Yliopistojen IT

Yhteystiedot

IT UNIVERSITAS

Yhteistyötahot

Ohjeet, säännöt

Tapahtumat

Yhteistoiminta

Linkit

Vinkkinurkka

Päivitetty viimeksi 25.2.2008

Takaisin sisällysluetteloon
IT Universitas nro 1 / 25. helmikuuta 2008

Vahvaa todennusta varmenteista

Mikael Linden

Varmenteita ja niiden edustamaa julkisen avaimen järjestelmää (Public key infrastructure, PKI) on käytetty tietoturvallisten yhteyksien toteutusvälineenä Internetissä jo pitkälti toistakymmentä vuotta. Palvelinten lisäksi varmenteella voidaan todentaa myös tietoverkkoa käyttävän loppukäyttäjän henkilöllisyys, mutta henkilövarmenteiden käyttö on ollut vähäistä. Vireillä oleva opetusministeriön virkakorttiprojekti pyrkii kohentamaan tilannetta.

Mikael Linden
Kuva: Copyright Jari Kiviaura, CSC

Varmenteiden käyttämä julkisen avaimen salausmenetelmä kehitettiin 1970-luvulla. Epäsymmetrisessä eli julkisen avaimen menetelmässä avaimenhaltijan henkilöllisyyden todentaminen kahden matemaattisen salausavaimen muodostamaan avainpariin, joista toinen - julkinen avain - paljastetaan todentamista suorittavalle osapuolelle. Julkisen avaimen vastakappale on yksityinen avain, joka pidetään hyvässä tallessa ja suojataan väärinkäytöltä tallettamalla se vaikkapa toimikortille (älykortille, sirukortille, smart card). Esimerkiksi Väestörekisterikeskuksen sähköinen henkilökortti sisältää haltijansa yksityisen avaimen.

Julkisen avaimen salausmenetelmän laaja käyttö edellyttää kuitenkin järjestelmän, jossa luotettu osapuoli on varmistanut, mikä on tietyn julkisen avaimen omistajan henkilöllisyys. Tätä järjestelmää kutsutaan julkisen avaimen järjestelmäksi eli PKI:ksi, ja julkista avainta, johon on lisätty merkitä sen haltijasta, varmenteeksi (certificate). Varmenteen antaa varmentaja (Certificate authority). Teknisesti varmenne on varmentajan digitaalisesti allekirjoittama tietojoukko, joka sitoo varmenteen haltijan henkilöllisyyden hänen julkiseen avaimeensa.

Varmenteet on standardoitu osana X.500-hakemistomääritystä. X.500-pohjaisten hakemistojen läpimurtoa ei koskaan tullut, ja vähitellen kevyemmät LDAP-protokollaa käyttävät hakemistot syrjäyttivät ne. X.500-hakemiston varmenteita koskeva määritys jäi kuitenkin elämään, ja niinpä yleisimmät tänä päivänä käytettävät varmenteet noudattavat edelleen X.509-standardin versiota 3.

 

Varmenteita henkilöille ja palvelimille

Varmenteen avulla voidaan todentaa palvelimen identiteetti tai henkilön henkilöllisyys. Palvelinvarmenteet ovat tuttuja kaikille www-selainta käyttäville - tavallisimmissa www-selaimissa oleva lukkosymboli kertoo, että www-palvelimen kanssa asioidaan salatun https-yhteyden ylitse. https-yhteyden käyttö kertoo, että www-selain on todentanut palvelimen identiteetin palvelinvarmenteen ja TLS-tekniikan avulla. Palvelinvarmenteita käytetään palvelimen identiteetin todentamiseen myös VPN-yhteyksissä.

TLS-tekniikkaa voidaan käyttää myös www-selainta käyttävän loppukäyttäjän henkilöllisyyden todentamiseen. Koska ihminen on kuitenkin kehnonlainen epäsymmetrisen salausmenetelmän sisältämien laskutoimitusten suorittamisessa, tapahtuu käyttäjän henkilöllisyyden todentaminen käytännössä niin, että henkilövarmenne ja siihen liittyvä avainpari on käyttäjän hallinnassa olevassa tietokoneessa - esimerkiksi työaseman kiintolevyllä tai käyttäjän taskussa olevassa toimikortissa, joka suorittaa tarvittavat laskutoimitukset. Varmenteen alusta puolestaan todentaa käyttäjänsä henkilöllisyyden salasanan (esimerkiksi PIN-koodin) avulla.

Kuka vain voi pystyttää oman varmentajan ja alkaa tuottaa varmenteita avoimen lähdekoodin ilmaisella OpenSSL-työkalulla. Itse asiassa monet Suomen korkeakoulusta tekevätkin varmenteita omaan sisäiseen käyttöönsä. Varmenteen olemassaolo itsessään ei kuitenkaan kerro vielä mitään varmentajan luotettavuudesta.

Varmentajille on kehitetty riippumattomia akkredointimenetelmiä, jotka pyrkivät varmistamaan varmentajien toiminnan luotettavuuden. Tunnetuin akkredointimenetelmä on WebTrust, jonka Suomessa ainoana varmentajana on läpäissyt TeliaSonera Finland Oyj:n Sonera CA -niminen varmentaja. Tieteen tietotekniikan keskus CSC:llä on ollut puitesopimus Sonera CA:n palvelinvarmenteista Funet-organisaatioille vuodesta 2005 alkaen.

Toinen tunnettu suomalainen varmentaja on Väestörekisterikeskus, jonka henkilövarmenteet (kansalaisvarmenteet, organisaatiovarmenteet ja mobiilivarmenteet) ovat läpäisseet Viestintäviraston suorittaman auditoinnin ja saaneet laatuvarmenteen statuksen. Laatuvarmenne on laissa sähköisestä allekirjoituksesta määritelty varmenne. Laatuvarmenteeseen perustuva kehittynyt sähköinen allekirjoitus rinnastetaan käsin tehtyyn allekirjoitukseen, kun se on luotu turvallisella allekirjoituksen luomisvälineellä, esimerkiksi toimikortilla.

Tavallisille kadunmiehille akkreditoinnit ja sertifioinnit ovat hebreaa, mutta peruskäyttäjän onneksi käyttöjärjestelmien ja selainten valmistajat ovat ottaneet jo valmiiksi kantaa siihen, kenen varmentajan myöntämät varmenteet ovat luotettavia. Microsoft Windows-käyttöjärjestelmässä sekä Mozilla-pohjaisissa selaimissa on valmiiksi määritelty luettelo luotettavista varmentajista. Molemmat suomalaiset varmentajat ovat mukana tässä joukossa, eikä selainta käyttävää loppukäyttäjää häiritä epäilyttävää varmentajaa koskevalla varoituksella, kun hän avaa https-yhteyden www-palvelimelle.

Palvelinvarmenteet (täsmällisesti ilmaistuna palvelinvarmenteeseen liittyvä yksityinen avain) on tyypillisesti talletettu palvelimen kiintolevylle. Henkilövarmenteet voivat olla myös tiedostona haltijansa työaseman kiintolevyllä, mutta varmenteen alustana toimikortti tai toimiavain on turvallisempi ja kulkee mukavasti haltijansa mukana. Uudempi tulokas on matkapuhelimen liittymäkortti, jonka jakeluun matkapuhelinoperaattoreilla on valmis verkosto. Mobiilivarmenne tekee matkapuhelimesta toimikortinlukijan, joka on aina mukana: työasemiin ei kortinlukijaa tarvitse hankkia.

 

Salausta ja allekirjoitusta

Osapuolen henkilöllisyyden todentamisen lisäksi varmenteen avulla voidaan myös salata ja allekirjoittaa viestejä. Jos viestin salaa varmenteen sisältämällä julkisella avaimella, viestin salaus voidaan purkaa vain vastaavan yksityisen avaimen avulla. Digitaalisen allekirjoituksen avulla voidaan puolestaan taata asiakirjan muuttumattomuus sen jälkeen, kun varmenteen haltija on käyttänyt yksityistä avaintaan asiakirjan allekirjoittamiseen.

Sähköpostin tietoturvallisuus on postikorttiluokkaa, ja varmenteiden käyttö salatun ja allekirjoitetun sähköpostin - turvasähköpostin - toteuttamiseen on houkutteleva tapa tuoda päälleliimattua turvallisuutta sähköpostiviesteihin. X.509-varmenteita hyödyntävä turvasähköposti käyttää yleensä S/MIME-turvasähköpostistandardia, jota tavallisimmat sähköpostiasiakasohjelmistot tukevat. Sähköpostin lisäksi myös XML-dokumentteja voidaan salata ja allekirjoittaa varmenteiden avulla.

 

Opetusministeriön virkavarmennehanke

Keväällä 2007 yliopistojen tietoturvavastaavien kokous teki opetusministeriölle aloitteen virkavarmenteiden käyttöönoton ohjeistamisesta yliopistoissa. Aloitteen takana oli opetusministeriön ja Väestörekisterikeskuksen allekirjoittama sopimus, jonka puitteissa hallinnonalan virastot voivat ostaa henkilökunnalleen Väestörekisterikeskuksen organisaatiovarmenteita. Kesän jälkeen opetusministeriö käynnisti virkakortteja koskevan hankkeen, jonka on määrä tuottaa ohjeistusta erityisesti virkakorttien menettelytavoista, käyttöönotosta ja elinkaaren hallinnasta.

Väestörekisterikeskuksen tuotepaletissa organisaatiovarmenteet ovat kansalaisvarmenteiden aisapari - siinä missä kansalaisvarmenteita saa poliisin myöntämään sähköiseen henkilökorttiin tai matkapuhelimen liittymäkortille, organisaatiovarmenne on organisaation henkilölle (tyypillisesti työnantajan työntekijälle) hankkima ja kustantama henkilökohtainen työväline. Organisaatio on myös järjestänyt varmenteiden jakelun - organisaatiovarmenteita ei tarvitse hakea poliisilta, vaan vaikkapa yliopiston henkilöstöpalveluista tai IT-helpdeskistä.

Virkamiehelle hankittuja VRK:n organisaatiovarmenteita kutsutaan usein virkavarmenteiksi, mutta organisaatiovarmenteita voivat hankkia myös yksityiset yritykset työntekijöilleen, tai vaikkapa korkeakoulut tai opiskelijajärjestöt opiskelijoilleen. Tällä hetkellä organisaatiovarmenne on saatavilla ainoastaan luottokortin kokoiselle toimikortille - mobiilivarmenteena organisaatiovarmennetta ei saa. Hankkeessa organisaatiovarmenteen sisältämää toimikorttia kutsutaan virkakortiksi.

Virkakorttihanke jättää loppuraporttinsa tammikuussa 2008. Loppuraportti ottaa kantaa siihen, mihin palveluihin (ja siten kenelle virkamiehille) virkakorttia tarvitaan ja miten niiden jakelu organisoidaan yliopistoissa. Oman näkökulmansa kortin olemukseen tuovat siihen mahdollisesti yhdistettävät muut toiminnot, kuten mahdollinen kulunhallinta, maksaminen ja kortin käyttö visuaalisena tunnisteena.