Lue uutinen mobiilisivustolla

Sähköisen henkilökortin käytössä on useita sudenkuoppia

5.6.2003 14:51 Oliko sähköinen HST-kortti jo syntyessään susi? Helppokäyttöisyys ja tietoturvallisuus ovat valitettavasti lähes vastakkaisia ominaisuuksia ja niinpä HST-kortti on kompromissi molempien suhteen. Kortin käyttöön liittyy tällä hetkellä luvattoman paljon väärinkäytön riskejä.

Sähköinen Henkilökortti on valtiovarainministeriön, liikenneministeriön ja sisäministeriön hanke, joka mahdollistaa sähköisen tunnistuksen ja asioinnin tietoverkoissa. HST-kortin tunnistautumismenetelmälle on taattu EU-direktiivillä sama lainvoima kuin oikeallekin allekirjoitukselle.

Lisäksi hallitusohjelmassa kehitetään voimakkaasti muun muassa sähköistä asiointia ja sähköisellä henkilökortilla on tässä keskeinen rooli. Syyskuun 2003 alusta tavallinen henkilökortti poistuu käytöstä ja lähes kaikki poliisin myöntämät henkilökortit ovat sähköisiä.

HST-korttia voidaan käyttää henkilön tunnistamisessa, sähköisten asiakirjojen allekirjoittamisessa ja erilaisissa salakirjoitustapahtumissa. Korttia voi myös käyttää matkustusasiakirjana. Kortin teknologia mahdollistaa kortin käyttämisen myös maksamiseen, ja sitä voi käyttää verkkoavaimena muun muassa pankki-, vakuutus-, opetus-, kunnallis- sekä valtionhallinnon palveluihin.

Nämä palvelut ovat laajenemassa, jolloin yksi kortti ja sen tunnusluku tulee vastaamaan ja/tai korvaamaan useita muita kortteja. Kesäkuun 2004 alusta on mahdollista hankkia sähköinen henkilökortti, johon on yhdistetty sosiaaliturvakortin (KELA-kortti) tiedot.

Lyhyesti sanottuna, jo nyt voidaan kortilla tehdä juridisesti päteviä ja kiistämättömiä digitaalisia allekirjoituksia. Kortilla voidaan salata käyttäjän omat sähköpostit sekä omia tiedostoja.

HST-kortista löytyy tarkempia tietoja osoitteesta: http://www.fineid.fi/default.asp?path=3%2CUsein+esitetyt+kysymykset&template=

Security by obscurity

Suomalaisten viranomaisten helmasynti kukoistaa HST-kortin kohdalla. Kun ongelmasta ei kerrota, ei ongelmaa ole olemassakaan.

Yhden esimerkin tarjoaa Tampereen yliopistossa työskentelevä Tuomo Myllynen, joka toimii myös yliopistojen atk-keskusten pääsihteerinä. Viranomaiset eivät tarkistaneet hänen henkilöllisyyttään HST-korttia anottaessa eikä sitä haettaessa.

- Poliisilaitoksella kerroin, että olin tullut hakemaan minun nimelläni tullutta sähköistä henkilökorttia. Virkailija haki kortin, totesi kortin kuvasta sen esittävän minua ja ojensi kortin. Oliko tässä jotain kummallista? Ei oikeastaan, mutta kukaan ei vain tarkistanut minun henkilöllisyyttäni missään vaiheessa. Eli koskivatko antamani tiedot lainkaan minua? Kuka minä oikeastaan olin?, Myllynen kertoo.

- Sen jälkeen tarkistin Väestörekisterikeskuksen verkkosivuilta itseäni koskevat tiedot, jotka näyttivät olevan kunnossa. Ajattelin kokeilla myös sähköistä allekirjoitusta samoilla sivuilla. Siellä olevan vakiotekstin pyyhkäisin pois ja kirjoitin tilalle oman tekstini ja pyysin allekirjoittamaan sen sähköisesti. Jokin meni vikaan sillä allekirjoitus epäonnistui.

- Muutaman päivän jälkeen kokeilin allekirjoitusta uudelleen. Kun menin Väestörekisterikeskuksen sivuille jossain vaiheessa minut toivotettiin tervetulleeksi omalla nimelläni. HST-korttia ei ollut lukijassa. No arvata saattaa, että piparit olivat paistumassa tai työkoneen kiinteä ip-osoite oli kirjattu jonnekin talteen. Entäpä jos olisinkin ollut jollain muulla kuin omalla työasemallani korttia kokeilemassa?

- Virheet eivät tietotekniikassa ole mitään ihan harvinaisia, mutta päätin kuitenkin lähettää tästä allekirjoitusongelmasta ja oudosta tunnistamisesta sähköpostiviestin www-sivulla olevaan osoitteeseen. Kului päiviä eikä kukaan vastannut eikä kysynyt mitään.

- Kaivoin Väestörekisterikeskuksen juristin sähköpostiosoitteen ja kerroin saman allekirjoitusongelman ja laajensin sitä toteamalla, etten ollut aivan vakuuttunut infrastruktuurin toiminnastakaan, kun sain kortin edellä kuvatulla tavalla. Tähänkään ei ole tullut mitään vastausta, Myllynen kertoo.

Turvallisuuttako?

Väestörekisterikeskuksen (VRK) mukaan HST-kortin käyttö on turvallista ja sen tietoturvaominaisuuksiin on kiinnitetty paljon huomiota. Ensisilmäys Väestörekisterikeskuksen www-sivuille herättää kuitenkin epäilyksen.

HST-kortti on voimassa kolme vuotta ja tätä perustellaan sillä, että ?prosessoritehojen kasvaessa kiihtyvällä vauhdilla, kukaan ei pysty ennustamaan miten pitkään käytössä oleva avainpituus (1024-bittinen RSA -avain) on riittävän turvallinen, joten kolmen vuoden voimassaoloaika on kompromissi.?

Syyskuusta 2003 alkaen sähköisen henkilökortin voimassaoloaika pitenee viiteen vuoteen.

Onko kortin turvaominaisuuksia ?lievennetty? sen kustannuksella, että kortti olisi käyttäjälle helppokäyttöinen ja samalla säästetty kustannuksissa? Tässä tapauksessa 1024-bittisen RSA:n käyttö on epäilyttävää.

Toisaalta tietoturva ei kaikilta osin perustu pelkkään avaimenpituuteen, vaan myös avainten ja turvallisuuteen vaikuttavien prosessien, kuten varmennepolitiikan turvalliseen ja toimivaan toteutukseen. Kysymys on silloin eettinen. Kuka valvoo valvojaa?

- 1024bittistä ei ole vielä murrettu, mutta sitä ei missään tapauksessa voida pitää enää turvallisena. RSA:n pitäisi olla vähintään 2048 bittiä, mieluiten 4096 bittiä, sanoo Markus Jansson.

Jansson on useita vuosia keskittynyt tietoturvaan liittyviin asioihin ja on muun muassa suunnitellut Jaxor-salaustyökalun. Yleensä www-sivujen, kuten nettipankkien salauksessa, käytetään myös tätä turvallisuudeltaan jo kyseenalaista 1024-bittistä RSA:ta, Jansson kertoo.

Perusteettomat skenaariot

Väestörekisterikeskuksen mukaan tämän hetkisen tietämyksen mukaan 1024-bittinen RSA-salaus on turvallinen. Perusteeton skenaarioiden maalailu ei heidän mukaan edistä tietoturvallisuuden kehittymistä ja asiointipalveluiden saavutettavuutta.

Älykortteja valmistava Setec Oy on samaa mieltä, että 1024-bittisissä avaimissa on edelleen valtava turvamarginaali. Kaikkein tehokkaimmat hyökkäykset (esim. DPA, DFA (Differential Power Analysis, Differential Fault Attack) toimivat lähes yhtä tehokkaasti mille avainpituudelle tahansa.

- Bullshit, kuittaa nimettömänä pysyvä RSA:n edustaja (http://www.rsasecurity.com/rsalabs/faq/3-1-5.html)

- Suosituksemme on, että korkean turvatason systeemeissä salauksena tulisi käyttää 2048 bittistä, tai suurempaa. Jopa kryptopiireissä ollaan varsin yksimielisiä siitä, että 1024-bittinen ei ole enää muutamaan vuoteen ollut riittävä suojaamaan tärkeää materiaalia. Digitaaliset allekirjoitukset ja suomalaisen HST-kortin mahdollistamat toiminnot ja varmenteet ovat juuri näitä "tärkeitä asioita", hän korostaa.

Murto-ohjeiden löytäminen ei vaadi niitä etsivältä kovin suurta kekseliäisyyttä. Israelilainen Adi Shamir kertoo seuraavassa linkissä miten 1024-bittinen RSA-salaus murretaan: http://psifertex.com/download/twirl.pdf

Setecin mielestä turvallisuutta täytyy tarkastella kokonaisuutena. Yhtiö on kehittänyt ja toteuttanut tuotteissaan suojamekanismit kaikkia vakavasti otettavia hyökkäyksiä vastaan. Perusteellisesti suojattu 1024-bittinen RSA kestää nykyisin tiedossa olevin resurssein hyökkäykset vuosikausiksi eteenpäin, sillä avainpituuden kasvaessa avaimen murrettavuus kasvaa eksponentiaalisesti.

- Meillä on myös kaikki valmiudet tuoda markkinoille 2048-bittinen RSA-toteutus asiakkaiden sitä edellyttäessä, Setecin edustaja korostaa.

Pitää kuitenkin muistaa, että koko infran on tuettava pitkää avainpituutta, on hyväksyttävä pidemmät suoritusajat ja toteutuksen pitää sisältää kaikki turvallisuuden kannalta tarvittavat suojaukset. Setec ei ole rakentanut tätä infraa, kuten CA-ohjelmistoja, salausohjelmistoja, sähköposteja, hakemistoja jne.

Ensimmäiset ja helpoimmat vaarat

Digitodayssa on jo aiemmin esitetty keinoja näppäinpainallusten tallentamiseen. Tämän kaltainen tallennusohjelma (troijalainen) kaappaa helposti HST-kortin PIN-tunnuksen. Lisäksi se voidaan koodata lähettämään käyttäjän allekirjoituksia niin, ettei käyttäjä edes tiedä mitä ja minkä asiakirjan hän on allekirjoittanut.

Toinen mahdollisuus on käyttää rautapohjaista ?keyloggeria? HST-kortin lukulaitteessa, jolloin sitä on mahdoton huomata, ellei tarkalleen tiedä mitä etsiä.

Kolmas mahdollisuus on varastaa kortti ja onkia selville PIN-koodi. Kortin varastamista, tai ?lainaamista? ei huomata ehkä pitkään aikaan, jos se tapahtuu perhepiirissä.

- Vika ei tällöin ole toimikorteissa, vaan niiden käyttöympäristössä, eli turvattomassa pc-laitteessa, Väestörekisterikeskus huomauttaa.

Suojaus puuttuu

Jotta PIN-tunnuksen näppäily olisi turvallista, se pitäisi tehdä fyysisesti suojatussa laitteessa, esimerkiksi kortinlukijassa, jossa olisi oma näppäimistö. Mutta silloin ongelmana olisi kysymys mitä oikeastaan on allekirjoittamassa, koska sitä ei voi itse tietää.

Sama ongelma on periaatteessa nykyisessäkin systeemissä, koska allekirjoittaja ei voi todella tietää mitä on allekirjoittamassa: www-sivun sijaan voi tulla "tunnistautuneeksi" vaikka laskuun, tai sopimukseen joka siirtyy saman tien hakkerin koneelle.

- Palveluntarjoaja vastaa siitä, että allekirjoittaja näkee ja tietää mitä allekirjoittaa, VRK:n edustaja korostaa.

Jos palvelussa tosiasiassa allekirjoitetaan jotain muuta kuin asiakkaan annetaan ymmärtää, palveluntarjoaja tekee rikoksen. Palvelinvarmenteen avulla palveluntarjoaja voi helposti lisätä tietoturvaa, sillä silloin palvelun käyttäjä voi varmistua palvelun tarjoajan oikeellisuudesta. Palvelinvarmenne myös mahdollistaa selaimen ja palvelimen välille SSL-suojatun tietoliikenteen.

- Paitsi että troijalainen voi vaania tietokoneella, se voi vaania myös kortinlukulaitteessa ja kaapata PIN-tunnuksen, kun sitä lähetetään kortille. Softaan perustuvan keyloggerin voi löytää, jos on sopivat ohjelmat ja tietää mitä tekee. Varmuudella sitä ei voi tietenkään löydä, mutta ainakin se on mahdollista, Jansson pohtii.

HST-kortin julkiset avaimet voi perua, jos epäilee kortin vaarantuneen. Sitä ennen käyttäjän on oivallettava, että kortti tai siellä olleet avaimet on varastettu tai hävinneet. Jos uhrin koneessa on pahantekijän asennuttama ohjelma, ei uhri yleensä voi havaita kortin vaarantumista.

Väestörekisterikeskuksen mukaan julkiset avaimet ovat kirjaimellisesti juuri sitä eli julkisia, niiden on tarkoituskin olla muiden tiedossa, eikä niitä voi "varastaa". Yksityisiä avaimia taas ei kortilta saa ulos. Jos kortti varastetaan (tietysti vasta sen jälkeen, kun tunnusluvut on ensin ?salakuunneltu?), kortinhaltijan vastuu katkeaa heti, kun kortilla olevat varmenteet on ilmoitettu sulkulistalle.

Käyttäjä aina vastuussa

SWelcom Oy:n kehityspäällikkö Kenneth Falckin mukaan HST avaa viruksen tekijälle mahdollisuuden tienata rahaa ja kunnolla. Pelkästä suorasta tilisiirrosta jää nopeasti kiinni, mutta HST-kortilla voi myös allekirjoittaa esimerkiksi uhrille epäsuotuisan sopimuksen tai hallita hänen osakesalkkuaan.

- Tulee olemaan kiintoisaa nähdä kenelle todistustaakka jää, jos pc:ssä ei ole jälkeenpäin mitään merkkejä viruksesta ja allekirjoitus on täysin lainvoimainen, Falck pohtii.

Väestörekisterikeskuksen mukaan varmennepolitiikassa ja varmennuskäytännössä on kuluttajille kerrottu, miten henkilökorttia käytetään ja säilytetään turvallisesti. Asiakirjat ovat saatavissa osoitteessa http://www.fineid.fi

Näppäimistön seuranta on pc-laitteissa mahdollista ja se on aina teoriassa riski älykortteja käyttäessä. Kortti ei siis edelleenkään ole se suurin riskitekijä, vaan turvaton käyttöympäristö.

Päiväysmerkintöjä voi muuttaa

Kuka tahansa voi muuttaa tietokoneen kellonsa osoittamaan mitä aikaa tahansa ja tehdä sitten allekirjoituksen johon "tallentuu" kyseinen päivämäärä. Jo nyt voi tehdä allekirjoituksen, jossa päivämäärä on vuosi eteenpäin tai pari kuukautta taaksepäin.

Asiaa on käsitelty muun muassa PGP:n käytön yhteydessä ja siellä on myös varoitettu, ettei pidä luottaa päiväysmerkintöihin, jotka PGP:n allekirjoituksista löytyvät.

Onko niin, ettei pelkkä allekirjoittaminen riitä? Onko kukaan miettinyt miten dokumentti, allekirjoitus ja tieto allekirjoituksen tarkistuksesta säilytetään ja miten vuosien kuluttua tarkistetaan, oliko allekirjoitus validi allekirjoitushetkellä?

EU ja keyloggerit

Mielenkiintoisen kuvan ?keyloggereiden? mahdollisuuksista antaa se, ettei EU:n virkamiesten, komission, eikä MEPien laitteistoja ja näppäimistöjä ole kertaakaan tarkistettu mahdollisten fyysisten ?keyloggereiden? olemassaololta.

Lahjan vieminen näppäimistön muodossa joillekin EU-virkamiehelle, voisi avata monet salatut tiet.

Komisaari Erkki Liikanen vastaa: ?Mitä tulee MEPien koneisiin, siitä en tiedä mitään. Komission kohdalta en usko, ettei kukaan olisi tarkistanut keyloggereita.

Euroedustaja Esko Seppäsen mukaan tietoturva-asiat ovat kyllä esillä europarlamentissa, mutta keyloggereista ei ole ollut puhetta.

Komission suomalainen tietotekniikan asiantuntija Marko Heinonen sanoo:

- Tiedän vain meidän DG:n käytännön ja tosi on, virkamiehet voivat hankkia oman näppäimistön ja käyttää sitä. Mitään testiä ei ole asetettu tai kehitetty virkamiesten itse hankkimille näppäimistöille. Toivottavasti tämä tieto avaa vähän silmiä täällä ja muuttaa käytäntöä tältä osin.

Soittokierros Suomen suurimpiin kuuluviin yrityksiin antoi myös masentavan kuvan tietoturvallisuuden ylläpidosta. Yhdessäkään näissä yrityksissä ei ole kielletty oman tai lahjaksi saadun näppäimistön käyttöä.

HST-kortin peukaloiminen

Kaikki "menetelmät" ja "suojaukset" joita on tehty aivan kaikkeen (DVD, X-Box, Clipper chip, jne.) on murrettu ja itse järjestelmään on päästy käsiksi. Näin kävi esimerkiksi kännyköiden SIM-korttien suhteen.

Vaikka tässä tapauksessa tekniikka on kehittyneempää, useiden asiantuntijoiden mielestä ei ole mitään syytä olettaa ettei HST-kortin fyysistä turvallisuutta voisi ohittaa. Onko HST-kortti fyysisesti turvallinen?

- On vielä epäselvää miten turvallinen kortti on fyysiseltä peukaloimiselta, eli voiko hakkeri murtaa tai ohittaa kortin PIN-kyselyn oikealla laitteistolla ja tekniikalla, varoittaa Markus jansson.

Kortin fyysinen turvallisuus olisi asetettava tiukkaan syyniin julkistamalla kortti, jolloin hakkerit koettaisivat murtaa sen fyysisen suojauksen. Edelliseen liittyen voisi olla järkevää, että salainen avain olisi kryptattuna kortilla, jolloin kortin fyysisellä turvallisuudella ei olisi niin paljon merkitystä. Salauksen voisi sitten purkaa vain oikealla salasanalla, jonka käyttäjä voisi vaihtaa mieleisekseen.

Setecin edustajan mukaan HST-kortissa käytetään korkean turvatason siruja. HW-tason suojaukset estävät korttien fyysisen manipuloinnin, eikä PIN-kyselyä voi ohittaa. Lisäksi PIN-lukon avaamiseen on tehty turvatoimintoja, joita Setecillä ei ole lupa paljastaa.

Salatut tiedot häviävät

Koska kaikki henkilökortit muuttuvat ensi syksystä lähtien sirukorteiksi, on syytä muistaa, että kortin voi myös ilmoittaa sulkulistalle, jolloin varmenteiden käyttö estetään. Vain silloin voi olla varma, ettei kukaan voi käyttää allekirjoitusta väärin, eikä myöskään joudu väärinkäytöksistä vastuuseen.

Tällainen kortti kelpaa edelleen myös matkustusasiakirjana ja henkilöllisyystodistuksena, vaikka sähköinen asiointi on estetty.

Onnistuuko salattujen sähköpostien ja tiedostojen palautus uudella HST-kortilla, jos käyttäjä on hukannut aiemman korttinsa, eli ovatko vanhat ja salatut tiedot ikiajoiksi hävinneet?

- Asia on näin, koska uudella kortilla ovat uudet varmenteet ja vanhoilla varmenteilla salattu tieto aukeaa vain näillä vanhoilla varmenteilla. Tämä on tärkeä turvatekijä. Kun varmenne on poistettu käytöstä, v

Jarmo Mäkelä toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Poliisi: Ampuja kertoo katuvansa tekojaan

• Ampuja keskeytti opinnot ja varusmiespalveluksen
• Väyrynen voitti keskustan jäsenvaalin
• Marcus Grönholm voitti heti Yhdysvalloissa
• Räikkösen taktiikka epäonnistui: "Siinä meni monta sijaa"