Tulostusversio

1/2012

Tunnistaminen: Voiko varmentajaan luottaa?

Teksti: Marjo Rautvuori

Viime aikojen tietomurrot ovat osoittaneet, että edes varmenteita tarjoavien yritysten järjestelmät eivät ole aukottomia.

Varoittavaksi esimerkiksi käy alankomaalainen varmenneyritys DigiNotar. Hakkerit onnistuivat viime vuonna murtautumaan sen järjestelmiin ja luomaan toimivia varmenteita eri verkkopalveluihin.

Varmenteita käytetään verkkopalveluissa henkilöiden tunnistamisen lisäksi www-sivustojen ja ohjelmistojen aitouden varmistamiseen. Nettiselaimet luottavat rajattuun joukkoon juurivarmenteita ja edelleen juurivarmenteiden haltijoiden myöntämiin sivustokohtaisiin varmenteisiin.

DigiNotar laiminlöi tietoturvan

"DigiNotarin tapauksessa rikollisten myöntämät valheelliset varmenteet laitettiin ensin sulkulistalle, mutta sitten huomattiin, että toimenpide ei ole riittävä, koska murron laajuutta ei pystytty varmuudella selvittämään", sanoo tietoturva-asiantuntija Erika Suortti-Myyry Viestintävirastossa toimivasta kansallisesta tietoturvaviranomaisesta CERT-FI:stä.

Siksi selaimiin ja käyttöjärjestelmiin julkaistiin päivitykset, jotka poistivat DigiNotarin juurivarmenteen luotettujen listalta. Poiston seurauksena mikään DigiNotarin myöntämistä varmenteista ei ollut enää luotettu.

"Tästä puolestaan seurasi, että kyseisiä varmenteita käyttäneet www-sivut antoivat sivulla kävijälle virheilmoituksen ei-luotetusta varmenteesta. Sivustolla vieraileva ei siis voinut varmistua sivuston aitoudesta", Suortti-Myyry sanoo.

Syyksi tietomurtoon hän arvioi sen, että DigiNotar oli laiminlyönyt tietoturvallisuutta ja hyviä käytäntöjä useilla eri osa-alueilla.

Tapaus aiheutti suuria ongelmia Alankomaissa, koska DigiNotarin myöntämät varmenteet olivat käytössä laajalti, myös kansallisessa tunnistautumisjärjestelmässä DigiD:ssä. Tapaus johti DigiNotarin konkurssiin.

SIM-kortti suojaa mobiilivarmennetta

Suomessa laatuvarmenteita tarjoaa Väestörekisterikeskus (VRK), ja varmenteisiin pohjautuvaa vahvaa sähköistä tunnistusta tarjoavat sen lisäksi mobiilivarmentajat TeliaSonera, Elisa ja DNA.

VRK:n toiminnan Viestintävirasto auditoi vuosittain. Sen sijaan virastolla ei ole laissa säädettyä mahdollisuutta auditoida säännöllisesti vahvaa sähköistä tunnistamista tarjoavia tahoja. Niiden toiminnan Viestintävirasto voi auditoida vain kun on syytä epäillä tunnistuspalvelun tarjoajan luotettavuutta.

Viestintävirastossa toimivan kansallisen tietoturvaviranomaisen NCSA-FI:n tietoturva-asiantuntija Pasi Hänninen ei näe mitään syytä olla luottamatta VRK:n ja mobiilivarmentajien varmennepalveluiden luotettavuuteen.

"Mobiilivarmenteissa murtautuminen on todella vaikeaa, sillä mobiilivarmenne vaatii toimiakseen toimivan SIM-kortin, jolle palvelu on aktivoitu. Hyökkääjän pitäisi siis varmenteen luonnin lisäksi saada varmenne operaattorin SIM-kortille."

Hänninen ei myöskään usko, että varmenneyritysten luotettavuus olisi kärsinyt Suomessa DigiNotarin tapauksen vuoksi.

Remontille tarvetta

Varmennejärjestelmä kaipaa kuitenkin asiantuntijoiden mielestä uudistusta.

”Selainten ja käyttöjärjestelmien mukana tulevien luotettujen juurivarmenteiden listaa pitäisi karsia niin, että se sisältäisi vain käytetyimmät juurivarmenteet”, Erika Suortti-Myyry toteaa.

Ohjelmistotoimittajilla pitäisi myös olla selvät ja nopeasti käyttöön otettavat toimintatavat tilanteissa, joissa varmenteita myöntävä yritys osoittautuu epäluotettavaksi.

”Lisäksi uusia turvaominaisuuksia tulisi ottaa käyttöön sekä käyttäjien tietokoneissa että palveluissa”, Suortti-Myyry jatkaa.

Tietoturvaa parantaisi esimerkiksi se, että tieto sivuston varmenteesta liitettäisiin sivuston nimipalvelutietoihin.

Hyviä uusia turvaominaisuuksia olisivat myös oikean varmenteen tietojen sisällyttäminen ohjelmistoon sekä erilaiset keskitetyt varmennevarastot, joista käyttäjä voisi tarkistaa varmenteen oikeellisuuden.

Lue myös

Tunnistaminen: Hyvät salasanat on pakko säilöä »
Tunnistaminen: Salasanoista ei päästä eroon vielä vuosiin »
Tunnistaminen: 1 käyttäjätunnus, 122 verkkopalvelua »
Tunnistaminen: Kalmarin unioni 2.0 »
Tunnistaminen: Mobiilivarmenteelle lisää käyttöä »
Tunnistaminen: Nimellä, nimimerkillä vai molemmilla? »
Tunnistautumalla viesti nopeammin julki »
Tunnistaminen: Uusi uhka - biometriset tunnisteet verkossa »
Uusi tietosuojalainsäädäntö: Sääntely muuttuu »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi
Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.