Päittäin salaus

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 10. heinäkuuta 2019 tarkistetusta versiosta . tarkastukset vaativat 30 muokkausta .

Päästä päähän -salaus (myös päästä päähän -salaus ; englanniksi  päästä päähän -salaus ) on tiedonsiirtomenetelmä, jossa vain viestintään osallistuvilla käyttäjillä on pääsy viesteihin. Näin ollen päästä päähän -salauksen käyttö ei salli kolmansien osapuolten pääsyä salausavaimiin. [yksi]

Avainten vaihto

Avainten vaihtoon voidaan käyttää sekä symmetrisiä että epäsymmetrisiä algoritmeja . [2] Päästä päähän -salaus olettaa, että vain kommunikoivat osapuolet tuntevat salausavaimet. Tämän ehdon toteuttamiseksi voidaan käyttää järjestelmää, jossa on alustava salainen jakaminen tai esimerkiksi Diffie-Hellman-protokolla , jota käytetään WhatsApp [3] ja Telegram [4] [5] pikaviestinnässä .

Nykyaikainen käyttö

Yleiset periaatteet

Päästä päähän -salaus varmistaa, että vain lähettäjällä ja vastaanottajalla on pääsy viestin alkuperäiseen tekstiin. [6] Tämä tarkoittaa, että käyttäjätiedot eivät pääse edes dataa välittäville palvelimille . [6]

Salaus ja salauksen purku tapahtuu käyttäjän päätelaitteilla. Lisäksi tiedot pysyvät salattuina, kunnes ne toimitetaan määränpäähänsä. Siksi päästä päähän -salausta kutsutaan usein myös "nollapääsyksi" tai "asiakaspuolen salaukseksi". On kuitenkin tehtävä ero päästä päähän -salauksen välillä tiedonsiirron aikana ja asiakaspuolen salauksen välillä tietojen tallennuksen aikana.

Sähköposti

Yksi ensimmäisistä asynkronisen viestinnän standardeista on SMTP-protokolla [7] . Tämä protokolla, jota alun perin käytettiin vain sähköpostin lähettämiseen , ei alkuperäisessä toteutuksessaan tarjonnut luottamuksellisuutta päästä päähän -salausta käyttävälle kirjeenvaihdolle [8] . Vuonna 1991 PGP - sähköpostin salausohjelmistopaketin loi Philip Zimmerman . Kirjasto on yleistynyt kaikkialla maailmassa, joten monet yritykset haluavat luoda omia ohjelmistoja, jotka ovat yhteensopivat PGP:n kanssa [9] . Sen jälkeen vuonna 1997 IETF lopulta määritteli joukon standardeja päästä päähän -salaukselle, jota he kutsuivat OpenPGP :ksi [10] . OpenPGP on toteutettu avoimen lähdekoodin ohjelmistojärjestelmissä, kuten Enigmail for Thunderbird , sekä mobiilisovelluksissa, kuten IPGMail for iOS [11] ja Openkeychain-avainten hallintajärjestelmä Androidille [12] ja muissa [13] .

Vuonna 1999 Free Software Foundation kehitti OpenPGP:n toteutuksen nimeltä GnuPG . Se on OpenPGP-spesifikaatiostandardien mukainen ja toimii ilmaisena ohjelmistoperustana useimmille nykyaikaisille PGP-yhteensopiville sovelluksille [14] .

Viestit ja chatit

Toisin kuin sähköposti, joka käyttää asynkronista viestintää, pikaviestijärjestelmät käyttivät alun perin synkronista tiedonsiirtoa, mutta nykyään monet pikaviestit mahdollistavat asynkronisen viestien toimituksen. Viime aikoina tällaisista järjestelmistä on tullut suositumpia kuin sähköpostiohjelmat, koska ne tukevat myös video- , tiedosto- ja puhesiirtoa [15] .

Vuonna 1998 Jeremy Miller aloitti Jabber-projektin kehittämisen, joka myöhemmin tuli tunnetuksi nimellä XMPP . XMPP tarjoaa teknologian strukturoidun tiedon asynkroniseen vaihtoon hajautetussa verkossa asiakkaiden ja palvelimien välillä ja joka tukee läsnäoloilmoituksia. Turvallisuuden parantamiseksi uudet protokollamääritykset lisäävät päästä päähän -salauksen tuen, koska XMPP ei tällä hetkellä salaa oletusarvoisesti, vaikka se käyttää sisäänrakennettuja SASL- ja TLS-protokollia [16] . Aluksi se oli IETF:n avoin XMPP-protokollastandardi, jota käytettiin useimmissa pikaviestijärjestelmissä, kuten Google Talkissa . [17] .

Vuonna 2004 julkaistu OTR -protokolla on XMPP:n laajennus päästä päähän -salauksen tarjoamiseen. Se tarjoaa myös käyttäjähälytyksiä, toisin kuin PGP, jota voidaan myöhemmin käyttää tallenteena yhteyden muodostamisesta ja osallistujan tunnistamisesta. OTR:ää voidaan pitää tietyssä mielessä tietoturvapäivityksenä PGP:n yli, koska se ei tallenna pitkäaikaisia ​​julkisia avaimia, jotka voivat vaarantua. OTR:n haittoja ovat ryhmäkeskustelujen ja asynkronisten viestien tuen puute, koska se on suunniteltu kahden ihmisen väliseen synkroniseen viestintään [18] [19] .

Useat nykyaikaiset sanansaattajat käyttävät signaaliprotokollaa salaukseen .

Ongelmia

Hyökkäys "mies keskellä"

Päästä päähän -salaus mahdollistaa sen, että käyttäjät hallitsevat kirjeenvaihtoa suoraan. Yksi vaihtoehdoista päästä päähän -salauksen ohittamiseksi hyökkääjälle on ottaa päätepisteiden välinen viestintäkanava hallintaansa, minkä jälkeen hän voi yrittää esiintyä viestin vastaanottajana esimerkiksi vaihtaakseen julkisen avaimen. Tunnistuksen välttämiseksi hyökkääjä voi viestin salauksen purkamisen jälkeen salata sen avaimella , jonka hän jakaa todellisen vastaanottajan kanssa, tai julkisella avaimellaan (epäsymmetristen järjestelmien tapauksessa) ja lähettää viestin uudelleen. Tämän tyyppisiä hyökkäyksiä kutsutaan yleensä "mies-in-the-middle" -hyökkäyksiksi [1] [20] - MITM (Man-In-The-Middle) .

MITM-hyökkäysten estämiseksi useimmat salausprotokollat ​​käyttävät todennusta . Tätä varten voidaan käyttää esimerkiksi varmenneviranomaisia . Vaihtoehtoinen tapa on luoda julkisen avaimen sormenjäljet ​​käyttäjien julkisista avaimista tai jaetuista salaisuuksista. Ennen keskustelun aloittamista osapuolet vertailevat julkisen avaimen sormenjälkiä ulkoisella viestintäkanavalla, joka takaa viestinnän eheyden ja aitouden, eikä sen tarvitse olla salaista. Jos avaintulosteet täsmäävät, mies keskellä -hyökkäystä ei suoritettu [20] [21] .

Endpoint Security

Toinen tapa päästä päähän -salauksen ohittamiseksi on hyökätä suoraan pääsypäätepisteisiin. Jokaisen käyttäjän laite voidaan hakkeroida salausavaimen varastamiseksi (välimieshyökkäyksen luomiseksi) tai yksinkertaisesti lukea salattuja käyttäjäviestejä. [3] Tällaisten hakkerointiyritysten välttämiseksi on tarpeen varmistaa käyttäjälaitteiden asianmukainen suojaus ohjelmistoilla tai muilla menetelmillä. [22] Tärkeimmät yritykset parantaa päätepisteiden turvallisuutta ovat olleet avainten luomisen, tallennuksen ja salaustoimintojen allokointi älykortille esimerkiksi Googlen Project Vaultissa [23] . Koska selkeän tekstin syöttö ja tulostus ovat kuitenkin näkyvissä järjestelmässä, nämä lähestymistavat eivät suojaa näppäinloggereja ja haittaohjelmia vastaan, jotka voivat seurata keskusteluja reaaliajassa [24] . Vankkampi lähestymistapa on eristää laite fyysisesti [25] .

Takaovet

Yritykset voivat myös (yksin tai pakotettuna) ottaa ohjelmistoihinsa takaovia , jotka auttavat rikkomaan avainsopimusta tai ohittamaan salauksen. Edward Snowdenin vuonna 2013 paljastamien tietojen mukaan Skype sisälsi takaoven, jonka ansiosta Microsoft saattoi siirtää käyttäjien viestejä NSA :lle huolimatta siitä, että nämä viestit olivat virallisesti päästä päähän -salattuja [26] [27] .

Muistiinpanot

  1. 1 2 Hakkerisanakirja: Mikä on päästä päähän -salaus?  (englanniksi) . KANNETTU . Haettu: 22.12.2015.
  2. JH Ellis. Mahdollisuus turvalliseen ei-salaiseen digitaaliseen salaukseen (ei käytettävissä oleva linkki) (30. lokakuuta 2014). Haettu 19. tammikuuta 2018. Arkistoitu alkuperäisestä 30. lokakuuta 2014. 
  3. 1 2 Päästä päähän  -salaus . whatsapp . Haettu 23. joulukuuta 2017. Arkistoitu alkuperäisestä 2. kesäkuuta 2018.
  4. Chris Alexander, Ian Avrum Goldberg. Parannettu käyttäjien todennus epätietoisissa viesteissä  //  Proceedings of the 2007 ACM Workshop on Privacy in electronic social : Journal. - New York: Association for Computing Machinery, 2007. - Helmikuu. - s. 41-47 . - doi : 10.1145/1314333.1314340 . Arkistoitu alkuperäisestä 27. helmikuuta 2016.
  5. Päästä päähän -salaus, salaiset  keskustelut . sähke . Haettu 23. joulukuuta 2017. Arkistoitu alkuperäisestä 20. maaliskuuta 2018.
  6. 12 Päästä päähän -salaus . EKTR Surveillance Self Defense Guide . Electronic Frontier Foundation. Käyttöpäivä: 2. helmikuuta 2016. Arkistoitu alkuperäisestä 5. maaliskuuta 2016.
  7. SMTP ja sähköpostin kehitys | SendGrid  (englanti) , SendGrid  (17. kesäkuuta 2015). Arkistoitu alkuperäisestä 16. tammikuuta 2018. Haettu 15 tammikuuta 2018.
  8. John C. Klensin <[email protected]>. Yksinkertainen postinsiirtoprotokolla  . tools.ietf.org. Haettu 29. joulukuuta 2017. Arkistoitu alkuperäisestä 16. tammikuuta 2015.
  9. PGP:n historia (15. elokuuta 2016). Haettu 19. tammikuuta 2018. Arkistoitu alkuperäisestä 15. toukokuuta 2018.
  10. Tietoja OpenPGP :stä (15. elokuuta 2016). Haettu 5. tammikuuta 2018. Arkistoitu alkuperäisestä 15. toukokuuta 2018.
  11. PGP iOS:lle . iPGMail (25. lokakuuta 2016). Haettu 5. tammikuuta 2018. Arkistoitu alkuperäisestä 25. huhtikuuta 2018.
  12. Avaa Keychain Team. Tietoja · OpenKeychain (downlink) . www.openkeychain.org. Haettu 5. tammikuuta 2018. Arkistoitu alkuperäisestä 5. tammikuuta 2018. 
  13. OpenPGP-ohjelmisto (27. syyskuuta 2017). Haettu 5. tammikuuta 2018. Arkistoitu alkuperäisestä 27. elokuuta 2016.
  14. GnuPG 2.2.3 julkaistu (21. marraskuuta 2017). Haettu 5. tammikuuta 2018. Arkistoitu alkuperäisestä 15. joulukuuta 2017.
  15. Tom Van Vleck. Pikaviestintä CTSS:llä ja Multicsilla . multicians.org. Haettu 11. toukokuuta 2012. Arkistoitu alkuperäisestä 2. joulukuuta 2017.
  16. XMPP |  Tietoja XMPP:stä . xmpp.org. Haettu 5. tammikuuta 2018. Arkistoitu alkuperäisestä 18. lokakuuta 2018.
  17. XMPP:n historia . Haettu 5. tammikuuta 2018. Arkistoitu alkuperäisestä 12. helmikuuta 2011.
  18. Borisov N., Goldberg I., Brewer E. Poikkeuksellinen viestintä, tai miksi ei PGP:tä (2004). Haettu 5. tammikuuta 2018. Arkistoitu alkuperäisestä 25. kesäkuuta 2018.
  19. Epävirallinen viestintä . otr.cypherpunks.ca. Haettu 5. tammikuuta 2018. Arkistoitu alkuperäisestä 12. huhtikuuta 2018.
  20. 1 2 Survey of Man In the Middle  Attacks . IEEEXplore . Haettu 22. joulukuuta 2017. Arkistoitu alkuperäisestä 21. maaliskuuta 2018.
  21. David Mazières ; M. Frans Kaashoek (syyskuu 1998). Paeta keskitetyn hallinnan pahoja itsevarmentavilla polkunimillä ( PostScript ) . Kahdeksannen ACM SIGOPS -eurooppalaisen työpajan julkaisut: Tuki hajautettujen sovellusten laatimiseen. Sintra, Portugali: M.I.T. Haettu 23.12.2006 . (linkki ei saatavilla)
  22. Mikä Endpoint Security on? | Miten päätepisteiden suojaus toimii?  (Englanti) , Comodo  (22. lokakuuta 2013). Arkistoitu alkuperäisestä 2. joulukuuta 2016.
  23. Julie Bort, Matt Weinberger "Googlen Project Vault on pieni tietokone salaisten viestien lähettämiseen" Arkistoitu 8. elokuuta 2017 Wayback Machinessa , Business Insider , NYC 29. toukokuuta 2015
  24. ↑ Keyloggers : Lisääntyvät uhat tietokoneturvalle ja yksityisyydelle  . IEEEXplore .
  25. Päätepisteiden suojauksen hallinnan yleiskatsaus . Haettu 22. heinäkuuta 2015. Arkistoitu alkuperäisestä 22. maaliskuuta 2021.
  26. Hyvä, Dan. Luuletko, että Skype-viestisi saavat päästä päähän -salauksen? Mieti uudelleen . Ars Technica (20. toukokuuta 2013). Haettu 16. tammikuuta 2018. Arkistoitu alkuperäisestä 22. joulukuuta 2015.
  27. Greenwald, Glenn; MacAskill, Ewen; Poitras, Laura; Ackerman, Spencer; Rushe, Dominic. Microsoft antoi NSA:lle pääsyn salattuihin viesteihin . The Guardian (12. heinäkuuta 2013). Haettu 16. tammikuuta 2018. Arkistoitu alkuperäisestä 19. marraskuuta 2015.