Salaus on sana, joka tulee jatkuvasti vastaan tietoturvaa ja yksityisyyden kysymyksiä käsittelevissä artikkeleissa. Suurin osa varmasti tietää, että se liittyy digitaalisessa muodossa olevien tietojen suojaamiseen, mutta huomattavasti harvempi tietää, millaisen salauksen taakse omat tiedot on suojattu. Salauksella ei ole välttämättä ole suurta merkitystä silloin, kun lähetät kissameemejä kaverille, mutta salaus on ensisijaisen tärkeää aina, kun käsittelet arkaluontoisia tietoja verkossa.
Salaus, eli kryptaus, tarkoittaa, että viestien tai tiedostojen sisältö koodataan niin, että ainoastaan valtuutettu taho voi nähdä sen. Selkokielinen teksti siis muuttuu muotoon, joka näyttää siansaksalta. Tästä puhutaan enkryptauksena. Viesti muuttuu luettavaan muotoon vasta, kun se puretaan algoritmin luomalla salausavaimella, eli dekryptatataan. Kun viesti on salattu, vain lähettäjä ja vastaanottaja voivat nähdä kryptaamattoman sisällön. Vaikka viesti päätyisi ulkopuolisen toimijan käsiin, ei tämä siis periaatteessa pysty tarkastelemaan sisältöä.
Päästä päähän -salaus ja zero knowledge
Kun lähetät tavallisen sähköpostiviestin, se voi tallentua matkan varrella useille palvelimille salamaattomana. Viestin saapuessa vastaanottajalle lukuisat palvelimet ovat jo purkaneet, tallentaneet ja lähettäneet sähköpostin edelleen. Jos joku näistä palvelimista hakkeroidaan, saa hakkeri pääsyn myös viestien sisältöihin. Myös palvelimia hallinnoivat tahot voivat periaatteessa tarkastella viestien sisältöjä.
Kun haluat varmistaa, ettei kukaan pääse urkkimaan viestiesi sisältöä edes silloin, kun se on kulkenut haavoittuvan palvelimen kautta tai se on kaapattu, on päästä päähän -salaus on välttämätön. Esimerkiksi WhatsApp, Signal, Messenger, Telegram ja monet muut suuret viestintäsovellukset käyttävät päästä päähän -salausta. Tällöin viestin tai sähköpostin sisältö ja liitetiedostot salataan ennen niiden lähettämistä ja purku tapahtuu ainoastaan vastaanottajan laitteella. Kukaan ei voi purkaa viestin salausta matkalla, eikä edes viestiliikennettä käsittelevillä tahoilla ole pääsyä viestien sisältöön, sillä vain lähettäjällä ja vastaanottajalla on purkuun tarvittava avain. Salauksessa on käytössä kaksi avainta, julkinen avain, jota kuka tahansa voi käyttää viestin salaamiseen, ja yksityinen avain, jota vastaanottaja käyttää salauksen purkamiseen.
Vieläkin vahvempi salausmuoto on zero knowledge. Nolla-protokollan mukaisella päästä päähän -salauksella palvelimille ei lähetetä salasanoja tai avaimia, vaan vastaanottajan henkilöllisyys varmistetaan esittämällä hänelle kysymys, johon vain hänellä on vastaus.
Koska tarvitsen salausta?
Tiedämme, että vahva salaus on tärkeä erityisesti arkaluonteisia tietoja lähetettäessä. Se on välttämätön yrityksille, jotka käsittelevät muun muassa henkilötietoja, terveystietoja ja yrityssalaisuuksia. Yrityksen tulee olla perillä siitä, että sen käyttämä salaus täyttää EU:n GDPR-asetuksen vaatimukset.
Vaikka salaus ei ole välttämätön kaikille viesteille (kissameemit, muistatko?), on sitä aina parempi käyttää oletusasetuksena, sillä muuten hakkerien on helpompi arvata salauksen käytöstä, mitkä viestit sisältävät heitä kiinnostavia tietoja. Salaus on suositeltavaa niin yrityksille kuin yksityishenkilöille.
Lue myös: Tietoturvan vaarantavat virheet, joihin moni meistä syyllistyy
Lue myös: Onko WhatsApp turvallinen yksityisten kuvien lähettmäiseen?
Lähteet: Smartlockr