Decrypt or Die!

  • Ilari Karinen
Decrypt or Die!.

Viime vuosien aikana on salatun liikenteen osuus kaikesta internetliikenteestä kasvanut nousevassa tahdissa. Googlen julkaiseman tiedon mukaan esimerkiksi Chrome-selaimella käytetään tällä hetkellä enemmän HTTPS-salattuja verkkosivuja kuin salaamattomia. Salatun liikenteen yleistyminen kuluttaja- ja yrityspalveluissa lisää merkittävästi turvallisuutta ja vähentää riskejä luottamuksellisen tiedon päätymisestä vääriin käsiin. Valitettavasti salattu liikenne avaa myös mahdollisuuksia hyökkääjälle piilottaa haitallinen liikenne salatun yhteyden sisään. Salattu liikenne voi muodostaa haasteen myös oman palvelun käytön valvontaan ja tietoturvan toteuttamiseen.

Yksi tyypillisistä tarpeista salauksen purulle on uuden sukupolven palomuurien (ns. NGFW) sisältämien tietoturvaominaisuuksien tehokkaampi hyödyntäminen. NGFW-laitteiden sisältämät haittaohjelmien suodatus- sekä hyökkäystenestomenetelmät saadaan huomattavasti tehokkaammin käyttöön, kun niitä voidaan käyttää myös salattuun liikenteeseen. Tietovuotojen tunnistusmekanismit (ns. DLP-mekanismit) voivat myös jäädä tehottomiksi, kun yrityksen liikesalaisuuksia yritetään kuljettaa ulos jotain salattua yhteyttä pitkin.

Salauksen purkua voidaan tehdä joko NGFW:n sisäänrakennetuilla ominaisuuksilla tai erillisellä purkulaitteella, jolla päästään huomattavasti korkeampaan suorituskykyyn. Pienemmissä käyttökohteissa ja pienillä liikennemäärillä toteutus voidaan usein tehdä NGFW-laitteella, mutta tämän vaikutukset laitteen kokonaissuorituskykyyn tulee suunnitella ja testata tarkasti, jottei salauksen purku johda laitteen laskentakapasiteetin loppumiseen ja sitä kautta muiden ominaisuuksien heikentymiseen. Isommissa ympäristöissä on monesti järkevämpää toteuttaa salauksen purku erillisellä laitteella. Teknisesti salauksen purkaminen on molemmilla tavoilla kohtuullisen yksinkertaista. Se mahdollistetaan asentamalla itse tehty varmenne kaikille päätelaitteille esimerkiksi keskitetysti Active Directory -ympäristön kautta.

Salauksen purkamisen käyttöönottoa suunniteltaessa kannattaa miettiä tarkkaan se, mitä oikeasti halutaan lähteä purkamaan. Kaiken SSL-liikenteen purkaminen on resurssien hukkausta. Purku kannattaa kohdistaa esimerkiksi riskitasoltaan korkeampiin verkkosivustoihin tai osoitekategorioihin. Tiettyjen luotettujen palveluiden, esimerkiksi pankkien verkkopalveluiden, osalta purkua ei ole järkevää tehdä. Jotkut verkkopalvelut eivät toimi kunnolla salauksen purun ollessa käytössä. Käyttöönottovaiheessa on tärkeää tunnistaa eri käyttökohteet, joihin salauksen purku kannattaa kohdistaa ja jotka tulee jättää sen ulkopuolelle.

Salauksen purkuun liittyy luonnollisesti myös työntekijöiden yksityisyydensuoja. Monesti aihe voikin herättää pelkoa työntekijöissä ja epätietoisuutta työnantajan puolelta siitä, mitä on lain mukaan luvallista tehdä. Salauksen purkamisen päämääränä tulee olla tietoturvan tehokkaampi toteuttaminen, ei työntekijöiden vakoileminen. Tarvittavat yhteistoiminta- tai kuulemismenettelyt eivät ole monimutkaisia, ja niiden kautta salauksen purun kohteet ja perusteet voidaan selkeästi kuvata omalle henkilöstölle.