Tietoturvan perusteet

• Aidoksi/oikeaksi todentaminen
• Tarvitaan esimerkiksi oikeuksien myöntämiseen
  • Luottamuksellisuus
• Erilaisia kohteita
  • Henkilö, yritys, laite, tuote, tapahtuma

1. Henkilön tunnistaminen

• Luottamussuhde
• Reaalimaailmassa: naama, eleet, tavat…

2. Kaupan tunnistaminen

• Kaupan nimi
• Tuotteet ikkunalla
• Tuttu myyjä

3. Tuotteiden tunnistaminen

• Onko raha aito?
• Onko tuote se mitä haluttiin

1. Henkilön autentikointi

• Ei fyysisiä tunnisteita suoraan käytössä.
• Salasanat, digitaaliset allekirjoitukset, varmenteet, biometriikka.

1. Henkilön tunnistaminen paikallisesti
   • Tunniste syötetään suoraan autentikointi laitteeseen
   • Esim. Läppärin salasana
2. Henkilön tunnistaminen etänä
   • Tunniste syötetään erilliseen laitteeseen ja siirretään siitä eteenpäin haluttuun palveluun
   • Esim verkkopankin salasana

2. Kaupan autentikointi

• Varmenteet
  • Kolmannen osapuolen todistus, että olet juuri kyseisen kaupan verkkopalvelussa.
• Kuinka tunnistaa rehellinen verkkokauppa huijarista?
  • Brändit arvokkaita
• Entä kauppias?
  • huuto.net, eBay

3. Tapahtumien autentikointi

• Yhteyden autentikointi
  • Autentikointi tapahtuu yhteyden muodostuessa.
  • Kaikki tapahtumat merkitään autentikoidulle taholle, kunnes ulos kirjautuminen tapahtuu.
  • Esim Facebook
• Tapahtuman autentikointi
  • Halutut toimet/tapahtumat varmistetaan ja autentikoidaan erikseen
  • Esim. Kaupassa maksu.
    • Tuotteet voidaan valita anonyymisti
    • Vasta maksettaessa autentikoidutaan ja kerrotaan kuka haluaa maksaa.

• Toisena esiintyminen
  • URL huijaukset (osoite huijaukset)
• Autentikoinnin kiertäminen
  • Tunnistetietojen väärentäminen
• Autentikointi tietojen väärinkäyttö
• Hyökkäys autentikointia vastaan voi olla tuottoissa
  • Muiden luottokortilla ostelu, Väärennetyillä henkilötiedoilla lisäoikeuksien hankkiminen
  • Luottamuksen luonti, Ylimääräisen tiedon hankinta (salasanat, henkilötiedot)

• Ennen autentikointia, täytyy käyttäjän tunnistetieto olla tallennettuna tietokantaan taholla joka hoitaa autentikoinnin
  • Autentikointi voidaan tehdä lokaalisti tai kolmannen osapuolen avulla.
• Yleensä kaksiosainen tapahtuma:

1. Ensin käyttäjän tunnistus (identification):
   • Esimerkiksi käyttäjätunnuksen kirjoitus
2. Käyttäjän varmistus(autentikointi):
   • Salasanan kirjoittaminen, haasteeseen vastaus, biometrisen tiedon toimittaminen
   • Tulosta vertaillaan tietokannassa oleviin tietoihin

• Perustuvat johonkin mitä käyttäjä tietää
  • Esim. salasana korkeakoululla
• Rekisteröinti
  • Rekisteröityessä käyttäjä saa käyttäjä tunnuksen ja valitsee salasanan jolla autentikoituu
    • Järjestelmä voi myös luoda salasanan käyttäjälle
• Tiedot salasanasta tallennetaan järjestelmään
• Autentikointi
  • Järjestelmään palatessaan käyttäjä syöttää käyttäjätunnuksensa ja salasanan
  • Järjestelmä vertaa käyttäjän antamaa salasanaa jäjrjestelmään tallennettuun

• Salasanan varastaminen järjestelmästä
  • Piilotetaan salasana tiedosto peruskäyttäjiltä
    • esim /etc/shadow linuxissa
  • Yleensä itse salasanaa ei tallenneta vaan siitä laskettu tiiviste
    • linux käyttää nykyään md5:ttä (aiemmin DES salausta)
• Salasanan pituus
  • Bruteforce. sanakirja hyökkäykset vrt. avaimet.
  • Vaikeutetaan käyttämällä suolaa (salt) eli satunnaisia ylimääräisiä bittejä
    • Julkinen salt → vaikeuttaa hyökkäystä salasanajoukkoa vastaan
    • Salainen salt → vaikeuttaa hyökkäystä yksittäistä salasanaa vastaan ja hidastaa autentikointia

• Kuinka muistaa pitkä salasana?
  • Konetehot ovat jo niin isoja, että riittävän pitkän salasanan muistaminen. on vaikeaa
    • Tämän päivän turvallinen salasana on huomisen heikko salasana.
  • Vaikeat salasanat kirjoitetaan yleensä lapulle ylös, joka on itsessään riski.
    • Salasana lappua tulee säilyttää turvassa
• Tutkimustuloksia vuodelta 2005:
  • 16 prosenttia salasanoista oli 3 merkkiä tai lyhyempiä
  • 86% salasanoista oli helppo selvittää

• Salasanojen varastaminen on helppoa
  • Samoja salasanoja käytetään useassa paikassa
  • Paikan A salasana kirjoitetaan vahingossa paikkaan B yritettäessä
  • Ihmiset antavat helposti tietoja käyttämistään järjestelmistä kun luvataan alennuksia tai muita etuja.
• Salasanoja jaetaan helposti muille
  • Ystävät, työtoverit, ylläpito, puhelinlaitos jne.
  • Yleensä työn tai toiminteen helpottamiseksi
• Väärä ajattelumalli
  • Ei tarvitse juosta karhua nopeammin, ainoastaan mukana olijoita
  • Hyökkääjä mielellään hyödyntää useampiakin tunnuksia, eikä vain ensimmäisenä löytyvää.

• Turvallisuuden takaamiseksi salasana tulisi vaihtaa säännöllisesti
• Brute force hyökkäystä varten hyökkääjä varten tarvitsee tiedoston jossa salasanat ja tunnukset ovat salattuna
• Onko lyhyt PIN koodi turvallinen?
  • Käsin mahdollisuuksienläpikäynti on kuitenki iso urakka.
  • Varashälyttimessä ainoastaan 10 sekunttia aikaa syöttää oikea tunnus.
  • Toimii, koska hyökkäystä ei voida automatisoida

• Brute-force hyökkäys (raa’ an voiman hyökkäys)
  • Käydään mahdolliset salasanat läpi kunnes oikea löytyy
  • 8 bitin salasana: 28 = 256 mahdollista avainta
  • 8 merkkiä pitkä salasana( kuvaus 8*8bittiä = 64b )
    • Pienet kirjaimet:
    • Pienet ja isot kirjaimet
    • kaikki mahdolliset bittikuviot
  • Kone tehon kasvaessa avainten läpikäynti aika pienenee

• Hyvä salasana
  • Sanakirja hyökkäys ei toimi
  • Tarpeeksi pitkä
    • Hyökkäjä ei jaksa odottaa vuosia salasanan selviämistä
    • Pitkä salasana vaikea muistaa,
      • kuinka tallettaa salasana turvallisesti, jos sitä ei muista?

• Avain lauseet
  • Käyttävät yksisuuntaisia funktioita
  • Käyttökelpoisia myös julkisen avaimen systeemien kanssa
  • Mikä lause on tarpeeksi pitkä
    • Informaatioteorettinen nyrkkisääntö : 5 sanaa tuottaa 4 tavua (32bittiä) salasanaa (englannin kielessä)

• Entropia
  • Epävarmuustekijä
    • Mitä enemmän mahdollisuuksia (satunnaisuutta) sitä suurempi entropia
    • Mitä tasaisemmin satunnaisuus jakautuu kaikkien mahdollisten tapahtumien kesken, sitä suurempi entropia
  • Kirjaimen esittämiseen käytetään 8 bittiä
    • Englannin kielessä yhden kirjaimen entropiaksia on laskettu alle 1.3
    • Pelkkiä kirjaimia käytettäessä tarvitaan pitempi salasana, kuin jos mukana on myös erikoismerkit
    • Sanakirja hyökkäys.
      • L0phtcrack - ohjelma käy 400 MHZ:n quad pentiumilla 8 Megatavun sanakirjan läpi muutamassa sekunnissa
  • 128 bitin suojaus NT:ssä
    • Heikkoutena salasana
    • Algoritmi voi hyväksy 128 bittiä, mutta salasana ei anna niin paljon –> suojaus ei ole 128 bittiä.

• Avain lauseet
  • Käyttävät yksisuuntaisia funktioita
  • Käyttökelpoisia myös julkisen avaimen systeemien kanssa
  • Mikä lause on tarpeeksi pitkä
    • Informaatioteorettinen nyrkkisääntö : 5 sanaa tuottaa 4 tavua (32bittiä) salasanaa (englannin kielessä)

• Brute-force vuoden 1995 koneteholla salasanoja vastaan

• Tarkempaa tietoa salasanojen purkunopeuksista eri tyyppisille salasanoille, erilaisilla laitteistoilla

• Salasanalistat, Salasana vaihtuu joka autentikointi kerralla
  • esimerkiksi pankit
• Toteutetaan esimerkiksi SKEY:llä
  • Järjestelmälle annetaan alkuarvo joka ajetaan n-kertaa tiivistefunktion läpi.
  • Viimeinen tiiviste tallennetaan järjestelmään, ja muut tulostetaan listaan joka annetaan käyttäjälle.
  • Autentikoituessa käyttäjä syöttää n-1:n salasanan listaltaan järjestelmään.
  • Järjestelmä ajaa anentun salasanan tiivistefunktion läpi ja vertaa tulosta.
  • Tuloksen täsmätessä päästetään käyttäjä sisään järjestelmään ja käyttäjän syöttämä salasana tallennetaan järjestelmään edellisen salasanan tilalle

• Piste kuviot
• Kuvien valinta
• Mitä muita?