotsia ei pidä demonisoida FRA-urkinnan vuoksi vaan pikemminkin kehua siitä. Ainoana maana Ruotsi tekee avoimesti saman, mitä muut salassa ja lain ulkopuolella.

Tynkkynen ehdottaa, että Suomen pitäisi vähentää riippuvuuttaan Ruotsin ulkomaanyhteyksistä ja rakentaa oma kaapeli... niin mihin? Olisiko oma kaapeli Itämeren poikki Saksaan ja siitä edelleen Keski-Eurooppaan turvallisempi vaihtoehto? Saksa vakoilee tasan tarkkaan yhteyksiä siinä missä Ruotsikin; todennäköisesti sen yhteistyö NSA:n kanssa on vielä paljon Ruotsia laajempaa. Se ei vain puhu asiasta, ja siksi saksalaiset poliitikot ovat nyt hämmästyneitä Snowdenin paljastettua maan tiedustelupalvelun yhteistyön NSA:n kanssa.

Suo siellä, vetelä täällä. Itse asiassa kaapelia Suomesta Saksaan on jo suunniteltu, sen kustannukset olisivat noin 50 miljoonaa euroa. Pikkuraha näissä peleissä.

Uusi yhteys suoraan Keski-Eurooppaan olisi tervetullut toimintavarmuuden kannalta, mutta tuskin se urkintaa vähentäisi. Luultavasti jokainen maa seuraa nettiliikennettä ainakin jossain määrin -- laillisesti tai laittomasti. Jos haluamme estää ulkopuolisten maiden suorittaman urkinnan, meidän pitäisi vetää omat kaapelit jokaiseen maahan.

Tynkkynen korosti ehdotuksensa myönteisiä talousvaikutuksia, mutta siinä on mukana myös ideologiaa -- halu tarjota muulle maailmalle tiedon turvasatama (Islanti keksi tämän muuten ensimmäisenä journalistien turvaksi, ja on sillä muutakin käyttöä). Googlen tai Facebookin turvallisuuteen se ei vaikuttaisi, yritysten kotimailla kun on aina pääsy palvelimille olivatpa itse laitteet fyysisesti missä maassa tahansa.

Parempi keino urkinnalta suojautumiseen on laajentaa salaustekniikoiden käyttöä. Fyysistä yhteyttä on mahdoton suojata, mutta tietoliikenteen suojaaminen kyllä onnistuu. Sähköpostin, nettiselailun ja vastaavan voi salata; perinteiset tekstiviestit ja puhelut ovat hankalampia, koska niiden tekniikan määrittelevät operaattorit eikä runkoverkoissa ole salausta.

Googlen, Facebookin ja muiden amerikkalaisten palvelujen (kuten älypuhelinten) todelliseen suojaamiseen on vain yksi, äärimmäinen keino: niiden käytön lopettaminen.

37 kommenttia:

Anonyymi kirjoitti...

Kyllä tuossa Tynkkysen ehdotuksess jotain ideaa on, mutta suomalaisten yritysten pitäisi pystyä tarjoamaan ne palvelut, mutta sivutuotteena pitäisi sitten sietää kaikenlaista sontaa mitä epämääräiset asiakkaat sinne laittavat.

Suomesta voisi tulla tiedonsäilytyksen Sveitsi, mutta onhan Sveitsilläkin ongelmansa epämääräisten talletusten kanssa.

Anonyymi kirjoitti...

Mielestäni tässä keskustelussa on jäänyt aika vähälle huomiolle se, että tietoliikenteen salaukseen on toki muitakin keinoja kuin vain SSL-salaus, jonka nyt ilmeisesti NSA pystyy jollain tavalla murtamaan (tai operaattorit ovat antaneet sille avaimet tai toimittavat tiedot suoraan). Pitäisin esimerkiksi PGP:n käyttöä kohtuullisen turvallisena ja varmana tapana salata viestejä.

Näissä ei niin automaattisissa salaustekniikoissa on vain se huono puoli, että ne hidastavat työntekoa ja ovat kenties hieman vaikeita käyttää. Toki vaarana on myös se, että jos oman avaimensa vaikkapa kadottaa, niin sen jälkeen itselle osoitetun salatun viestin avaaminen ei enää onnistu.

Jouni Laurila kirjoitti...
Kirjoittaja on poistanut tämän kommentin.
Jouni Laurila kirjoitti...

Käsittääkseni tausta ajatuksen on luoda tänne edellytykset turvalliseen toimintaan.
Firmat voivat perustaa keskuksia tietäen ettei ole turhaa urkintaa. Luottamus on vahva voima.

Tuo Ruotsin moittiminen on turhaa kuten blogissa sanotaan. Liikenteenhän voi salata Suomesta käyttäjän tietokoneelle. Se riittää.

Siis kannatta muistaa että ajatuksena on ulkomaiset käyttäjät ja siltä kannalta asiaa kannattaa miettiä

Ovathan pienet valtiot menestyksellä hoitaneet rahaan liittyävää pankitoimintaa, miksi ei tietopankkeja.

Petteri Järvinen kirjoitti...

Mielestäni tässä keskustelussa on jäänyt aika vähälle huomiolle se, että tietoliikenteen salaukseen on toki muitakin keinoja kuin vain SSL-salaus

SSL ei itsessään ole mikään salaus vaan protokolla, jossa voidaan käyttää mitä tahansa salausalgoritmia.

jonka nyt ilmeisesti NSA pystyy jollain tavalla murtamaan (tai operaattorit ovat antaneet sille avaimet tai toimittavat tiedot suoraan).

Ei se nyt ihan niin helppoa ole. Protokollassa voi olla heikkouksia, samoin itse algoritmeissa, mutta mitään helppoa tapaa salakuunteluun ei ole, eikä operaattori voi auttaa siinä mitenkään.

SSL:n tekniikasta oli paljon keskustelua palautteissa muutama blogipostaus taaksepäin.

Pitäisin esimerkiksi PGP:n käyttöä kohtuullisen turvallisena ja varmana tapana salata viestejä.

PGP (tai GPG) on sovellus, jossa voidaan käyttää useampia salausalgoritmeja. Tilanne on siis sama kuin SSL:n kohdalla.

Näissä ei niin automaattisissa salaustekniikoissa on vain se huono puoli, että ne hidastavat työntekoa ja ovat kenties hieman vaikeita käyttää

Totta. Salauksessa on omat vaaransa. Siksi sanotaankin, että "jos luulet salauksen olevan ratkaisu, et ole ymmärtänyt ongelmaa".

Salakuuntelulta suojautumiseen se kuitenkin sopii paremmin kuin uusien fyysisten kaapelien vetäminen maiden välille.

Anonyymi kirjoitti...

Ihmettelen hieman Petteri Järvisen rinnastusta SSL versus PGP. PGP:ssä nyt kuitenkin on itse mahdollisuus luoda salaukseen tarvittavat avaimet. SSL:n tapauksessa avaimet on luonut joku muu ja meidän on vain luotettava siihen, ettei tämä joku muu vapaaehtoisesti tai pakotettuna anna avaimia kolmannelle osapuolelle.

Yksinkertaistettuna: PGP:ssä voi avaimen luoda itse ja periaatteessa tietyllä PGP julkisella avaimella salatun datan saa auki vain parhaassa tapauksessa se henkilö, joka tuntee kyseisen avaimen. Useimmiten avaimen omista. SSL:n tapauksessa taas avain on aina ulkopuolisen käsissä. Etkö Petteri Järvinen näe näissä selvän eron.

Anonyymi kirjoitti...

Mikäli SSL-sertifikaatti luodaan oikein käyttäen CSR (certificate signing request) menettelyä, ei avainparin salaista puolikasta tarvitse luovuttaa kolmansille osapuolille sen enenpää kuin PGP:n kanssakaan. Kaikki eivät tätä tietenkään osaa tehdä oikein.

Kaikissa julkisen avaimen salausmenetelmissä on sama perusongelma: julkisen avaimen haltijan varmistaminen. Tämä on se, missä SSL:n käyttämä infrastruktuuri (PKI) on erittäin ongelmallinen selainten luottaessa satoihin eri sertifikaatteja myöntäviin tahoihin, mutta ei PGP:kään ole sen parempi mikäli avainten oikeellisuutta ei ole luotettavasti tarkistettu. Esimerkiksi sähköpostin osalta se on kuitenkin huomattavasti helpompi järjestää: parasta olisi, jos avainten fingerprintit olisi yleisesti tapana painaa käyntikortteihin. Kasvokkain tapahtuva avainten vaihto on aina turvallisinta. Toki tärkeiden nettisaittien (pankit ym.) SSL-sertifikaattien fingerprintitkin voisi julkaista paperimuodossa, mutta ei taida olla realistista että niitä kukaan tarkastaisi.

Anonyymi kirjoitti...

Mielestäni on aikalailla hurskastelua puhua jostain turvasatamasta. Mitäs luulette, jos Snowden tallentaisi dokumentin suomlaiseen palveluun, niin kuinka nopeasti se olisi USA:n hallussa? Epäilen että ette ehdi kissaa sanomaan kun tiedosto olisi jo luovutettu!

Petteri Järvinen kirjoitti...

Mitähän aiempi anonyymi mahtoi tarkoittaa "avainten luovuttamisella"? Sitäkö, jonka PFS tekee hyödyttömäksi?

PGP:stä puhutaan paljon, mutta kuinka paljon sen (tai GPG:n) salausta oikeasti käytetään? Kuinka moni on saanut GPG:llä salattuja viestejä? Viestintävirasto käyttää tiedotteiden allekirjoittamiseen, lienee harvoja julkisia tahoja.

Mitä algoritmeja GPG:ssä nykyään käytetään? Lista on pitkä (ElGamal, DSA, RSA, AES, 3DES, Blowfish, Twofish, CAST5, MD5, SHA-1, RIPE-MD-160 and TIGER), mutta minkä GPG:n käyttäjät yleisimmin valitsevat?

Anonyymi kirjoitti...

Kiitos Petteri kun kirjoitat näistä tärkeistä asioista.

GPG eli GNU Privacy Guard on vapaa OpenPGP-standardin (RFC4880) implementaatio. Yleisesti käytetään PGP-termiä kun viitataan viestien muotoon.

Luettelit koko joukon PGP:n tukemia kryptoalgoritmeja. Lista on pitkä, koska salausmenelmät ovat eri käyttötarkoituksiin ja niitä käytetään yhdessä: julkisen avaimen ja symmetrinen salaus sekä tiivisteet. On hyvä että on valinnanvaraa, mutta useimmille ihmisille riittää, että valitsee RSA:n tai DSA:n välillä ja RSA:n osalta riittävän pitkä avainpituus (nykyisin minimissään 1024, mieluiten 2048).

PGP:llä on useita muitakin käyttötarkoituksia, kuin sähköpostiliikenteen salaus. Esimerkiksi useimmat GNU/Linux-käyttäjät käyttävät PGP:tä vaikka eivät ole siitä tietoisia, sillä mm. Debian ja Ubuntu allekirjoittaa kaikki levittämänsä paketit PGP:n avulla, jotta niitä voidaan asentaa turvallisesti Internetin yli. Samoin useimmat vakavastiotettavat uptstream-lähdekoodia julkaisevat tahot (mm. Linux-kernel jne.) allekirjoittavat julkaistut lähdekoodiversiot (ns. tarballit ja versionhallintatagit) PGP:llä.

PGP:n käyttöönoton kynnys on valitettavasti korkea johtuen vaikeaselkoisista ohjelmistoista ja kinkkisestä avaintenhallinnasta. Nähdäkseni kuitenkin ihmiset joutuvat elämässään opettelemaan huomattavasti vaikeampin asioita, joten kyse on enemmän asenteista ja tietämättömyydestä. Tilanne lienee muuttumassa kun suuret joukotkin heräävät siihen, että sähköpostissa ei ole yksityisyyttä ellei asialle itse tee jotain.

Anonyymi kirjoitti...

Tietääkö joku, onko SMTP-palvelimen välittämä sähköposti vastaanottajan postipalvelimelle pääsääntöisesti salattu? Jos on, sähköposti on erittäin hyvin suojattu tapa vaihtaa viestejä. Ainoa poikkeus on nämä isot nettipalvelut, jotka luovuttavat vaikka koko postilaatikon sisällön suoraan NSA:lle tai muulle.

Anonyymi kirjoitti...

SMTP-yhteyksien salaaminen (STARTSSL) on onneksi yleistymään päin, mutta en sanoisi, että se on sitä pääsääntöisesti. Palvelimet on myös hyvin usein konfiguroitu hyväksymään lähes mitä vain sertifikaatteja mahdollistaen MITM (man in the middle) -hyökkäykset. Luultavasti SMTP:n kanssa on lukuisa joukko muitakin MITM:n mahdollistavia heikkouksia, kuten se, että MX-tietueet, jotka määräävät mihin palvelimeen domainin posti menee (esim. pjoy.fi smtpedge.hosted.fi) tulevat pääosin täysin suojaamattomasta DNS-infrastruktuurista (juuri kukaan ei käytä DNSSEC:iä).

Joka tapauksessa omassa hallinnassa oleva sähköpostipalvelin SMTP-salauksella on huomattava parannus verrattuna Gmailiin, Outlook.comiin ja muihin vastaaviin julkisiin palveluntarjoajiin, jotka kaikki luovuttavat sähköpostin suoraan NSA:llew.

Anonyymi kirjoitti...

Vaikka SMTP, IMAP ja POP käyttäisivätkin SSL'ää ne hyvin harvoin käyttävät PFS'ää (Perfect Forward Security'ä eli tuoretta Diffie-Hellman avaintenvaihtoa), joten nauhoitetut käyttäjän yhteydet palvelimeensa ja nauhoitetut palvelinten väiset yhteydet(!) saadaan avattua, mikäli palvelimen yksityinen avain saadaan joskus myöhemmin haltuun.

Becker kirjoitti...

Ymmärtääkseni samalla kun Venäjä veti kaasuputken Saksaan, niin sinne upotettiin myös kuitukaapeli, jotta Ruotsi voitaisiin kiertää.
Jos sillä nyt mitään merkitystä oli.

Petteri Järvinen kirjoitti...

Ymmärtääkseni samalla kun Venäjä veti kaasuputken Saksaan, niin sinne upotettiin myös kuitukaapeli, jotta Ruotsi voitaisiin kiertää.
Jos sillä nyt mitään merkitystä oli.


Sillä oli merkitystä ainakin venäläisille. Mutta kävikö niin? Ennen putken laskemista valokuidusta puhuttiin, mutta ainakaan Suomen uutisoinnissa ei enää myöhemmin kerrottu siitä mitään. Joko asia ei kiinnostanut suomalaisia toimittajia tai sitten valokuitu jäi jostain syystä pois projektista.

Anonyymi kirjoitti...

Tuo 1024 pitkä RSA-avain on liian lyhyt. Sitä ei ole viralliesti murrettu, mutta epäilys on, että NSA:lla olisi sen primet löydettynä.

Monilla weppisaiteilla käytetään tuota kilosta avainta ja se salaa yhteydessä käytettävän salausavaimen vaihdon. Tuo RSA-1024 vastaa siis 80 bittistä symmetristä avainta.

Käytänössä salauksessa käytettävä AES-256 suojataan 80-bittisellä avaimella.

PGP:tä ei voi mielestäni käyttää weppimailissa, koska silloin salainen avain pitää tallettaa postipalvelimelle.

Petteri Järvinen kirjoitti...

PGP:tä ei voi mielestäni käyttää weppimailissa, koska silloin salainen avain pitää tallettaa postipalvelimelle.

Ei tarvitse, viestit voivat olla laatikossa salattuina ja ne avataan vasta clientissa lukemista varten. Näin PGP on aina toiminut. Käytöstä tulee tosin kömpelöä, mutta se on web-meilin tapauksessa hinta turvallisuudesta.

Anonyymi kirjoitti...

@Petteri minä en ole nähnyt yhtäkään weppimailia, jossa selaimella (IE, Firefox tms)luetaan pgp:llä salattuja viestejä siten toteutettuna, että privaattiavain olisi omalla koneella.

Asia on toki toinen jos käytän Thunderbirdiä tms asiaksohjelmaa, joka on se perinteinen tapa

Mikäli tuollainen weppimaili on olemassa niin antaisitko esimerkin, haluaisin kernaasti tutustua siihen vai ymmärsimmekö toisiamme hieman väärin?

Petteri Järvinen kirjoitti...

Tarkoitin sitä, että kun PGP-salattu viesti lähetetään ASCII-tekstinä, se näkyy webmailissa sotkuna. Lukemista varten viesti voidaan siirtää selaimesta leikepöydän kautta omaan koneeseen, jossa se purataan. Sama lähetettäessä toisinpäin.

Toki tämä on kovin kömpelöä, mutta mahdollista kuitenkin.

Todennäköisesti Chrome/Firefox-akselilta löytyy plug-in, joka tekee purkamisen/koodauksen automaattisesti. Oleellista on, että purku/salausavain on vain omassa koneessa ja/tai selaimessa.

Anonyymi kirjoitti...

@Petteri

Kiitoksia, selvennyksestä.

Itse halusin painottaa sitä, että selaimella läytettäviä weppimaileja löytyy, mutta se privaattiavain on siellä palvelimella, jossa se ei saisi olla.

Tuo leikepöydän käyttö on tosiaan ainoa tapa, mutta kovin kömpelö.

Selaimeen, firefox/chrome tosiaan näyttäisi olevan webpg tyrkyllä, pitänee tutustua.

Thunderbirdissä olen käyttänyt enigmailia, joka on minulle välttänyt.

Dr Jouni Laurila kirjoitti...

Olen joskus kauan sitten viritellyt Thunderbirdin toimimaan PGP kanssa. Aika vaivalloista oli.

Onko teillä kokemusta esimerkiksi tästä.
https://itunes.apple.com/us/app/ipgmail/id430780873?mt=8

Onko se helppo käyttää ihan tavallisen käyttäjän?

Entä onko tämä toimiva. https://www.macupdate.com/app/mac/7654/gpgmail

Ottaisin mielellään käyttöön vaikka edes oman perheen kesken aluksi jos on helppo käyttää.

ac kirjoitti...

@Jouni

GPGMail ei ole erillinen postiohjelmisto vaan se on OS X:n natiivin Mail ohjelman (Mail.app) lisäosa, joka käyttää siihen mukaan paketoitua GPG:tä.

GPGMail toimii OK ja on helppo käyttää sitten kun ymmärtää miten GPG:n (ts. PGP:n Gnu version) kanssa toimintaan.

Olen käyttänyt sitä itse varsin pitkään ja se toimii hyvin, Thunderbirding Enigmail on hieman kypsempi tuote kuin 2.0.x sarjan GPGMail, tämä johtuu siitä, että GPGMail 2.0 julkaistiin vasta alkukesästä. Snow Leopardin kanssa toimivaa yleistä jakeluversiota piti odotella aika kauan, mutta rahallista tukea antaneet saivat kehitysversion käyttöönsä aika pian viime vuodenvaihteessa. Apple muutti Mail ohjelmaa niin paljon Snow Leopardissa, että suuri osa GPGMail ohjelmistosta piti kirjoittaa uusiksi, eikä Applen tiukka politiikka API:en ja sovellusten allekirjoittamisen kanssa tehnyt asiasta kehittäjille helppoa.

Valinta GPGMail ja Enigmailin välillä, kun molemmat ovat eri sähköpostin asiakasohjelmien lisäosia, riippuu tietysti siitä kumpaa asiakasohjelmaa käyttää. Webmaileista ei käytännössä saa turvallista, ei edes lisäosilla joten ne kannattaa unohtaa jos ja kun haluaa viestiä turvallisesti.

GPG:n (PGP:n) avainten hallinnan ymmärtäminen ja ainakin auttavasti osaaminen on edellytys sille, että GPGMail tai Enigmail lisäosia voi käyttää.

Googlella löytää aika hyvin ohjeita GPG / PGP:n käyttöön englanniksi, mutta hyviä selkeitä ohjeita suomeksi aloittelijalle en ole vielä suomeksi nähnyt. Se on ilmeisesti suurin esten laajemman käytön esteenä ja toiseksi pelko komentoriviä kohtaan, jota joutuu usein aloituksessa hieman käyttämään.

Avainten vaihto ja halinta kanssa tuntuu vaikealta. Mutta kaikki riippuu siitä että minkälaiset kriteerit asettaa viestintänsä osapuolten ja heidän avaintensa sormenjälkien todentamiselle ennen kuin niitä käyttää.

Yksinkertaisimmillaan perheenjäsenten tai hyvin toisensa äänestä ja puhetavasta ym. tuntevat voivat tehdä niin, että riittää ensin jompi kumpi kun lähettää toiselle julkisen avaimensa ja sitten vastaanottaja soittaa lähettäjän puhelinnumeroon, jota hän on käyttänyt jo aiemmin. Lähettäjä lukee sitten puhelimessa lähettämäsä avaimensa sormenjäljen, ennen kuin soittaja ts. vastaanottaja ottaa sen käyttöön ja allekirjoittaa sen, jotta postiohjelma luottaa siihen. Sen jälkeen vastaanottaja voikin jo lähettää avaimensa toiselle salattuna ja allekirjoittaa viestinsä omalla julkisella avaimellaan. Vastaanottaja avaa viestin ja ottaa julkisen avaimen sieltä, sekä allekirjoittaa sen omaa käyttöään varten. Sen jälkeen molemmilla on toistensa varmennetut avaimet joilla kommunikoida ja varmentaa viestejä.

Toki varminta on aina luovuttaa avain ja sormenjälki henkilökohtaisesti samalla kun todistaa henkilökohtaisesti henkilöllisyytensä henkilökortilla tai passilla, mutta ellei kyse arkiviestintää tärkeämmistä asioista tai epävarmuustekijöitä toisesta osapuolesta niin siihen harvemmin on tarvetta ryhtyä.

Eli järki käteen protokollan kanssa ja ymmärtämystä, että allekirjoittamalla toisen julkisen avaimen ei todista muuta kuin, että olen tarkistanut että tämä avain on sen ja sen minulle luovuttama avain. Ei siis sitä, että nyt tästä lähtien minä luotan tähän henkilöön 100%:ti tai 80%:sti.

Petterihän tai joku muu Tietokone -lehteen kirjoittava voisi tehdä asiasta hyvän artikkelin. Kiinnostusta varmasti olisi monella, mutta alkuun tarvittaisiin hieman apua ja rohkaisua.

Petteri Järvinen kirjoitti...

Minkälaiseen viestintään käytät PGP:tä? Kuinka monen ihmisen kanssa?

Kaikesta puheesta huolimatta (jota on jatkunut jo vuosia) uskon, että PGP:n käyttö on yllättävän vähäistä jopa tietoturvaihmisten omassa keskuudessa. On vain liian hankala hyötyyn nähden... tai jotain.

Dr Jouni Laurila kirjoitti...

Kiitos vastauksesta.
Koitan tutkia ja katsoa saisiko sen kohtuullisella vaivalla toimimaan Macissä.

Toinen jota olen välillä miettinyt on serveriohjelma Macciin ja perustaa oma sähköpostipalvelin. Ohjelma ei ole kallis.

Onko siitä kenelläkään kokemusta. Saako sen kohtuudella toimimaan yksityiskäytössä?


Jostakin PGP käyttä pitäisi vain lähteä. Kun on motiivi ja on riittävän helppo lähtee laajenemaan.
Tämä on hetki jolloinka ihmiset miettivät salaamista aktiivisesti ja sikäli voisi olla oikea hetki.

Yrityksillä näyttää olevan jotain omia systeemejään. En tunne sen enempää kuin että olen esimerkiksi tämmöistä nähnyt.

https://s-mail.fennia.fi/help/enus_encryption.htm

Onko tämä tuttu?

ac kirjoitti...

@Petteri

Käytän GPG:tä työ- ja siviiliasioissa. Molempia varten on omat avaimet.

Työavaimet voin vaikka antaa työnantajalle jos ne sitä haluavat sitten kun en enää työskentele. Toki siinä vaiheessa myös julkaisen jo avainten luontivaiheessa tekemäni peruutusvarmenteen (revocation certificate). Tämä siksi, että työnantaja tai kuka tahansa avaimen saanut ei voi niitä enää käyttää julkisesti, ilman että väärinkäyttö voidaan todeta ja vieläpä helposti.

Jaa-a, paljonko käytän PGP:tä?

No kuluneella viikolla en ole vielä lähettänyt yhtään siviiliviestiä GPG:llä salattuna tai allekirjoitettuna, mutta mahdollisesti tänään tai huomenna kun ajattelin lähettää yhden viestin päädyn sen salaamaan ja tietysti samalla allekirjoittamaan. Kyseessä on yksi vanha kolleega, jonka kanssa vaihdamme viestejä yksityisesti kuukauden parin välein lähinnä harrastuksista ja yleisiä kuulumisia.

Omaa yli 30v ulkomailla asunutta sisartani en ole saanut opetettua GPG:n käyttöön, hänelle pelkkä selainkin on liian vaikea välillä. No tärkeät asiat saan lähetettyä hänen tyttäriensä kautta jotka osaavat tietotekniikkaa ja joille vuosia sitten vieraillessani kerroin PGP:stä ja opetin sen käytön perusasiat. Käytännön asioita joita on hoidettu tätä kautta ovat olleet perinnön jakoon, perimämme kesämökin hoitoon, omaisuuden myyntiin ja verotukseen liittyvät asiakirjat ja keskustelu yleensäkin koko 2000 luvun.

En minä nyt niin mahdottomasti muutenkaan sukulaisille ja sisaruksille viestittele ympäriinsä, soitain vain 3-4 kertaa vuodessa siskolle ja puhumme silloin yleensä niin kauan kuin asiaa riittää, yleensä tunnin tai hieman enemmän.

Mikäli siskoni ei olisi niin ummikko tietotekniikan kanssa kuin on, niin minulle ei olisi yhtään sen hankalampaa salata kaikkea viestintää sinne. Jos tarvetta olisi jatkuvasti enemmän niin laittaisin VPN-tunnelointiin hyvät ammattitason laitteet jotka kestävät 5-7 vuotta hyvin maksaisivat yhteensä hankittuna alle 1500,- ja konfigurointi on yli 25v alalla olleelle alle tunnin rupeama, sitten toinen laite postiin tai DHL:llä ovelle ja sieltä verkkoon, sen jälkeen laitteet sen taakse ja kaikki liikenne näiden pisteiden välillä on salattua.

ac kirjoitti...

... jatko

Työasioissa käytän PGP:tä melkein viikoittain, hieman riipuen asiasta joka suojattava. Kuluneella viikolla sain 34 henkilökohtaisesti vain minulle osoitettua viestiä jotka olisi periaatteessa voinut olla salattua, niistä 4 oli PGP:lla salattua ja lähetin itse 5 PGP:llä salattua viestiä. (Minulle tulee satoja yleisiä tiedotteita työnantajalta, yhteistyökumppaneilta, service-desk ohjelmistosta ym. viikossa, mutta niitä nyt kukaan tuskin odottaa salattavan).

Tapaan vuosittain kolleegojani muista organisaatioista vastaavissa tehtävissä ja meillä on ollut tapana järjestää avainpartyja joissa vaihdetaan avaimia. Lähes kaikki tuosta noin 40-60 ihmisestä koostuvasta joukosta käyttää PGP:tä työssään. Käytän PGP:tä tämän väen kanssa keskustellessa aina kun kyse ei ole vain jostain yleisestä asiasta joka lähtee koko joukolle.

Suurin käytännön vaikeus heillä monella on se, että Microsoft Exchange 2010 ei vieläkään tue PGP:tä eikä siihen saada sitä edes lisäosilla. Moni käyttää siksi rinnalla Thunderbirdiä ja on yhdistänyt sen Exchangeeen IMAP:n kautta. Kun Thunderbirdiin laittaa lisäksi Enigmailin, niin PGP:käyttö onkin jo sitten melko luontevaa. OWA:lla ei toki voi lukea ja lähettää PGP avattuja viestejä, mutta jos ja kun sellaisen saa, niin Thunderbird auki ja viestin käsittely sitten sieltä kautta.

PGP ei ole niin vaikea, että sitä ei oppisi jos on edes hieman halua oppia ja nähdä sen eteen vaivaa edes pari tuntia yhden kerran. Turvallinen toiminta ja käyttö vaatii aina jonkin verran harkintaa päivittäisessä käytössä, ei PGP ole siltä osin poikkeus, mutta sitten kun sen ymmärtää niin kyse on yhtä vaikeasta aisasta käyttää kuin vaikkapa laskun maksaminen verkkkopankissa. Huolellinen siinäkin pitää muistaa olla.

Toki sen käytön aloittaminen voisi olla hieman helpompaa ja eri tilainteita kuvavilla esimerkeillä suomeksi varmasti moni helpommin alkaisi sitä käyttäää verrattuna nykytilanteeseen, että täytyy vieraalla kielellä perehtyä vieraaseen asiaan, joka saa asian tuntumaan paljon monimutkaisemmalta kuin mitä se todellisuudessa on.

ac kirjoitti...

@Jouni

GPGMail:ssa on vaikeinta ymmärtää mitä on tekemässä, teknisesti se on helppo käyttää ja konfiguroida.

Oman sähköpostipalvelimen ylläpito taas on vaikeusasteeltaan huomattavain paljon vaikeampi asia. Siinä voi mennä niin moni asia pieleen, että sitä ei kannatta edes yrittää, ellet ole todellakin valmis paneutumaan asiaan.

Sen rakentaminen oikein, niin että:

- spam suodatus toimii oikein,

- on virustorjuntaa jos verkossasi on windows koneita,

- sinulla on käytettävissä SSL myös SMTP kerroksella,

- autentikoidut käyttäjätunnukset ulkoverkosta, jotta voit lähettää sen kautta sähköpostia SMTP:llä TLS:n yli,

- noutaa postia IMAPS:n kautta ja ennen kaikkea älä unohda varmistaa,

- että Spammerit eivät käytä palveluasi hyökkäyksessä jonnekin muualle ja et sitä kautta päädy sulkulistoille tai operaattorisi estä pääsyä palveluusi ei ole mikään piknik puistossa.

Varaudu siihen, että teet töitä useita satoja tunteja kun rakennat palvelua ensimmäistä kertaa. Toisella kerralla voit onnistua puolittamaan ajan, mutta ammatilainenkin rakentaa vastaavia palveluita helposti viikon tai kaksi, niin että kaikki toiminnot on testattu teknisesti toimiviksi ja turvallisiksi.

Juu ja älä yritä tehdä Mäkistä sähköpostipalvelinta, ei OS X serveri-versiosta eikä desktop-versiosta.

Debian, Ubuntu tai CentOS linux sopivat siihen paremmin. Niissä on valinnan varaa ja ohjeita (Howto's) ja ihmisiä jotka osaavat neuvoa löytyy enemmän kuin Mäkin tapauksessa.

Muista, että jos sähläät yhdenkin kerran ja palvelusi vuotaa, spammerit valtaavat sen, niin teet viikkotolkulla töitä selvittääksesi maineesi ettet ole spämmeri ja aiheuttamasi sotkun, poistaaksesi itsesi sulku-listoilta joista osalta ei pääse pois kuin maksamalla rahaa.

IMHO, sähköpostipalvelua ei pitäisi kenenkään, jolla ei ole jo vankkaa kokemusta Unix/Linux/*BSD pohjaisen järjestelmän pystyttämisestä edes yrittää pystyttää. Maailma on tässä suhteessa erilainen kuin vielä 10+ vuotta sitten, silloin virheitä annettiin anteeksi helpommin, nyt teet kerran ison virheen ja sen jälkeen et saa enää edes yrittää ainakaan vaihtamatta operaattoria ja domainnimeä jota käytät.

Parempi vaihtoehto on ostaa sähköpostipalvelu joltain suomalaiselta toimijalta, vaikka jonkun domainnimen yhteydessä. Edullisia tarjoajia on edelleen, mm. datamappi.fi on muutamien
kehuma. Siellä on mm. yhdistysten web-
sivuja ja sähköpostipalveluita.

ps. Minulla ei ole mitään yhteyttä mainitsemaani firmaan, olen vain kuullut sinne siirtyneiltä, että homma toimii ja on edullista.

Jouni Laurila kirjoitti...

Sitä voikin viimeaikaisten tapahtumien jälkeen miksi Microsoft ei ole mukana PGP:ssä.

Macpuoli näyttä paremmalta, mutta se on enemmän yksityiskäytössä.

Saisiko sieltä sitä kriittistä massaa läpilyöntiin.

Dr Jouni Laurila kirjoitti...

Sen verran katsoin se palvelun aloittamista, että aavistin juuri noita ongelmia olevan, enkä siihen lähtenyt.

Onkohan missään listaa kotimaisista sähköpostipalveluista ja mielellään myös vertailua?

Anonyymi kirjoitti...

@Jouni Laurila Miksi Microsoft...

No sen takia kun S/Mime on heidän mielestään parempi, mutta ei yhteen sopiva PGP:n kanssa, kuten varmaan arvata saattaa.

Anonyymi kirjoitti...

@ac
Onkohan oman sähköpostipalvelimen pystyttäminen kuitenkaan ihan noin hankalaa ja riskialtista kuin annat ymmärtää?

Asensin kotona Debian-koneeseen postfix:n SMTP- ja dovecot:n IMAP-palvelimeksi. Nämä tuntuvat toimivan varsin mutkattomasti yhteen hyvin vähäisellä virittelyllä, melkein suoraan paketista. Kumpikin on laajamittaisessa tuotantokäytössä olevia softia, joten uskoakseni niiden suunnittelussa on otettu verkkoympäristön arkirealiteetit huomioon. SSL/TLS toimii niin SMTP:n kuin IMAP:n kanssa, toki alkuun vain omatekoisella sertifikaatilla.

Kun palvelin on pystyssä, sen käyttö on aivan samanlaista kuin vaikka gmailin käyttö sähköpostiohjelmalla. Thunderbirdiin vain osoitteet ja tunnukset kohdilleen niin posti kulkee.

Aikaa virittelyyn kului muutamia tunteja. Eniten aikaa kului oikeastaan siihen, että päätyi juuri näihin paketteihin. Sekä postfix:n että dovecot:n säätämiseen löytyy netistä kattavat ohjeet. Ainakaan netistä löytyvät 'SMTP-testikolkuttelijat' eivät löytäneet palvelimesta ilmeisiä reikiä.

Lokitiedostoista näkee, että monenlaista kolkuttelijaa käy SMTP-portilla kokeilemassa onneaan. Määrä on kuitenkin aika pieni verrattuna SSH-portin kolkuttelijoihin.

spam-suodattimen ja virustorjunnan tuohon voisi vielä ehkä rakentaa. Onkohan hyviä ehdotuksia?

Anonyymi kirjoitti...

Kaikesta puheesta huolimatta (jota on jatkunut jo vuosia) uskon, että PGP:n käyttö on yllättävän vähäistä jopa tietoturvaihmisten omassa keskuudessa. On vain liian hankala hyötyyn nähden... tai jotain.

PGP:n suurin heikkous on siinä, että se salaa vain viestien sisällön mutta ei mukana kulkevaa metadataa - kuten viestiliikenteen osapuolia tai ajankohtaa.

Epäilenpä, että jo pelkkä tieto siitä, että "Alice" viestittelee "Bob":n kanssa on monelle urkkijalle kiinnostava tieto jo yksinään.

Jos ihmiset käyttäisivät sähköpostiin omia tai pienen piirin sähköpostipalvelimia Gmail:n tapaisten jättien sijasta, sähköpostiurkinta tulisi huomattavasti nykyistä vaikeammaksi. Salatusta SMTP/IMAP:sta ei ihan helposti kaivetakaan tietoja esille.

Dr Jouni Laurila kirjoitti...

Eiköhän Micrsoftilla ole mielessä sama kuin G-mailillä eli tutkia postien sisältöjä. G-mail kerää rahansa siitä saatavilla mainoksilla. Onko MS pitänyt sitä optiona, ehkä.
En tiedä mitä USA viranomaiset virallisesti tai salassa edellyttävät. Kuinka kauan ovat halunneet turvata viestien katselun? Veikkaan yli kymmenen vuotta.
Saattaahan sieltä avauta näkymät kilpailijoiden suunnitelmiin jos sattuu silmä "vahinossa" vilkaisemaan sisältöjä.

Testaan tuon PGP toiminnan Macissa.
Olisi kyllä hieno jos jossain myös käytäisiin läpi oman s-posti palvelimen perustaminen käyttäen Linuxia tai vaikka Maccia.
Voisiko joku hyvä alan lehti vaikka tehdä sen?



Anonyymi kirjoitti...

Oletan, että haluat paketinhallin kautta saatavat paketit Debianiin.

clamav, virustorjuntaan
spamassassin, spammin suodattamiseen
amavis, on se framework, joka yhdistää mailerin ja suodattimet.

ac kirjoitti...

@Anonyymi

Onkohan oman sähköpostipalvelimen pystyttäminen kuitenkaan ihan noin hankalaa ja riskialtista kuin annat ymmärtää?

Sen mukaan mitä olen itse isossa ympäristössä toimiessani nähnyt ja aivan vastaavaa kolleegoiltanin muista organisaatioista kuullut, niin keskimäärin jos 100 ihmistä yrittää sähköpostijärjestelmää rakentaa niin ehkä 10-20 siinä onnistuu lopulta niin, että se a) toimii oikein ja b) ei vuoda kuin seula.

Onnistujat ovat yleensä poikkeuksellisen fiksuja muutenkin ja harrastuneisuus on ollut jo pitkäaikaista tietokoneiden harrastamista. On myös harrastettu edes hieman ohjelmointia, tehty web-sovelluksia, ei vain staattisia web-sivuja jollain sivueditorilla tms.

Tavallisen keskimääräisen tietokoneen käyttäjän, sellaisen kun hän nykyään on mahdollisuudet onnistua on melko olemattomat, koska tässä puhutaan nyt niin kaukana tavallisen tossun kuluttajan kokemuspiirin ulkopuolella olevan asian tekemisestä.

Yli 30v vanhan protokollan käyttämisestä, jossa on paljon puutteita, rajoitteita ja sudenkuoppia, joita sitten on lisäosilla ja virityksillä korjailtu vuosikymmenten aikana. Koko asiasta käsityksen saaminen miten järjestelmä toimii on olennaista, että voi onnistua. Oletusasetuksin juuri mikään sähköpostipalvelin -ohjelmisto ei ole turvallinen vaan se täytyy erikseen konfiguroida turvalliseksi.

Verkosta löytyy myös vielä vanhoja suorastaan väärin neuvovia ohjeita, joita sinne on unohtunut ja osittain siitä syystä, että joku hyväntahtoinen mutta asiaa osaamaton ja ymmärtämätön on sinne kirjoittanut. Tai sitten vain ohjeet ovat vanhat ja neuvovat siksi tekemään jonkun asian väärin, josta seuraa turvallisuusonglema. Asiallisen ohjeen erottaminen ei ole asiaa tuntemattomalle kovinkaan helppo tehtävä.

(Tämä on se sama syy, jonka vuoksi mm. PHP/MySQL on ollut pitkään murheenkryyni verkon tietoturvan kannalta, verkossa on paljon väärin ja turvattomasti neuvovia ohjeita. Niistä sitten seuraa se, että aloitteleva koodaaja vain leikkaa/liimaa jonkun koodin pätkän ja saa aikaan SQL-injecton tai XSS haavoittuvuuden sovellukseensa. Asia paljastuu sitten kun sivustolle murtaudutaan tai spämmerit lähettävät roskaa sitä kautta).

Palveluiden pystyttäminen turvallisesti edellyttää aika paljon enemmän kuin vain sen, että ymmärtää miten tietokone toimii kokonaisuutena eikä vain pidä sitä mustana laatikkona. Pelkkä halu tehdä asioita ei riitä, tarvitaan myös kärsivällistyyttä perehtyä uusiin vieraisiin asioihin eikä hermostua siitä että jokin asia ei toimikaan aina edes 10:n yrityksen jälkeen, vaan on perehdyttävä asiaan vielä syvemmin.

Edellä mainittu perustuu noin 25 vuoden kokemuksiin ja siihen kun olen itse rakentanut & ylläpitänyt isoja järjestelmiä, mukaanlukien postijärjestelmät, suurissa organisaatioisssa ja nähnyt mihin se ajan mittaa johti kunnes palomuureilla yleisesti suljettiin SMTP ulkopuolelta noin 10v sitten, jonka jälkeen hölmöily omin päin ei enää onnistunut.

ac kirjoitti...

Jatko ...

Ohjelmien osalta kehitystä parempaan suuntaan konfiguroinnin helppouuden puolesta on tapahtunut ja vaara ei ole aivan niin suuri kuin vielä silloin kun sendmail oli oletuksena välitysohjelmana. Sendmail on erinomainen SMTP gateway, mutta sen konfigurointi on kuin venäläisen ruletin pelaamista jos ei tiedä miten sen kanssa pitää toimia. Useimmat eivät tiedä ja siitä seurasi isoja ongelmia.

Postfix on helpompi, mutta kyllä senkin malttamaton saa helposti rikki. Malttamattomat kun tyypillisesti kääntävät kaikki nupit kaakkoon, kun homma ensi yrittämällä toimikaan. Sitten helposti ovet onkin levällään kuin ladon ovet ja siitä sisään tulevat spämmeritkin.

Debian on erinomainen postipalvelimen alusta, mutta siihen kannattaa muistaa myös lisätä se oletusasennuksesta puuttuva iptables palomuuri whitelist sääntöineen ulkoa päin sisälle vain tarvittaviin portteihin. Ilman sitä se ei ole turvallinen.

Niin ja sitten kun sen virityksensä on rakentanut, niin sitä pitää muistaa a) monitoroida, b) ajaa päivitykset, c) sekä seurata vähintään ainakin distron tekijän ja lisäksi myös esim. CERT-FI:n tietoturvatiedotteita vaikka RSS feedien avulla niin, että saa tiedon siitä jos / kun järjestelmän joku komponentti vuotaa ja se pitää kytkeä pois jollei ohjelmiston tekijä sitä päivitä kohtuullisessa ajassa.

Siihen ei enää saa luottaa, että verkossa vielä voisi olla palveluita joita spämmerit tai murtokohteita etsivät eivät löytäisi. Kyllä löytävät, verkossa on useita spidereita ja niihin tehtyjä hakukoneita, joilla haavoittuvat koneet löytyvät todella nopeasti. Aalto yliopiston Shodan on vain yksi niistä.

Minulla on ollut vuosikymmenien aikana mahdollisuus nähdä kuinka valmistuneet ja muutaman vuoden työelämässä näitä tehtäviä tekevät vaikka hallitsevat asiat teoriassa ja osaavat saada labrassa jonkin järjestelmän toimimaan on suuria vaikeuksia ymmärtää kuinka erilaista on rakentaa järjestelmiä jotka sitten toimivat käytännössä hyvin vuosikausia tai -kymmeniä säilyttäen hyvän skaalautuvuuden, käytettävyyden ja tietoturvan. Se on aika erilaista kuin vain rykäistä pystyyn labrassa viritys ja tokaista, olipa helppoa mitäs seuraavaksi pystytettäisiin!

Tarkoitukseni ei ollut lannistaa Jounia. Kyllä hän luultavasti selviää sähköpostipalvelimen pystyttämisestä, mutta hänen on syytä paneutua asiaan sen vaatimalla huolellisuudella.

Jouni ei varmasti edusta keskimääräistä tietokoneen käyttäjää, kyllä tohtoriksi on täytynyt osata nähdä vaivaa joten hänellä ainakin se puoli on kunnossa :)

Anonyymi kirjoitti...

KHO:n on havaittu antaneen tuomionsa case Matti Nikistä: "lapsiporno-listan" (jonka pointti oli että listalla oli oikeastaan kaikkea muuta kuin lapsipornoa) sensurointi oli OK, koska siinä oli "muun sisällön" ohella "lapsipornoa".

Mukavaa kuinka lapsipornoa on kaikki porno josta tuomioistuin tai poliisivirkamies ei pidä on lapoa. Seuraavaksi odotettavissa: eikun Britannian malliin tavoitteeksi sensuroida kaikki porno poies! :D

Website Security Test