Parhaillaan meneillään olevaa SHA-3-kilpailua ja FIPS180-4-julkistusta koskevat uutiset herättävät kysymyksiä nykyisten tiivistefunktioiden (hash) tilasta: mikä on turvallinen, mitä niistä tulisi käyttää, mitä eri vaihtoehdoista tiedetään ja mitä lähitulevaisuus tulee ehkä muuttamaan.

Pureudutaanpa aluksi nykyisin salausmaailmassa käytössä oleviin tiivistefunktioihin ja siihen mitä niistä tiedetään:

Tiivistefunktiot ovat menetelmä kahden tietueen yhteneväisyyden toteamiseksi. Tämä tehdään yksisuuntaisella funktiolla, joka useimmissa tapauksissa antaa syötettä pienemmän vastauksen – tietoa siis menetetään. Tämän tuloksena funktioille on tunnusomaista ns. monesta-yhteen-periaate, jossa useasta eri syötteestä muodostuu sama tiiviste. Sama tilanne voi olla tarkistussummia laskettaessa – kahdella täysin eri tiedostolla onkin sama tarkistussumma. Tällaista tilannetta kutsutaan törmäykseksi, salaustermein kollisioksi (collision). Kasvattamalla tarkistussumman pituutta pienennetäänkin törmäyksen todennäköisyyttä.

Nykyään laajassa yleisessä käytössä on useita eri tiivistefunktioita:

MD5 (Message Digest 5) oli pitkään standardinomainen tiivistefunktio tuottaen 128-bittisiä tiivisteitä. Se kehitettiin vuonna 1991. MD5:ta käytetään verkossa vielä hyvin usein mm. tiedostojen alkuperän varmistamiseen, vaikka kryptologit ovat suositelleet käytöstä luopumista jo vuodesta 1996 lähtien. Jo vuonna 2004 oli mahdollista luoda helposti saatavilla olevalla laitteistolla törmäyksiä alle tunnissa ja MD5:tä alettiin pitää turvattomana. Kuitenkin vaihtoprosessin vaikeus on osoittanut kuinka tärkeää pitkän tähtäimen suunnittelu tiivistefunktion valinnassa ja käyttöönotossa on. Tällä hetkellä peruskannettavalla voi laskea tällaisia törmäyksiä sekunneissa ja tarkoitukseen valjastetuilla erikoislaitteistoilla hyökkäys vie alle sekunnin.

Hyppy 90-luvun alkuun

SHA-1 puolestaan on 160-bittinen tiivistefunktio. Se pohjautuu alun perin vuonna 1993 nimellä Secure Hash Standard julkaistuun tiivistefunktioon, josta korjattiin paria vuotta myöhemmin sisäistä pakkaustoimintoa koskeva virhe. Yleisyydessä SHA-1 pitää kakkossijaa heti MD5:n jälkeen ja vaikka se on MD5:tä turvallisempi, on olemassa lukuisia teoreettisia hyökkäyksiä, joilla murtaminen helposti saatavilla olevaa laitteistoa hyödyntäen on mahdollista. Siirtyminen turvallisempiin tiivistefunktioihin on suositeltavaa.

SHA-2 on tarkkaan ottaen kokoelma keskenään samantyyppisiä tiivistefunktioita, joiden tuotos on 224-, 256-, 384- tai 512-bittinen. Siksi puhutaan myös muunnoksista SHA-224, SHA-256, SHA-384- ja SHA-512.

FIPS180-4-toteutus laajentaa valikoimaa hieman, jotta mm. 64-bittisen nykylaitteiston suorituskyky voidaan ottaa paremmin huomioon.

Bittisyyskirjo helpottaa tulevaisuudessa edessä olevaa algoritmin vaihtoa, koska olemassa oleviin protokolliin ei tarvitse tehdä suuria muutoksia. Nykykäyttöjärjestelmät tukevat algoritmia laajasti ja se on suositeltavin algoritmi useimmissa tapauksissa, kunhan tiivisteiden pituus valitaan tulevaisuutta silmällä pitäen oikein.

SHA-3-funktiota ei ole itse asiassa vielä julkaistu.

Meneillään on parhaillaan kilpailu, jossa SHA-2:n seuraajaa etsitään. Nämä tiivistefunktiot eivät perustu aikaisempaan SHA-perheeseen.

Tietoa kilpailumenettelystä on saatavissa yhdysvaltalaisen NIST:n (Kansallinen standardointi- ja teknologiainstituutti The National Institute of Standards and Technology) verkkosivuilta ja lopullinen valinta on odotettavissa ensi vuonna. Olipa valittava tiivistefunktio mikä tahansa suositeltava siirtymäjakso SHA-2:sta tulee kestämään viidestä kymmeneen vuotta.

Mikä sitten valita?

Jos olet ottamassa käyttöön uutta tietojärjestelmää tai valitsemassa tiivistefunktiota useimmissa tapauksissa SHA-2-perheen valinta on suositeltavaa. Järjestelmän elinkaari tulee suunnitella huolellisesti. Kuten historia on osoittanut tiivistefunktion valinnalla on vaikutuksia vielä 20 vuoden kuluttuakin, näinhän kävi MD5:n kohdalla. On oltava selkeä suunnitelma tilanteeseen kun – ei siis jos – valittu funktio osoittautuu alttiiksi murtamiselle. SHA-1:tä tulisi käyttää vain rajoitetusti, yleensä taaksepäin yhteensopivuuden takaamiseksi. MD5:ta ei kuitenkaan tule käyttää missään tapauksessa!

Inspect-yksikön tietoturvakonsultti Samuell “Sam” Lavitt on aikaisemmin kirjoittanut blogissamme näkemyksiään kehittyneistä evaasiotekniikoista. Käännös: Juha-Matti Laurio

Viime päivien isoimpia tietoturvauutisia on ollut tietoturvayhtiö RSA:han kohdistunut tietomurto. EMC:n omistama RSA on kertonut avoimessa kirjeessään murrossa vääriin käsiin joutuneiden tietojen voivan potentiaalisesti heikentää yrityksen SecurID-tunnistautumisratkaisun tarjoamaa suojaa.

Mikä miljoonien ja miljoonien käyttäjien käyttämä SecurID sitten on?

SecurID on esim. avaimenperässä mukana kulkeva laite, joka tuottaa minuutin välein vaihtuvan valtuutusavaimen, käytännössä kuusinumeroisen luvun. Kirjauduttaessa vahvaa tunnistautumista vaativiin verkkopalveluihin tarvitaan tyypillisesti käyttäjätunus, PIN-koodi ja ko. laitteesta saatava vaihtuva luku.

SecurID käytössä sadoissa suomalaisyrityksissä

Murron kohteena on spekuloitu olleen mm. tunnistautumisratkaisun lähdekoodi tai tietoja ratkaisua käyttävistä organisaatioista. SecurID on yrityssektorilla vahvassa käyttäjätunnistuksessa ehdoton markkinajohtaja. Myös Suomessa SecurID:tä käyttää satoja organisaatioita työntekijöiden ja kumppanien tunnistamiseen. Kuva esimerkiksi avaimenperässä säilytettävästä ns. SecurID-tokenista ohessa.

Tapauksen tutkinta on kesken ja tällä hetkellä yksityiskohtia tiedetään hyvin vähän. Myös tieto murron ajankohdasta puuttuu - tai sitä ei ole ainakaan annettu julkisuuteen. Hyökkäyksessä käytetty menetelmä on ns. Advanced Persistent Threat (APT). Tällaiset hyökkäykset ovat hyvin huolellisesti suunniteltuja ja niillä pyritään saamaan mahdollisimman yksityiskohtaista tietoa kohteesta mm. social engineering -keinoja apuna käyttäen. Pysyvyys tarkoittaa jopa kuukausia kestävää tiedusteluvaihetta.

Nixun Build-yksikön vetäjä Kim Westerlund kertoo näkemyksiään siitä mitä vaikutuksia tapauksella on ja onko SecurID:lle olemassa vaihtoehtoja:

1. Kuinka vakavana nykyisen tiedon valossa pidät tapausta?

Tietojahan siitä mitä tarkkaan on ollut tietomurron kohteena ei ole tiedossa. Vuodetun tiedon avulla ei ole mahdollista murtautua organisaatioon, mutta saamieni tietojen mukaan yhdistettynä johonkin muuhun tietoon tämä voi olla mahdollista.

2. Onko yrityksillä nyt keinoja kuinka toimia, esim. rajoittaa SecurID:n käyttöä?

Asiaa tulee lähestyä riskienhallinnan näkökulmasta. Monelle organisaatiolle voi olla isompi liiketoimintariski rajoittaa SecurID:n käyttöä kuin hyväksyä sen käyttöön liittyvä riski. Riskienhallinta on aina sen punnitsemista mitä tehtyjen ratkaisujen myötä menetetään.

Riskiä tulee arvioida sen mukaan minkälainen organisaatio on kyseessä. SecurID:hen perustuva pääsy voidaan organisaatiossa rajoittaa esim. vain sähköpostiin ja kalenteriin.

3. Entä jos tapaus osoittautuu vakavammaksi kuin tähän mennessä on tiedossa?

Seuraamme tilannetta jatkuvasti ja olemme päivittäin yhteydessä Suomen RSA:han tilanteen kehittymisestä.