Mikä on salaustakaportti ja miksi se on vaarallinen?
Salaus pitää tietonne yksityisinä, mutta takaportit heikentävät tätä suojaa. Hallitukset vaativat salaustakaportteja päästäkseen käsiksi yksityiseen viestintään joko tutkintojen tai lakisääteisten määräysten nojalla. Valitettavasti ei ole olemassa takaporttia, joka päästää sisään vain hyvät toimijat.
Mitä ovat salauksen takaportit?
Salaustakaportti on tarkoituksella rakennettu tapa ohittaa salaus. Se kuvaa järjestelmää, joka tarjoaa hyväksytyille osapuolille erityispääsyn salattuihin tietoihin. Pohjimmiltaan se antaa lainvalvontaviranomaisille yleisavaimen salattuihin viesteihin. Hallitukset kutsuvat tätä usein "lailliseksi pääsyksi" ("lawful access"), koska sen tarkoituksena on antaa viranomaisille mahdollisuus purkaa tietojen salaus tarvittaessa.
Tyypillisesti verkossa oleva tieto on salattu TLS-protokollalla, joka hoitaa tiedonsiirron salauksen. Kun tiedot saapuvat palveluntarjoajalle – kuten Googlelle, Dropboxille tai Facebookille – niiden salaus puretaan, ja ne salataan uudelleen palvelimilla käyttäen palveluntarjoajan hallussa olevia salausavaimia. Tämä tarkoittaa, että se pääsee käsiksi tietoihinne, joten salaustakaportti ei ole tarpeellinen, sillä hallitukset voivat pakottaa palveluntarjoajan luovuttamaan tiedot.
Päästä päähän -salauksessa tiedot salataan lähettäjän laitteella, ja salaus puretaan vasta, kun tiedot saapuvat vastaanottajan laitteelle. Palveluntarjoajalla – kuten Protonilla tai Signalilla – ei ole koskaan pääsyä salausavaimiin, joten se ei voi purkaa minkään tiedon salausta edes lain määräyksestä. Tässä kohtaa lainvalvontaviranomaiset ja päättäjät vaativat salaustakaportteja.
Salaustakaportit vs. takaporttihyökkäykset
On tärkeää erottaa salaustakaportit takaporttihyökkäyksistä. Salaustakaportti on ominaisuus, joka on rakennettu järjestelmään tarkoituksella pääsyn mahdollistamiseksi tietyissä olosuhteissa – esimerkiksi lainvalvonnan vaatiessa – ja joka koskee kaikkia käyttäjiä. Toisaalta takaporttihyökkäys – kuten Salt Typhoonin organisoima – on hakkerien luoma piilotettu haavoittuvuus, jota he käyttävät saadakseen pääsyn järjestelmään huomaamatta.
Jos hyökkääjät löytävät salaustakaportin, he voivat hyödyntää sitä samalla tavalla kuin istutettua takaporttia. Erona on se, että salaustakaportti on siellä tarkoituksella.
Miten salaustakaportti toimii?
Salaus toimii kuin hotellihuoneenne lukko: Tavallisessa salauksessa, kuten TLS:ssä, avain on teillä – mutta hotellin johtajalla (palveluntarjoajalla) on vara-avain, ja hän voi avata oven, jos poliisi pyytää.
Päästä päähän -salauksessa avain on puolestaan vain teillä, joten kukaan muu ei pääse sisään. Salaustakaportti tarkoittaa tilannetta, jossa laillinen taho (kuten lainvalvonta) pyytää johtajaa luomaan yleisavaimen, joka avaa kaikki ovet. Kun tällainen avain on olemassa, kuka tahansa, mukaan lukien vieraat valtiot ja hakkerit, voi yrittää varastaa sen.
Salaustakaporttien tyypit
Suunnittelusta riippuen tämä salaustakaportti voi olla eri muotoinen.
Avaintalletusjärjestelmässä kolmas osapuoli, kuten hallitus, säilyttää salausavaimia. Jos lainvalvontaviranomaiset saavat oikeuden määräyksen, he voivat hakea avaimen.
Asiakaspuolen skannauksessa oma laitteenne tutkii tiedostonne ja viestinne ennen niiden salaamista ja ilmoittaa merkitystä sisällöstä. Se on kuin hotellin johtaja tarkistaisi kaiken, mitä tuotte huoneeseenne, ja tekisi muistiinpanoja, vaikka ovi pysyisi lukossa.
Esimerkki salaustakaportista
1990-luvulla Yhdysvaltain hallitus esitteli Clipper-sirun(uusi ikkuna), piirisarjan lankapuhelinviestinnän turvaamiseksi. Jokaisella piirisarjalla oli oma kryptografinen avaimensa, mutta kopio kyseisestä avaimesta sijoitettiin hallituksen tietokantaan avaintalletusta käyttäen. Ajatuksena oli, että jos valtion virasto saisi lailliset valtuudet siepata tiettyä viestintää laitteesta, johon on asennettu Clipper-siru, se voisi pyytää avaimen ja käyttää sitä keskustelun salauksen purkamiseen.
Tietoturva-asiantuntijat varoittivat, että avainten säilyttäminen talletuksessa loi yhden keskitetyn haavoittuvuuspisteen, ja yksityisyyden puolustajat vastustivat ajatusta hallituksen yleisestä pääsystä yksityisiin keskusteluihin. Vastauksena kehittäjät julkaisivat vahvoja julkisia salaustyökaluja, kuten PGP:n, PGPfonen(uusi ikkuna) ja Nautiluksen(uusi ikkuna). Vain kolmessa vuodessa Clipper-sirusta luovuttiin.
Kuka haluaa salaustakaportteja ja miksi?
Hallitukset, lainvalvontaviranomaiset ja tiedustelupalvelut ovat vahvimpia salaustakaporttien puolestapuhujia, sillä ne haluavat laajentaa pääsyään digitaaliseen viestintään. Virastot väittävät kohtaavansa ”pimenemisen” (”going dark”) ongelman – jopa oikeuden määräyksellä tai etsintäluvalla vahva salaus voi estää pääsyn kriittisiin todisteisiin, joita ne voisivat käyttää tiedustelutiedon keräämiseen ja rikosten tutkimiseen.
Tämä paine muuttuu usein lainsäädännöksi – kuten Ison-Britannian Investigatory Powers Act ja Australian Assistance and Access Act, jotka antavat viranomaisille valtuudet vaatia yrityksiä luomaan uusia tapoja murtaa päästä päähän -salaus ja tarjota ”laillinen pääsy” yksityisiin tietoihin.
Miksi salaustakaportit ovat riskialttiita kaikille
Yleisavain on hakkerin unelma
Jos on olemassa yksi yleisavain, joka avaa miljoonia tilejä, hyökkääjät jahtaavat sitä.
Vaarantunut salaustakaportti voisi antaa pahantahtoisille toimijoille pääsyn pankkitilillenne, henkilökohtaisiin viesteihinne ja muihin arkaluontoisiin tietoihin.
Historia osoittaa, etteivät edes tiedustelupalvelut pysty pitämään yleisavaimiaan turvassa – esimerkiksi CIA:lta ja NSA:lta varastettiin hakkerointityökaluja vuonna 2017.
Heikompi turvallisuus kriittisille järjestelmille
Salaus suojaa yksityisyyttä jokapäiväisessä elämässä – aina pankkitileistä sairaalajärjestelmiin.
Suojauksen heikentäminen takaporteilla vaarantaa yritykset ja kriittisen infrastruktuurin.
Esimerkiksi vuonna 2017 hakkerit käyttivät aseenaan NSA:n haavoittuvuutta käynnistääkseen kiristysohjelmahyökkäyksen, joka saastutti yli 300 000 tietokonetta 150 maassa.
Ison-Britannian kansallinen terveyspalvelu (NHS) lamautui, mikä viivästytti sairaalahoitoa ja vaaransi ihmishenkiä. Hyödyntämiskeino oli olemassa vain, koska NSA piti haavoittuvuuden salassa sen sijaan, että olisi paljastanut sen korjattavaksi.
Takaportit mahdollistavat massavalvonnan
Hallitukset voivat myös väärinkäyttää salaustakaportteja. Esimerkiksi vuonna 2015 Juniper Networks löysi kaksi takaporttia(uusi ikkuna) ScreenOS-palomuuristaan, jota käytetään laajalti yritys- ja hallintojärjestelmien suojaamiseen. Yksi takaportti mahdollisti piilotetun hallintapääsyn, kun taas toinen salli hyökkääjien purkaa virtuaalisen yksityisverkon (VPN)(uusi ikkuna) tietoliikenteen salauksen. Ainakin toinen näistä haavoittuvuuksista vaikutti riittävän kehittyneeltä ollakseen valtiollisen toimijan istuttama.
Jos Yhdysvaltojen kaltaiset demokraattiset hallitukset ovat halukkaita vakoilemaan kansalaisia ilman etsintälupaa, Kiinan, Venäjän tai Saudi-Arabian kaltaiset autoritaariset valtiot käyttävät vielä todennäköisemmin takaportteja vainotakseen toimittajia, toisinajattelijoita, vähemmistöjä tai ketä tahansa hallinnon kohdetta.
Proton ei koskaan murra päästä päähän -salausta
Proton ei koskaan heikennä salausta takaporteilla. Olemme todistaneet tämän käytännössä vastustamalla hallitusten painostusta esimerkiksi Venäjällä, Kiinassa ja Intiassa. Vuonna 2021 haastoimme onnistuneesti yritykset heikentää sähköpostin yksityisyyttä Sveitsissä.
Rakensimme Protonin antaaksemme ihmisille hallinnan omiin tietoihinsa maailmassa, jossa hallitukset ja yritykset yrittävät jatkuvasti murentaa sitä. Ja koska poliittiset tilanteet voivat muuttua missä tahansa, Proton integroi suojauksen itse teknologiaan:
Päästä päähän -salaus ja Zero-Access-salaus tarkoittavat, ettemme voi lukea tietojanne, emmekä voi luovuttaa hallituksille tai lainvalvonnalle sellaista, mitä meillä ei ole.
Sovelluksemme ovat avointa lähdekoodia ja säännöllisesti auditoituja, joten kuka tahansa voi tarkistaa, että teemme sen, mitä lupaamme. Olemme ISO 27001 -sertifioituja ja SOC 2 Tyyppi II -varmennettuja.
