TTKK / J.Koskinen / Tietoturvallisuuden perusteet, 2002

Hallinnollinen näkökulma

Sisältö: Tietoturvan rakentamisen prosessi; Riskianalyysi; Tietoturvapolitiikka ja suunnitelma; [1] Pääsynvalvonta; [2] Olioiden luokittelusta pääsynvalvonnan malleihin; Avaintenhallinnasta; [1] Julkisen avaimen infrastruktuuri; [2] X.509; Henkilöstö

Tietoturvan rakentamisen prosessi

Motivointia
Tietoturvallisuus on monisäikeinen asia, joka saattaa tuntua sitä mutkikkaammalta mitä enemmän uhkia ja torjuntakeinoja tuntee. Prosessi, jolla yrityksen tai vastaavan tietojenkäsittelyä turvataan, on luonnollisesti myös moniosainen, mutta jos oivaltaa mistä abstrakteista periaatteista siinä on kyse, käytäntö on todennäköisesti helpompi hallita.
Sisältöä ja tavoitetta
Tässä esitellään Common Criteria-standardissa ehdotettua vaiheistusta tietoturvan rakentamisprosessille.
Tavoitekysymys:

Oletetaan että yrityksessä ei ole aiemmin paljon kiinnitetty huomiota tietoturvallisuuteen. Millaisia työvaiheita olisi hyvä käydä läpi, jotta yritykseen hankittava tietoturvajärjestelmä tulisi oikein valituksi ja tarkoituksenmukaisesti käyttöön?

Mitä ongelmia on tietoturvan rakennusprosessissa, joka noudattelee kurssin johdannossa esiteltyä kaavaa:
0 Ota selvää, mikä on arvokasta ja suojeltavaa (assets).
1 Tunnista uhkat, haavoittuvuudet, hyökkäykset.
2 Arvioi riskit. Jos ne ovat tarpeeksi alhaiset, lopeta ja palaa aiheeseen uudelleen sopivan ajan kuluttua.
3 Aseta haavoittuvuudet tärkeysjärjestykseen.
4 Valitse ja asenna suojatoimet, palaa kohtaan 1.

Tietoturvan rakentamisen prosessi

Kurssin johdannossa on esillä perusmalli tietoturvatyölle, eli karkeasti ottaen vaiheet: uhka-analyysi --> turvapolitiikka --> turvamekanismit. Garfinkelin ja Spaffordin kirjassa vaihejaottelu on tällainen: suunnittelu - riskien arviointi - kustannus-hyöty-analyysi - politiikkojen luominen - implementointi - tarkkailu (auditointi) ja ongelmiin puuttuminen.

Common Criteria-standardi ("CC", jonka varsinaisesta olemuksesta puhutaan toisaalla) esittää yhdeksi mahdolliseksi malliksi seuraavan tarkennetun vaiheistuksen ja tasojaon tietojärjestelmän "T" (tai tuotteen, tms.) turvallisuutta työstettäessä.

Kaavio: CC:n mukainen turvallisuusprosessi

Kaavio 4.5 CC:n osasta 1.
(PP ja ST ovat erityyppisiä tulosdokumentteja)

Malli lähtee siitä, että selvitetään,

mikä on T:n tarkoitus ja tavoite;
millainen on T:n fyysinen ympäristö;
mitä on T:n arvokas sisältö, arvoasiat ('assets'), joka vaatii suojaamista.

Näiden perusteella määritellään turvallisuusympäristö, jolla on osina:

Oletukset, jotka ympäristölle voidaan asettaa ja joita ei tarvitse enempää kyseenalaistaa (vaikkapa se ettei tuhoisia maanjäristyksiä esiinny tai ettei modeemiyhteyksiä ole käytössä);
Uhkat, jotka yksilöidään esittämällä uhkaaja, oletettu hyökkäysmenetelmä ja sen pohjana oleva heikkous ja mitä sisältöä uhka koskee. Riskianalyysi varustaa lisäksi jokaisen uhkan todennäköisyydellä, jolla hyökkäys toteutuu ja onnistuu sekä arviolla vahingon suuruudesta.
Organisaation turvapolitiikka, eli sääntökokoelma siitä mikä on sallittua ja mikä ei.

Näiden perusteella asetetaan turvatavoitteet. Niiden tarkan olemuksen CC-ehdotus jättää varsin hämäräksi. Seuraavana vaiheena tavoitteita hienontamalla saadaan aikaan turvavaatimukset, jotka koskevat sekä T:tä että sen ympäristöä. Jos vaatimukset täyttyvät, niin silloin T:n on mahdollista saavuttaa turvatavoitteetkin.

Turvavaatimukset, jotka koskevat T:tä ovat kahdenlaisia:

toiminnalliset, jotka määräävät turvallisuutta edistävän käyttäytymisen (mitä tehdään ja miten), ja
vakuuttavuutta edistävät (miten perusteellisesti ja hyvin tehdään).

Edellisiä koskee standardin osa 2 ja jälkimmäisiä osa 3. Näiden vaatimusten perusteella muodostuu T:n turvaspesifikaatio ja viimein myös toteutus. Spesifikaatio vastaa sitä, mitä toisaalla (politiikan yhteydessä) kutsutaan yleisemmin tietoturvasuunnitelmaksi.

Riskianalyysi

Motivointia
Riskianalyysin periaate on yksinkertainen, käytäntö yleensä vaivalloinen. Menettely kannattaa silti tuntea, jotta tietoturvauhkien torjuntaa koskevalle päätöksenteolle voisi hankkia perusteita myös taloudelliselta kannalta.
Sisältöä ja tavoitetta
Esitellään riskianalyysin vaiheistus. Uhkakartoituksen yhteydessä otetaan esille uhkapuun käsite.
Tavoitekysymyksiä:

Miten riskianalyysi tapahtuu ja miksi sellainen tehdään?

Miten ja mihin tarkoitukseen voidaan laatia uhkapuu?

Suorita tietoturvauhkien kartoitus (siis tasaisen kattava, alle sivun tenttivastaukseen sopivassa mittakaavassa) seuraavassa tilanteessa: tavallinen kauppaketjuun kuuluva yksityinen lähikauppa, jossa päivittäinen toiminta sekä kirjanpito perustuvat myynnin ja varaston seurantaan tietokoneitse. Kanta-asiakkaat "tunnetaan" korttijärjestelmän avulla. Internet-yhteyskin on, mutta sitä käytetään vain sähköpostitse tehtäviin tilauksiin joiltakin toimittajilta.

Riskianalyysi

Riskillä tarkoitetaan toisiinsa yhdistettynä mahdollisen vahingon vakavuutta ja todennäköisyyttä. Usein mallina käytetään näiden kahden tuloa (jolloin vakavuus arvioidaan rahassa). Todennäköisyyden mukanaolo riskin käsitteessä tarkoittaa mm. sitä, että jos tiedossa olevat vakavatkaan uhat eivät aiheuta merkittävää riskiä, tilanteen voi sanoa olevan turvallinen.

Riskianalyysissa selvitetään uhkat, niiden toteutumisen todennäköisyydet ja niiden aiheuttamien vahinkojen suuruus. Riskinanalyysin synonyymina on toisinaan uhka-analyysi ja haavoittuvuustutkimus. Kun mukaan otetaan vahinkojen aiheuttamien kustannusten minimointi (suojautumisen hintaa unohtamatta), puhutaan riskien hallinnasta ('risk management'). Tosiasiahan on, että eliminointi ei tule kysymykseen. (James W. Meritt: Risk Management käsittelee hieman myös riskin numeerista arviointia.)

Riskianalyysi suoritetaan, jotta saataisiin jokin pohja päätöksille siitä, mitkä suojautumismenettelyt ovat taloudellisesti järkeviä. Nykyiset riskianalyysin menetelmät ovat karkeita, mutta parempia kuin ei mitään. Epätarkkuudesta ja epätieteellisyydestä huolimatta riskianalyysia ei kannata jättää käyttämättä hyväksi (siis varsinkaan hyllyttämällä jo tehty analyysi), jos kohta pitää myös varoa väärää täsmällisyyden tunnetta.

Riskianalyysi etenee kutakuinkin seuraavasti (vrt. myös hieman tarkempi esitys):

kartoitetaan, mikä on arvokasta ('assets').
kartoitetaan uhkat näitä arvoja kohtaan, esimerkiksi skenaarioittain, "mitä voisi tapahtua", ja laatimalla hierarkkinen jaottelu esimerkiksi rakentamalla vaiheittain "uhkapuu", jossa kunkin solmun edustama yleisempi uhka jakautuu yksityiskohtaisemmin määriteltyihin uhkiin (myös AND-tyyppistä jakautumista voi esiintyä). Oleellista on saada kaikki mahdollisuudet katetuiksi.
Amoroson kirja käsittelee uhkapuita pitkälti, mutta menetelmä ei ole yleinen; vrt. A.J.Korhosen tiivis esitys aiheesta. Uhkapuista turvauhkien mallinnuksessa on myös noin nelisivuinen Bruce Schneierin artikkeli (1999) ja hän käsittelee aihettaa myös kirjassaan.
kutakin uhkaa kohti - esim. tietyn (lajin) luottamuksellisen tiedon paljastuminen - arvioidaan, minkä suuruinen menetys siitä koituisi. Kustannukset arvioidaan kuten yleensä vahingoissa: jälleenhankinta, työ, hukattu aika, kulut, muut arvot (esim. maineen heikkenemisen vaikutus liiketoiminnalle).
arvioidaan todennäköisyys, jolla kukin tapaus voisi sattua; tuloksena esimerkiksi odotusarvo, montako kertaa vuodessa.
arvioidaan suojautumismenetelmien hinta sekä tehokkuus, jolla ne torjuvat uhan. Tässä vaiheessa pitää siis viimeistään myös tuntea menetelmät eikä vain kohdejärjestelmää, jota puolestaan eivät turva-asiantuntijat yleensä hallitse ilman käyttäjien mukanaoloa.
tehdään laskelmat ja vertailu; vuotuinen tappio uhkien vuoksi, suojautumisen aiheuttamat kustannukset ja sen tuottama säästö (odotusarvot).

Arvoasioiden tunnistaminen on näistä helpointa eikä sekään ole aina helppoa. Laskentaa voidaan toki automatisoida ja jonkin verran aiempiakin vaiheita, ainakin siltä osin kuin niihin muodostuu rakenteisuutta (esim. juuri uhkapuun muodossa).

Sen lisäksi, että saadaan perustelu kustannuksille, saavutetaan parempi tietoisuus tarkastelun kohteena olleista aiheista. Tällä on yleensä myönteistä vaikutusta (myös) turvallisuuteen.

Harjoitus: (1) Ajattele, millaista omaisuutta, aineellista tai aineetonta, yrityksellä voi olla. Keksi jotakin, joka on arvokasta (ei kannata luovuttaa pois) mutta ei ole sitä tietoturvan kannalta. (2) Mikä taas tuntuu vähäarvoiselta, mutta tietoturvan kannalta onkin otettava huomioon. (3) Mitä muuta tietojärjestelmä tarvitsee kuin laitteet, ohjelmat ja käsiteltävän/talletettavan/siirrettävän tiedon?

Vastausta. (1) Esim. toimitilojen sijainti, LVI-laitteet, hyvä siivoushenkilöstö, ..., tyypillisesti kai infrastruktuuri ja sellaiset asiat, joita ei voi helposti edes menettää tai joista jo perinteisesti pitää huolta jokin muu taho kuin tietoturva-ammattilainen. (2) käytöstä poistetut tietokoneet, vanhat sisäiset puhelinluettelot, roskiksen sisältö, ... (3) ihmiset, dokumentaatio, materiaalit, tarvikkeet, ...

Riskianalyysi tuottaa turvasuunnitelman, jota myöhemmät analyysit päivittävät ja laajentavat. Turvasuunnitelman ensimmäinen osa muodostuu turvapolitiikasta ja muut osat siitä, miten politiikka toteutetaan. Politiikan olemusta ja tietoturvasuunnitelmaa käsitellään tarkemmin erikseen.

Tietoturvan politiikka ja suunnitelma

Motivointia
Valintoja erilaisten vaihtoehtojen välillä voidaan parhaimmillaan tehdä siten, että jokin kriteeri optimoidaan. Riippuen siitä miten kriteerit on asetettu voidaan päätyä erilaiseen tulokseen. Politiikan asettamisen ja siihen sitoutumisen merkitys on tietoturvassakin tärkeä, jotta kriteereistä vallitsisi jonkinlainen yhteisymmärrys. Tietoturvapolitiikka ja siihen liittyvä suunnitelma kehittävät aihetta hieman pitemmälle kuin kriteerien tasolle, mutta tämä riittänee motivaatioksi tutustua näihin aiheisiin.
Sisältöä ja tavoitetta
Tällä sivulla määritellään ja jaotellaan tietoturvapolitiikan käsitettä ja sijoitetaan se tietoturvasuunnitelman osaksi.
Tavoitekysymyksiä. Jälkimmäiseen liittyy myös mallin käsite. Katso myös käyttöjärjestelmien sivuun liittyvää kysymystä.

Kenen pitää laatia tietoturvapolitiikka ja miten se tapahtuu?

Mikä erottaa tietoturvamallin (jollainen esim. Bell-LaPadula on) ja tietoturvapolitiikan? Mitä yhteistä niillä voi olla? Miten tietoturvasuunnitelma sitten liittyy näihin?

Tietoturvapolitiikka

Riskianalyysin yhteydessä näkyy, millaisen prosessin tuloksena voidaan laatia tietoturvapolitiikka. Se on varsin keskeinen käsite kaikessa tietoturvatyössä. Seuraavaksi esitetään määritelmiä ja otetaan esille myös tietoturvamallin käsite.

Valtioneuvoston sanaston aiemman version mukaan tietoturva[llisuus]politiikka = "Niiden päätösten kokonaisuus, joilla vaikutetaan tietoturvallisuuden muodostumiseen ja kehitykseen. Organisaation valitsema tietoturvallisuuperiaatteiden soveltamistapa. Organisaation johdon hyväksymä periaatteellinen näkemys turvallisuuskäytännöistä, jotka toiminnot huomioivat päivittäisissä rutiineissa." Uudempi versio sanoo asian tiiviimmin: sen mukaan organisaation tasolla kyseessä on "johdon hyväksymä näkemys tietoturvallisuuden päämääristä, periaatteista ja toteutuksesta."

Hieman konkreettisemmin: tietoturvapolitiikka on tietoturvallisuutta koskevien päätösten dokumentaatio, joka pohjimmiltaan määrittelee, kenellä on oikeus, mihin resursseihin, miten pääsyä säännellään, kenellä on siitä vastuu ja mihin toimiin ryhdytään, jos todetaan rikkomuksia.

Politiikkoja on monentasoisia. NIST-käsikirja esittelee seuraavat tasot ja korostaa, että jaottelu on lukijan ymmäryksen edistämiseksi, ei tarkkojen rajojen vetämiseksi:

ohjelmapolitiikka (program policy) tai tietoturvastrategia: organisaation tavoitteet tietoturvan suhteen, yleiset vastuukysymykset. Politiikan olisi myös syytä tuoda esille organisaation sitoutuminen tietoturvaan.
asiakohtainen politiikka, (issue-specific), esimerkkeinä aihealueista Internet-yhteys (keille, missä asioissa, miten autentikoituna, ...), sähköpostin yksityisyyskysymykset (organisaation sisällä) tai epävirallisten ohjelmistojen käyttö.
järjestelmäkohtainen politiikka, järjestelmänä esim. jokin tietokoneverkko kuten Lintula. Politiikka koostuu turvatavoitteista (vrt. CC:n ehdottama prosessi toisaalla) ja toiminnallisista turvasäännöistä. Esimerkki tavoitteista voisi olla, että palkkatietoja saa käsitellä vain kirjanpidon ja henkilöstöhallinnon väki, jolloin vastaavat säännöt voisivat olla, mitä palkkatietojen kenttiä kukin näiden osastojen henkilö saa muokata, ja lisäksi se, ettei kukaan saa muokata omia tietojaan. Tällä tasolla toteutus tapahtuukin tyypillisesti pääsynvalvontasääntöjen perusteella. Niiden täydennyksenä voidaan esittää ohjeistoja ja työntekijöiden omaksuttavaksi tarkoitettuja menettelyjä.

Alimmalla tasolla politiikka alkaa olla hyvin yksityiskohtainen ja vaikeaselkoinen. Sitä varten olisi hyvä, jos se ilmaistaan jollain täsmällisellä, ehkä jopa muodollisella kielellä.

Turvamalleista voi olla hyötyä tässä. Mallin ja politiikan ero ei tosin yleensä ole kovin selvä (eri lähteissä on erilaisia painotuksia). Mallilla tarkoitetaan järjestelmien abstraktia kuvausta, joka saa alkunsa käytännön tapauksista ja toisaalta voi vaikuttaa omien lainalaisuuksiensa ja ilmaisuvoimansa kautta siihen, miten käytäntöä kannattaa työstää - huono malli voi olla toki kahlitsevakin. Hyvillä malleilla voidaan saavuttaa vastaavaa hyöty kuin käsitteellisellä ajattelulla yleensäkin. Malleista on lisää toisaalla. Mainittakoon nyt vain esimerkkinä politiikan ja mallin erosta, että luonnollisen kielen kielioppia voidaan pitää mallina kielessä esiintyville ilmiöille. Politiikkana voisi olla esim. kokoelma oikeakielisyysohjeita, mutta luetteloa voidaan tiivistää huomattavasti kuvaamalla ohjeet kieliopin avulla.

Yleisen tason politiikasta mallina vaikkapa TTKK:n tai Tampereen yliopiston tietoturvapolitiikka, yksityiskohtaisesta kuvauskielestä Security Policy Specification Language.

Tietoturvasuunnitelman laatiminen

Tietoturvasuunnitelma on tavallaan laajennettu ja konkretisoitu yksityiskohtaisen tason tietoturvapolitiikka. Politiikkadokumentin lisäksi siihen kuuluu:

nykytila, eli suunnitelman laadinta-ajankohtana vallinneen turvallisuuden kuvaus. Se saadaan esim. riskianalyysin pohjalta. Se sisältää erityisesti arvoasiat, arvioidut uhat ja (prosessin tässä vaiheessa) asennetut turvamekanismit.
suositukset ja vaatimukset politiikassa asetettujen tavoitteiden saavuttamiseksi; ne ottavat huomioon myös laajennettavuuden - tilanteet, joissa huomataan uusi aukko tai uusi data/ohjelma/laite tuo sellaisen tullessaan.
suunniteltujen toimien aikataulu, varsinkin mikäli suojamekanismeja ei asenneta kaikkia samalla kertaa. Myös koulutukseen voidaan tarvita aikaa.
suunnitelmat ajoittaisista tarkistuksista ja päivityksistä, milloin tehdään (eli tavallaan osa aikataulua). Uudelleenarviointi (sen lisäksi, mitä edellä sanottiin suosituksista) on tärkeää, koska käyttäjät vaihtuvat, toiminnot muuttuvat tai laajenevat, järjestelmän tietojen luonne muuttuu, hyökkäyksiä keksitään uusia,...

Suunnitelmaan pitäisi sisällyttää myös valmiussuunnittelu eli varautuminen katastrofeihin (sisältäen mm. harjoittelun).

Yhteenvetoa

Jos politiikalla kuvataan päätökset siitä, kuka saa tehdä mitäkin ja millaista tietoturvaa tavoitellaan, niin suunnitelma esittää, miten politiikka toteutetaan, ja välineitä politiikan implementointiin ovat

organisaation standardit,
ohjeistot ('guidelines'),
mekanismit, eli työkalut ja varusteet, jotka asennetaan suunnitelman mukaisesti, sekä
proseduurit eli menettelyt, jotka käyttäjät omaksuvat osaksi omaa työtään.

Miten hyvin tämä kaikki toimii, vaatii arviointia ja siihen palataan kriteerimallien yhteydessä. Edellä mainittu CC eli Common Criteria on tällainen malli.

Malleja pääsynvalvonnalle

Motivointia
Jos asiaa sopivasti katsoo, kaiken tietoturvan voisi ajatella olevan pääsynvalvonnan soveltamista. Tässä ei rakenneta näin laajaa näkemystä, mutta aiheen merkitys on ilmeinen. Melko laaja kokonaisuus tässä kuitenkin on esillä, sillä siihen kuuluu muutaman vaikutusvaltaisen teoreettisen mallin esittely.
Sisältöä ja tavoitetta
Kokonaisuus "Malleja pääsynvalvonnalle" on tulostettuna n. 5 sivua. Se koostuu seuraavista jaksoista:

Käytännön kautta kohti malleja

Pääsynvalvonnan rakenteita
Erottelumekanismeja

Teorian kautta malleihin

Olioiden monitasoinen ja hilamainen luokittelu
Bell-LaPadulan malli
Biban eheysmalli
Kaupallinen eheysmalli (Clark-Wilson)
Teoreettisia tuloksia
Kriteerimalleista

Tavoitekysymyksiä:

Mitä eroa ja mitä yhteistä pääsynvalvonnalla on yhtäältä oikeuttamisen (authorization) ja toisaalta olion aidontamisen (authentication) kanssa?

Jos pääsynvalvonta kohdistuu tiedostoon, millaisia pääsylajeja voi olla käytössä? Entä millaisiin pääsynvalvonnan rakenteisiin voidaan tallettaa tieto yksilön oikeudesta päästä käsiksi tuohon tiedostoon?

Jos tietojärjestelmän toimijoita ja toiminnan kohteita varustetaan turvamerkinnöillä (security labels), niin millaisia rakenteita näistä merkinnöistä voi muodostua? Minkä vuoksi turvamerkintä voi olla tarpeen tehdä?

Mitä tarkoitetaan sillä, ettei saa lukea ylhäältäpäin eikä kirjoittaa alaspäin ja missä yhteydessä tällaisiin sääntöihin pitää turvautua?

Malleja pääsynvalvonnalle (1):

Käytännön kautta kohti malleja

Lähdetään liikkeelle yksinkertaisesta tavoitteesta: tietyt tiedot vain tietyille henkilöille. Tämän tavoitteen käsittely vaatii kolmenlaista tarkennusta:

miten oliot eroavat toisistaan, esim. mikä edustaa henkilöä tietokoneessa;
mitä toimintaa on "tiedot jollekulle";
mitkä ovat "tietyt"?

Ensinnäkin pohjalla on jako toimijoihin (subjekteihin) ja kohteisiin (objekteihin). Tämä on yksinkertaista ihmisten ja papereiden osalta, mutta tietokoneen muisteissa sijaitsevien bittien osalta voi vaatia päättelyä. Tyypillisesti tiedostot ja hakemistot ovat kohteita ja prosessit subjekteja. Prosessiakin voidaan kuitenkin "kohdella" kommunikoimalla sen kanssa, esim. lähettämällä sille signaali.

Toimintaa voisi olla kaikki se, mitä ihminenkin tekee tiedolle ja tietovälineille, mutta jäljempänä malleja esiteltäessä abstrahoidaan samalla tavalla kuin alakoulusssa, jossa opittiin lukemaan ja kirjoittamaan. Näiden toimien lisäksihän voisi ajatella Unixin tiedosto-oikeuksien mukaisesti ainakin, että ohjelmatietoa voidaan myös suorittaa. Kyseisessä tiedostossa olevan tiedon kannalta kyseessä on kuitenkin vain lukeminen. Olivatpa pääsylajit mitä tahansa, ne voivat olla erillisiä tai hierarkkisia (esim. jos saa kirjoittaa, niin saa lukeakin, mutta näin ei välttämättä ole).

Harjoitus: Unixin "rwx" sisältävät tulkinnat toiminnan hienommallekin jaottelulle. Pohdi yleisesti millaista lukemista, kirjoittamista ja suorittamista voi eri yhteyksissä olla.

Pääsynvalvonnan rakenteita

Kunkin pääsylajin puitteissa voidaan soveltaa yhtä tai useampia seuraavista rakenteista:

Eräänlainen perusmalli on, että kaikkien toimijoiden oikeudet kaikkiin kohteisiin luetellaan matriisissa, jossa on rivi kutakin toimijaa ja sarake kutakin kohdetta varten. Tämä on teoriassa täydellinen menetelmä mutta ei kovin käytännöllinen, jos olioita erotellaan vähänkään hienojakoisesti. Suurin osa valtavasta matriisista jäisi tyhjäksi ja toisaalta monet rivit ja sarakkeet olisivat suurelta osalta toistensa kopioita.
pääsyluettelo (access list): kuhunkin kohteeseen liittyvä luettelo toimijoista, joille pääsy kohteeseen sallitaan (tai joilta se kielletään). Tässä pääsymatriisin sarake on talletettu kohteen yhteyteen, eikä tyhjiä kohtia ole tarvinnut käsitellä.
kykyluettelo (capability list): jokaiseen toimijaan liittyvä luettelo kohteista, joihin toimijalla on pääsy, voidaan toteuttaa myös useampana vaihtoehtoisena (ei-yhtäaikaisena) listana, jolloin kukin edustaa toimijan yhtä roolia. Oleellisesti kuitenkin pääsymatriisin rivi on irrotettu ja kytketty toimijaan. Vaikka tällaiset kykytiedot tyypillisesti ovatkin käyttöjärjestelmän suojissa, ne voivat olla sikäli tosiaan irti taulukosta, että toimija voi luovuttaa (mahdollisesti rajoitetun) kopion niistä toiselle toimijalle, vähän samaan tapaan kuin tavanomaisia avaimia voi kopioida. (Rakentamalla puhtaasti kykyjen perustalle päästäisiin uudentyyppisiin käyttöjärjestelmiin (vrt. yksi johdanto), joihin ei tässä puututa.)
ryhmittely: määritellään ryhmiä ja jokainen olio yhden tai useamman ryhmän jäseneksi. Toimijan pääsy kohteeseen sallitaan, jos toimija kuuluu tarkalleen samoihin ryhmiin kuin kohde, tai edes yhteen kohteen ryhmistä, tai jos kohteen ryhmitys on toimijan ryhmityksen osajoukko (tässä siis 3 erilaista mallia ).

On huomattava, että mihinkään näistä rakenteista ei sellaisenaan sisälly autentikointia, eli sen selvittämistä, onko kohteeseen pyrkijä tosiaan se tietty olio, jota sen haluama pääsyoikeus koskee. Koska pääsynvalvonnan ideana on estää asiattomien, myös väärällä nimellä esiintyvien, pääsy, käytännössä sitä edeltää ainakin jonkinlainen autentikointi. Autentikoinnin mekanismeihin paneudutaan mm. salasanojen ja haaste-vasteen yhteydessä. Mekanismi, joka ottaa vastaan ja mahdollisesti toteuttaa (ainakin vie eteenpäin) autentikoitujen käyttäjien pääsytoiveet, jätetään abstraktiksi. Tästä mekanismista käytetään nimitystä viitemonitori ('reference monitor').

Harjoitus: Millainen malli kuvaa käyttäjien pääsyä Unixin tiedostojärjestelmään? Mikä siinä on viitemonitorina?

(Vastaus: ryhmämalli (kolmas mainituista), jossa "ugo"-toimijoille "rwx|rwx|rwx"-pääsyluettelo tiedostojen ja hakemistojen yhteydessä; joissakin unixeissa ACL:t eli access control-listat.)

Toimijoiden ryhmittelyä voidaan toteuttaa myös rooleilla, jotka päällisin puolin ovat samanlaisia kuin ryhmät. Tietoa siitä, mikä rooleissa on on uutta ja erilaista, voi hakea rooliperustaisen pääsynvalvonnan sivustolta.

Erottelumekanismit

Jatkossa otetaan esille melko luonnollinen ajatus, että järjestelmässä on moneen eri turvatasoon kuuluvia olioita, ja katsotaan miten ne suhtautuvat toisiinsa. Joka tapauksessa on selvää että niitä pitää jotenkin pitää erossa toisistaan, jotta tietoa ei pääsisi kulkeutumaan pääsynvalvonnan tavoitteiden vastaisesti. Menetelmiä tähän tarkoitukseen ovat:

Fyysinen erottelu: eri laitteet ja ympäristöt eri turvakategorioille.
Ajallinen erottelu: laitteet ja ympäristö siivotaan ennen seuraavaa (alemmalla tasolla olevaa) käyttäjää.
Kryptografinen erottelu: salattu tieto on hyödytöntä asiattomille. Pitää vain varoa, etteivät he pääse sotkemaan sitä.
Paloitteleva erottelu: olio jaetaan "käsittämättömiin" osiin jotka käsitellään eri paikoissa tai eri aikoina (tai: siirretään eri reittejä tai talletetaan eri paikkkoihin). Tulokset yhdistämällä saadaan aikaan haluttu olion käsittelytulos.
Looginen erottelu, eristäminen: jokaisen olion "tietoisuus" rajoitetaan niihin kohteisiin, joihin niillä on oikeus. Tämän toteutuksessa käytetään rajattuja osoiteavaruuksia ja virtuaalimuistia. Näitä asioita käsitellään hieman tarkemmin (joskin silti lyhyesti) sekä käyttöjärjestelmän hoitaman prosessinhallinnan että luotetun tietokoneen yhteydessä. Alussa mainitun viitemonitorin idea on juuri loogisen erottelun aikaansaaminen.

Malleja pääsynvalvonnalle (2):

Teorian kautta malleihin

Olioiden monitasoinen ja hilamainen luokittelu

Pääsynvalvonnan ryhmittelyrakenteen soveltaminen erityisesti sotilassovelluksissa lähtee liikkeelle "need-to-know"-periaatteesta, jossa kullekin pyritään järjestämään pääsy vain sellaiseen tietoon, joka on tarpeen tehtävien hoitamiseksi. Sekä toimijat että kohteet varustetaan turvamerkinnöillä (tai turvanimiöillä, 'labels'), joita toimijoiden tapauksessa voidaan kutsua oikeuksiksi ('clearance') ja kohteiden tapauksessa luokituksiksi ('classification'). Yleisesti kyseessä on näiden olioiden enemmän tai vähemmän pysyvistä attribuuteista. Luokittelu on luontevaa tehdä kahdessa eri ulottuvuudessa.

Ensinnäkin on hierarkkinen tasojako, esim. sotilasperinteessä: "unclassified", "classified", "secret", "top secret" jne. Ideana on, että kukin toimija pääsee käsiksi omansa ja sitä alempien tasojen kohteisiin.

Tämän lisäksi luokitellaan vastuualueittain (esim. aselajit). Jotta toimija pääsisi kohteeseen käsiksi, hänellä täytyy siis olla luokitus, jossa taso on vähintään sama kuin kohteella ja jonka alueina ovat ainakin ne, jotka ovat kohteellakin.

Harjoitus: Millaiset turvatasot ja vastuualueet järjestäisit dokumenteille, joita syntyy EU-rahoitteisessa tutkimusprojektissa, jossa selvitetään matkapuhelimen terveysriskejä ja sitä miten niitä voitaisiin torjua? Oletetaan, että kyseessä on yhteistyö korkeakoulun (tietoliikenne), yliopiston (lääketiede), valmistajan ja usean operaattorin välillä.

Tasot muodostavat ketjun (hierarkian), jossa jokainen on vertailukelpoinen muiden kanssa, mutta alueet suhtautuvat toisiinsa joukko-opillisen sisältymisrelaation mukaisesti: Ne muodostavat kaikkien mahdollisten alueiden joukon osajoukkojen hilan ('lattice').

Harjoitus: Piirrä kaavio joukon {a,b,c} kaikista osajoukoista ja niiden sisältymisestä toisiinsa. Kuvitellaan että a, b ja c ovat eri vastuualueita, jolloin mainitut osajoukot ovat mahdollisia turvamerkintöjä. Millainen kaavio syntyy, jos lisäksi on kaksi turvatasoa: luottamuksellinen ja salainen? Miten kolmas taso, julkinen, muuttaisi kuvaa?

Monet turvamerkinnät ovat siis keskenään vertailukelvottomia. Jos merkintä x on hilassa y:n yläpuolella sanotaan myös, että x dominoi y:tä. Tämä ehto toteutuu tarkalleen silloin, kun x:n taso on vähintään y:n taso ja kun x:n vastuualuejoukko sisältää y:n joukon. (Huomaa, että x siis dominoi x:ää eli itseään. Kyseessä on "suurempi tai yhtäsuuri"-relaatio.)

Harjoitus: Kohteilla on turvamerkinnät [ luott., {a,b} ] ja [ sal., {b,c} ]. Miten hilasta löytyy matalin näitä molempia dominoiva turvamerkintä, jollainen toimijalta siis vaaditaan, jotta hän pääsisi käsiksi molempiin kohteisiin?

Hilan matemaattinen määritelmä sisältää oleellisesti ehdon, että jokaisella alkioparilla on pienin yhteinen yläraja ja suurin yhteinen alaraja. Jos tämä toteutuu osittain järjestetyssä joukossa, niin kyseessä on silloin hila. Osittaisella järjestyksellä tarkoitetaan tietynlaista alkioiden välistä relaatiota, jollainen tässä tapauksessa on juuri dominointi.

Harjoitus: Miten pääset käsiksi diplomityöhön, joka on "julistettu salaiseksi"? Onko se ensinnäkin luetteloissa ja onko niissä mainittu, että se on salainen, ja jos on, onko näkyvissä salassapitoaika?

Bell-LaPadulan malli

Edellä jo mainittiin, mitä turvamerkinnöillä ajetaan takaa, mutta malliin tarvitaan vielä tarkemmat ehdot pääsyä valvovalle viitemonitorille, jotta voitaisiin nähdä, ettei tietoa pääse väärien toimijoiden käsiin.

Ensinnäkin on ilmeistä, että keskenään vertailukelvottomien turvamerkintöjen välinen vuorovaikutus pitää kieltää kokonaan. Kahden samaan luokkaan kuuluvan olion välille taas ei voida asettaa rajoituksia. Voidaan siis tarkastella kahta eri merkintää x ja y, joista esim. x dominoi y:tä:

Harjoitus: Jos toimija on luokassa x ja kohde luokassa y, miten pitää rajoittaa toimintoja "lukeminen" ja "kirjoittaminen"? Mitkä rajoitukset näille toimille on asetettava, kun kohde onkin ylempänä kuin toimija?

Säännöt ovat, että oman tason yläpuolelta ei saa lukea (NRU, "No Read Up") ja ettei oman tason alapuolelle saa kirjoittaa (NWD "No Write Down"). Nämä ovat Bellin ja LaPadulan kehittämän tietoturvamallin keskeinen sisältö. Malli sisältää näiden sääntöjen lisäksi oletuksen, ettei olioiden luokitus muutu operaation aikana. Tämä vaadittava ns. 'tranquility'-ominaisuus (eräänlainen "rauhoitus") voi toteutua eriasteisena, mutta ilman sitä tietoturvatavoite ei toteutuisi; vastaesimerkki on helppo keksiä vaikka tenttitehtävässä (siis aikanaan).

Bell-LaPadula-malli (BLP) on vuodelta 1973 ja vaikka se on intuitiivinen ja varsin yksinkertainen, sillä on silti ollut suuri merkitys alan tutkimukselle. Yksi idea tässä ja muissa turvamalleissa on se, että jos järjestelmän todetaan noudattavan mallia, niin silloin tiedetään sen olevan turvallinen, kunhan vain mallia koskevat oletuksetkin ovat voimassa.

Trusted Computer System Evaluation Criteria (TCSEC) eli ns. Oranssi kirja on USA:n puolustusministeriön julkaisu vuodelta 1985 (vähän lisää siitä jäljempänä). Päästäkseen sen määrittelemään turvaluokkaan B1 (keskimmäiseen 7:stä), järjestelmän on toteutettava Bell-LaPadulan mallin mukainen pääsyn valvonta. Erityisesti siis käytössä on oltava turvamerkinnät. Tällaista keskusjohtoisesti asetettua pääsynvalvontaa sanotaan mandatoriseksi ("holhotuksi"). Sen lisäksi voidaan B1-tasollakin soveltaa käyttäjien asettamia vapaaehtoisia oikeuksia - samaan tapaan kuin käyttäjä määrittelee tiedosto-oikeudet unixissa. Tällainen käyttäjän hallinnoima pääsynvalvonta on tyypiltään 'discretionary'. Ilman sitä saman tason ja vastuualueen toimijat eivät voisi varjella toisiltaan omia tietojaan.

Biban eheysmalli

Tähän asti huomion kohteena on ollut estää tiedon paljastuminen. Vastaavasti tiedon eheyden turvaamiseksi voidaan määritellä eri tasoja, jolloin alemman eheystason toimija ei saa muuttaa korkeammalla tasolla olevaa kohdetta, eikä korkeamman tason toimija saa lukea alemman eheystason kohdetta. Tällöin vältytään siltä, että alemman eheystason tieto "saastuttaisi" ylemmän tason tietoa.

Voidaan tietysti väittää, että tieto joko on täysin eheää tai sitten ei lainkaan (ohjelmakin on joko oikein tai sitten ei). Käytännössä esiintyy kuitenkin eri tasoja vaikkapa painotuotteen luotettavuudessa. Tällöin on kyse oikeastaan eheyden todennäköisyysjakaumasta: kuinka usein tieto on eheää ja kuinka usein ei. Samaa jakauma-ajattelua voisi tietysti soveltaa jonkin tekstin sisällekin.

Mainitut eheyssäännöt ovat siis NWU, "No Write Up" ja NRD, "No Read Down" eli tarkalleen päinvastaiset kuin BLP-mallissa. Huomaa, että luokitusperuste on kuitenkin erilainen. Tämä eheysmalli on pari vuotta nuorempi kuin BLP-malli ja se on nimeltään Biba-malli laatijansa nimen mukaisesti. Se sisältää joitakin variaatioita: Jos NWU- ja NRD-säännöistä pidetään tiukasti kiinni, puhutaan mandatorisesta Biba-mallista. Jos sitä käytetään yhdessä BLP-mallin kanssa eikä eheysluokitusta tehdä erikseen, päädytään siihen, että luku ja kirjoitus on sallittua vain samaan luokkaan kuuluvien olioiden kesken. Toisenlainen mahdollisuus on sallia myös "WU" ja "RD", mutta näiden tapahtuessa pitää sitten muuttaa ylemmän tason olion (siis kirjoitetun kohteen tai lukeneen toimijan) luokitus alemman tason mukaiseksi.

Kaupallinen eheysmalli (Clark-Wilson)

Kaupallisen yrityksen näkökulmasta tietojärjestelmän on usein tärkeämpää edustaa eheää kuvaa yrityksen todellisuudesta - rahasta, osakesalkusta, varastosta, teollisuusprosessista jne. - kuin välttämättä pysyä salaisena. Tämän havainnon ja yritysten tarpeiden kartoituksen pohjalta Clark ja Wilson loivat (1987) eheysmallin, jonka oli tarkoitus vastata kaupallisella puolella sitä mitä em. "Oranssi kirja" oli sotilaallisella. Toisin sanoen mallin perusteella pitäisi voida arvioida yrityksen tietojärjestelmän turvallisuutta eheyden kannalta.

CW-mallissa yrityksen tiedot jaetaan kahteen luokkaan:

Eheät tiedot (constrained data items), jotka on todettu sellaisiksi erityisillä tarkistusprosesseilla - aluksi tietysti vertaamalla fyysiseen todellisuuteen ja tiedon kopioinnin jälkeen esimerkiksi tarkistussumman avulla. Näiden prosessien avulla voidaan tarkkailla, että järjestelmä toimii oikein, ja tarkistuksen voi suorittaa sellainen turvallisuusvaltuutettu, joka ei pääse muuttamaan tietoja. Huomaa, että eheys tarkoittaa tässä siis enemmän kuin yhtäpitävyyttä alkuperäisten tietojen kanssa. Se sisältää myös alkuperäisten tietojen oikeellisuuden.
Mahdollisesti epäeheät tiedot (unconstrained data items), jotka eivät läpäisseet tarkistusta.

Eheän tiedon käsittelyyn käytetään vain sellaisia prosesseja (operaatioita tai muunnoksia), jotka säilyttävät eheyden. Näitä voi olla useita erilaisia, ja tietyillä henkilöillä on oikeus suorittaa vain tiettyjä prosesseja ja vain tietyille tiedoille. Tätä mallinnetaan (toimija, operaatio, kohde)-kolmikoilla. Yksi erityinen operaatio on sellainen, jolla mahdollisesti epäeheästä tiedosta voidaan jalostaa eheää.

Pääsynvalvonta voidaan toteuttaa aiemmin mainituilla rakenteilla ja se voidaan jakaa kahteen vaiheeseen: Saako henkilö käynnistää jonkin toiminnon ja jos saa, saako hän kohdistaa sen haluamaansa tietoalkioon. Erityinen rajoitus on muuten asetettava oikeudelle muuttaa oikeuksia, eli sille, kuka saa peukaloida kolmikoita.

Yleisenä ongelmana on, että muunnoksia suorittavista ohjelmista on erittäin vaikea saada takuita siitä, ettei mitään asiatonta pääse tapahtumaan. Kyseessähän olisi ohjelman oikeaksi todistaminen, mikä tunnetusti on varsin vaikeaa....

Prosessien huolellisella määrittelyllä tavoitellaan erityisesti toimintojen eriyttämistä: Minkään tahon ei pitäisi olla vastuussa sellaisista toimista, että hän voi yksin tehdä vilppiä ja onnistua kätkemään sen (esim. varaston tapauksessa tekemällä sekä lisäys- että poistomerkinnät ...). Käytännössä tämä voi ilmetä esim. siten, että johonkin transaktioon tarvitaan kahden henkilön allekirjoitus. Clark-Wilsonin mallin kolmikot ovat sikäli rajoitettuja, että ne eivät ota huomioon kontekstia: Jos henkilö saa tehdä kumman tahansa kahdesta vaaditusta allekirjoituksesta, hän voi mallin puolesta tehdä molemmat. Tämän estämiseksi käytännössä riittää politiikkaan kirjattu sääntö.

Teoreettisia tuloksia

Malleja tietoturvasta on 70-luvulta alkaen laadittu myös teoreettisia tarkasteluja varten. Mukaan otetaan operaatioita, joilla voidaan luoda tai poistaa kohteita tai toimijoita sekä myöntää tai peruuttaa oikeuksia. Tavoitteena on edellä esiteltyjen mallien mukaan kuvata järjestelmiä, joissa turvallisesta alkutilasta ei päästä operaatioista rakennettujen sallittujen komentojen kautta turvattomaan tilaan. Komennolla tarkoitetaan sääntöä: JOS tietyillä olioilla vallitsevat tietynlaiset oikeussuhteet, NIIN suoritetaan näille tietyt operaatiot. Yksi tulos sanoo, että jos komennoissa esiintyy enemmän kuin yksi operaatio, niin on ratkeamaton kysymys, voiko tietty toimija saavuttaa tietyn oikeuden tiettyyn kohteeseen. Jos taas jokainen toteutettavissa oleva komento sisältää vain yhden operaation, niin ongelma on ratkeava. Joissakin malleissa on mukana myös kompleksisuustarkasteluja.

Viitteitä näihin tuloksiin löytää hakusanoilla Harrison-Ruzzo-Ullman sekä Lipton ja Snyder.

Kriteerimalleista

Vaikka tämä jakso on käsitellyt tietoturvan malleja pääsynvalvonnan näkökulmasta, mainitaan vielä, että nämä mallit asettuvat osaksi laajempia tietoturvan malleja. Näistä erityisesti ns. kriteerimalleja voidaan käyttää turvallisuuden mittarina, kun ohjelmistoja suunnitellaan, arvioidaan tai hankitaan. Kriteerimalleja ovat mm. seuraavat:

Edellä mainittu USAn puolustusministeriön "Orange book". Sen mukaan tehdyn arvioinnin perusteella järjestelmä voi saada luokakseen joko D, C1, C2, B1, B2, B3 tai A1. Ylemmissä luokissa painottuu erityisesti turvallisuudesta vakuuttuminen muodollisen suunnittelun ja verifioinnin kautta. Esimerkiksi luokkaan B2 vaaditaan, että turvallisuus on otettu huomioon jo suunnittelussa ja luokkaan B3 tai A1 päästäkseen järjestelmän täytyy rakentua todistetun formaalin turvallisuusmallin pohjalle.
European Information Technology Security Evaluation Criteria, ITSEC, 1991.
Maailmanlaajuinen "The Common Criteria for Information Technology Security Evaluation" (CC, versio 2 vuodelta 1998, versio 1 vuodelta 1996). Tämä on lyhyesti esillä johdannossa tietoturvan rakennusprosessin yhteydessä ja sitä käsitellään laajemmin erikseen.

Avaintenhallinnasta yleisesti

Motivointia
Vaikka kryptografiset algoritmit eivät tulisikaan kovin tutuiksi, on niissä käytettävien avaintenhallinnasta hyvä tietää jotain. Tällöin algoritmien, "mustien laatikoiden", käyttö on turvallisemmalla pohjalla.
Sisältöä ja tavoitetta
Tämä jakso esittää kokoelman kryptografisten parametrien hallintaan liittyviä ei-kryptografisia toimia. Tavoitekysymys:

Oletetaan, että A ja B ovat sopineet symmetrisestä avaintensalausavaimesta K, jota he käyttävät päivittäin vaihdettavien datansalausavainten k1, k2,... salaukseen seuraavien kahden vuoden ajan.
a) Luettele tarpeellisia ja mahdollisia avaintenhallintaan liittyviä toimia K:n kaltaisen avaimen elinkaaressa. (3p, muut kohdat á 1p)
Mainitse kaksi tämän luettelon tapahtumaa,
b) jotka eivät voi kuulua saman avaimen K elinkaareen.
c) jollaiset eivät tyypillisesti kuulu avainten k1, k2 jne. elinkaareen.
d) Mainitse kaksi a-kohdan luettelosta puuttuvaa tointa, jotka voivat kuulua julkisen avaimen hallinnointiin.

Avaintenhallinnasta yleisesti

Avaintenhallinta (key management) on toimintaa, jonka tarkoituksena on mahdollistaa avaimia edellyttävä kommunikaatiosuhde sellaiseen oikeutettujen osapuolten välillä. Avaimilla tarkoitetaan paitsi julkisia ja symmetrisiä avaimia, myös alustusarvoja ja muita kryptoalgoritmien parametreja.

Avaintenhallintaan (ja yhtä hyvin avainten hallintaan) liittyviä toimia ovat

uusien käyttäjien tarvitsemat alustukset;
sekä avainmateriaalin
luonti, jakelu, asentaminen;
rekisteröinti, julkaiseminen, varmentaminen (sertifiointi), pakkoluovutus (etukäteen) eli 'key escrow';
käyttö ja käytön (siis käyttötarkoituksen) kontrolli;
talletus, varmuuskopiointi/palauttaminen;
päivitys, peruuttaminen, sulkulistalle asettaminen, poisrekisteröinti, hävittäminen, arkistointi.

Nämä ovat samalla myös yhden avaimen elinkaaressa mahdollisesti esiintyviä vaiheita. Avaimen käyttöön liittyy yleensä voimassaoloaika ('cryptoperiod'), jonka jälkeen tapahtuu päivitys ja mahdollisesti hävittäminen. Kaiken lisäksi avain voidaan tietysti hukata tai se voi paljastua.

Symmetrisen avaimen "elämä" on yleensä melko yksinkertaista, varsinkin jos se on lyhytikäinen, ns. istuntoavain. Avainta voidaan myös pitää yllä kauan, jolloin sitä yleensä käytetään istuntoavainten salaamiseen. Tätä periaatetta voidaan soveltaa useammallakin kuin kahdella tasolla.

Osa edellä mainituista toimista liittyy lähinnä tai yksinomaan julkisen avaimen hallintaan. Näitä toimia ovat rekisteröinti, julkaiseminen, varmentaminen, peruuttaminen, sulkulistalle asettaminen ja poisrekisteröinti.

Kryptografisten parametrien, erityisesti avainten, tarkoituksena on suojata tietoa vihamielisessä ympäristössä, mutta näillä parametreilla itsellään ei ole vastaavaa suojaa (ainakaan viime kädessä, vrt. avaintensalausavainten...salausavain). Sitä varten edellä esitetyt hallinnointitoimet pitää suojata muilla mekanismeilla.

Julkisen avaimen varmennestruktuuri, X.509

Motivointia
Sen lisäksi mitä kryptografisten avainten hallinnasta on sanottu yleisesti, julkisten avainten erityisluonne ja tärkeys käytännössä motivoivat niiden hallinnoinnin eli PKI:n perusteellisemman esittelyn.
Sisältöä ja tavoitetta
Tässä esitellään lähinnä varmenteiden muodostamia rakenteita ja X.509-standardin merkitystä.

Selitä millaista luottamusta ja millaisiin avaimiin osapuoli A tarvitsee, kun hän käyttää varmenneketjua vakuuttuessaan osapuolen B julkisen avaimen K_B aitoudesta.

PKI

Julkisen avaimen infrastruktuurilla (PKI) tarkoitetaan sellaista järjestelmää, joka hallinnoi julkisia avaimia ja niiden varmenteita.

Harjoitus: Kehen luotat, jos ulkomaalaisen esittämän passin perusteella päättelet, mikä hänen nimensä on?

Yleinen varmennestruktuurin idea on seuraava: A vakuuttuu B:n avaimen aitoudesta käyttäen polkua A - X₁-X₂-...- X_n -B, jossa A luottaa X₁:n avaimen aitouteen sekä jokaiseen olioon X_i, ja A:lla on käytettävissään kunkin X_i:n allekirjoittama varmenne X_i+1:n avaimesta ja vielä X_n:n varmenne B:n avaimesta. Tästä polusta käytetään myös nimitystä luottamusketju. Kuten havaitaan, A:lla pitää olla tiettyä luottamusta kaikkia olioita X_i kohtaan. Tämä pitää sisällään kaksi asiaa: ensinnäkin A:n pitää (tuntea ja) hyväksyä politiikat, joiden perusteella X_i:t väittävät myöntävänsä varmenteita ja toiseksi A:n pitää luottaa siihen, etteivät ne tingi politiikkojensa asettamista vaatimuksista. (Tässä on oikeastaan vastaus eo. harjoituksen kysymykseen.)

Harjoitus: Jos kerran A:n luottamus ulottuu X_n:ään asti, joka on allekirjoittanut varmenteen B:n julkisesta avaimesta, niin mihin enää tarvitaan muita X_i:tä? Tavoitteenahan oli vain, että A vakuuttuu B:n julkisesta avaimesta.

Vastaus: Ketju tarvitaan varmenteiden katkeamatonta verifiointia varten. Asiaa voi tapauksessa n=3 ajatella vaikkapa kuvittelemalla B tunnetun ulkomaalaisen yrityksen X3 työntekijäksi. A uskoo, että X3 noudattaa politiikkaansa, mutta ei voi tietää, onko hänen seitistä onkimansa X3:n avain oikea. Tätä varten hän tarvitsee varmenteen ja löytää sellaisen yritykseltä X2, joka toimii kyseisessä maassa (yhtenä) varmenteita myöntävänä viranomaisena. A kyllä uskoo X2:n hoitavan varmentajan vastuunsa, mutta voidakseen varmistua avaimesta, jolla X2:n allekirjoittama varmenne voidaan todentaa, A tarvitsee vielä kotimaisen varmenneviranomaisen X1 myöntämän varmenteen ulkomaalaiselle X2:lle.

Jotta ketju voisi päättyä tähän, A:lla pitää tietenkin olla riittävä luottamus hallussaan olevaan X1:n julkiseen avaimeen. Tämän hän on voinut saada vaikkapa samassa yhteydessä, kun hän on hankkinut X1:ltä varmenteen omalle julkiselle avaimelleen. Tästä varmenteesta puolestaan B voi aloittaa taaksepäin kerimisen halutessaan varmuuden A:n julkisesta avaimesta. Käytännössä A:n kannattaa lähettää X1:n myöntämä varmenne B:lle samalla, kun ottaa yhteyttä tähän, sillä muuten B:lle voi tulla hankaluuksia varmenteen löytämisessä. Sama koskee tietysti alussa kuvattua tilannetta, ts. B:n kannattaa liittää sekä yrityksensä X3 että oman maansa varmentajan X2 myöntämät varmenteet viestiinsä A:lle.

Harjoitus: Millainen yleinen rakenne tai muoto voisi luontevimmin olla sellaisella kokonaisuudella, josta edellä kuvailtu varmenneketju X1-X2-X3-B on pieni osa? Ajattele yrityksen X3 muita työntekijöitä ja toisaalta muita yrityksiä kyseisessä maassa.

Vastaus: Varmentajista muodostuu hierarkia eli puurakenne. Sellaisessa saadaan kohtuullisen läheisillä (ja siis luotettavissa olevilla) ja kohtuullisen kokoisilla (lapsisolmujen määrä) varmennepalvelimilla ja kohtuullisella vaivalla (polun pituus) katetuksi laaja käyttäjäjoukko.

Puurakenteesta esiintyy useita variaatioita. Ääritapauksessa hierarkia on tiukasti top-down-tyyppinen eli varmenteita myönnetään vain hierarkian seuraavaksi alemman tason olioille. Tässä tapauksessa em. olion X₁ pitää olla juurena sellaisessa alipuussa, joka sisältää sekä A:n että B:n. Se olisikin siis jokin ylikansallinen viranomainen, eikä se varmaan olisikaan suoraan myöntänyt varmennetta A:lle kuten edellä lopuksi X1:n tapauksessa hahmoteltiin. Tällaisessa tapauksessa A olisi luonnollisesti saanut luotettavan tiedon ylikansallisen X1:n avaimesta paikallisilta viranomaisilta.

Jos taas kukin X_i sertifioi myös sen ylemmän tahon, jolta on saanut sertifikaatin, A:n riittää tuntea varmuudella vain oman lähimmän varmenneviranomaisensa julkinen avain; polku nousee puussa A:sta alkaen ylöspäin yhteiseen esi-isään ja laskeutuu siitä kohti B:tä. Tällainen esi-isä saattoi edelläkin olla X1:llä ja X2:lla, mutta sitä ei tarvittu, koska X1 ja X2 olivat tehneet keskinäisen järjestelyn, ns. ristiinvarmennuksen. Tällaisessa tilanteessa ei välttämättä tarvita mitään kovin korkeata ylikansallista tasoa, vaan topologia voi olla sellainen, jossa on useita top-down-hierarkkioita ja näiden juurivarmentajat (siis esim. X1 ja X2) ovat varmentaneet toisiaan ristiin verkkomaisesti.

Erikseen esiteltävä PGP edustaa toisenlaista mallia varmenneketjujen muodostamiseksi. Varmentajat eivät siinä ole (välttämättä) virallisia eikä niillä ole julkaistuja politiikkoja, vaan kuka tahansa voi "myöntää" varmenteita eli allekirjoittaa toisten käyttäjien avaimia. Varmentajista tai oikeastaan varmenteista muodostuu verkko, josta voi olla vaikea löytää tarvitsemaansa tai ainakaan luotettavaa varmenneketjua.

Vaikka PGP:ssä muodostuu maailmanlaajuinen varmenneverkosto, sitä ei ehkä pitäisi kutsua julkisen avaimen infrastruktuuriksi. PGP-rakenne toimii ruohonjuuritasolla ja sellaisena tietysti on "infraa". Yleensä PKI:stä puhuttaessa tarkoitetaan varmenneviranomaisia, niiden politiikoista muodostuvia varmennetopologioita, asiakkaiden kanssa kasvokkain toimivia rekisteröintiviranomaisia käytäntöineen, varmenteiden jakelu- ja sulkujärjestelmiä sekä varmenteita hyödyntäviä sovelluksia.

X.509

Julkisen avaimen infrastruktuureja kehitellään monissa paikoissa ja monenlaisiin tarkoituksiin. Keskeinen tausta näille hankkeille on X.500-hakemistostandardeihin kuuluva standardi X.509, joka määrittelee varmenteen ja varmenteita käyttäviä autentikointiprotokollia.

Nämä protokollat perustuvat allekirjoitukseen, jonka tunnistautuja laatii. Periaate muistuttaa hieman toisaalla esiteltyä salasanan suojausmenettelyä, mutta nyt ei ole salasanaa eli yhteistä salaisuutta, vaan "suojausfunktio" eli allekirjoitus lasketaan oleellisesti aikaleimasta ja todennus tapahtuu avaamalla allekirjoitus tunnistautujan julkisella avaimella, johon todentaja voi luottaa varmenteen ansiosta. Varmenteen hankkiminen ja toimittaminen todentajalle siis korvaa salasanasta sopimisen.

Autentikointiprotokollan yhteydessä on sitten helppo sopia myös yhteisestä salaisuudesta, jota voi jatkossa käyttää symmetrisen salauksen avaimena. Tähän tunnistautuja tarvitsee kuitenkin vastaanottajan eli todentajan julkista salausavainta, joten varmenteen toimittamista tarvitaan toiseenkin suuntaan. Varmenteiden määrittelyssä ja jakelussa onkin X.509-standardin keskeinen merkitys.

Laajojen infrastruktuurien on toteutettava tehokas hakemistojärjestelmä, josta löytyvät avaimet, niiden varmenteet sekä sulkulistat. X.500-hakemiston ohella tähän tarkoitukseen on käytetty uudempaa Internet-standardia LDAP (Light Weigth Directory Access Protocol).

Katsotaan X.509-varmenteen sisältöä erikseen HST-hankkeen yhteydessä. Muina X.509-varmenteita käyttävinä sovelluksina tulee esille S/MIME ja SSL (ja niitä käyttää myös SET, eikä PGP:kään hyljeksi).

TIEKEn sivulla oleva teksti (otsikkoon Key Escrow/Recovery asti) käsittelee PKI:tä ja sisältää myös kaavioita hierarkioista.

Varmennesysteemeistä ja erityisesti X.509:stä löytyy myös varsin kriittisiä esittelyjä. Itse X.509-infrastruktuurin standardointiin voi tutustua PKIX-hankkeen sivulla.

Henkilöstö

Motivointia
Tietojenkäsittelyn turvattomin osatekijä on yleensä ihminen. Tämä tarkoittaa paitsi vahingon kautta toteutuneita uhkia myös tietoisia tietoturvarikkeitä. Kummassakin tapauksessa tärkeimmässä asemassa olevat ihmiset ovat yrityksen tai vastaavan sisällä. Ulkopuolisten hyökkäykset ovat erilainen uhka, mutta nekin voivat joissain tapauksissa tulla mahdollisiksi nimenomaan sisäpuolisten ongelmien takia.
Sisältöä ja tavoitetta
Tavoitekysymys tiivistää noin puolet tämän jakson sisällöstä. Toisena puolena ovat paitsi tahattomat rikkeet, myös sellaiset joissa ulkopuolinen hyökkääjä käyttää työntekijää välikappaleenaan.

Esittele viisi menettelyä, joilla yritys voi torjua työntekijöidensä tahallisesti aiheuttamia tietoturvarikkomuksia.

Henkilöstö

Perinteisesti suurin osa tietorikoksista tapahtuu "sisäpuolelta" - tai esim. entisen työntekijän toimesta.

Seuraava teksti perustuu pääosin terveydenhuollon tietoturvaa käsittelevään kirjaan.

Henkilöstöturvallisuustoimenpiteet ulottuvat vakinaisesta ja tilapäisestä henkilökunnasta myös vierailijoihin sekä ulkopuolelta ostettuihin paveluihin. Henkilöiden tehtävämäärittelyissä tulee määritellä myös tietoturvaan liittyvät oikeudet, velvollisuudet ja vastuut. Lisäksi pitää muistaa, että

jokainen on osaltaan vastuussa tehtäviinsä liittyvästä tietoturvasta ja siihen liittyvästä luottamuksellisuudesta, joka mainitaan jo työsopimuksessa ja toimenkuvassa. Yhtenä osana työn määrittelyvaihetta voidaan (varsinkin yritysmaailmassa) tarvita salassapitosopimusta (NDA, Non-disclosure agreement). Katso sopimusmalleja PKT-yritysten tietoturvallisuusoppaan liitteessä.
uudelle työntekijälle annetaan hänen tehtäväänsä vastaavat käyttöoikeudet sekä perehdytetään hänet toimimaan organisaation tietoturvaperiaatteiden mukaisesti.
toiminnan kannalta keskeiset tehtävät ja vastuut jaetaan eri henkilöille,
tietoturvallisuusasioihin perehtyminen ja osaamisen ylläpito järjestetään,
kriittisten tehtävien tehtäväkuvaukset dokumentoidaan niin, että joku toinen pystyy niiden avulla suorittamaan ko. tehtävän,
asiantuntevien varahenkilöiden määrittely ja kouluttaminen hoidetaan,
käyttöoikeuksien määrittely toteutetaan kullekin henkilölle työtehtävien, ei organisaatioaseman mukaan.
tietoturvallisuushäiriöiden rekisteröinnistä, raportoinnista ja selvittämisestä huolehditaan,
työsuhteen päätyttyä huolehditaan, että henkilö palauttaa avaimet, henkilötunnisteet ja henkilökortin, joka hävitetään sekä henkilön käyttöoikeudet poistetaan.

Tässä sanotun lisäksi tietoturvallisuuteen voidaan tietysti vaikuttaa valinnoilla jo työhönoton yhteydessä. Työntekijän tietoon liittyvät oikeudet eivät koske ainoastaan tiedostoja vaan myös prosesseja, esim. sitä kenellä on oikeus antaa minkäkinlaisia lausuntoja yrityksen nimissä. Oikeuksia voidaan poistaa myös muussa yhteydessä kuin työsuhteen päättyessä tai rikkomusten seurauksena. Yleinen vähimpien oikeuksien periaate (eli "need to know") on toimiva, kunhan oikeuksia ei normaalin kehityksen takia tarvitse yhtenään muuttaa.

Valvontaa ja huolenpitoa. Henkilökunta (ja varsinkin vierailijat) voidaan varustaa näkyvin henkilötunnistein, tai mahdollisesti sellaisin, jotka paikasta toiseen siirryttäessä automaattisesti havaitsevat ja tunnistavat tulijan. Keskuskoneiden ja konsolien äärelle on pääsy vain käyttöhenkilöstöllä ja työasemille vain niillä, jotka niitä tarvitsevat. Ainakin näihin tiloihin on syytä järjestää kulunvalvonta, jonka perusteella voidaan tietää, kuka ja milloin siellä on käynyt! Joissakin yhteyksissä voidaan käyttää kameravalvontaakin, mutta tätä suositellaan välttämään. Joka tapauksessa siitä pitää ilmoittaa valvonnan kohteiksi joutuville.

Työntekijöitä voi olla tarpeen valvoa muillakin tavoin esimerkiksi seuraamalla heidän sähköpostiansa, tiedostojansa tai seittiselaustaan. Pääasiassa tällainen toiminta johtuu (ehkä perustellusta ja yleisestä) epäluottamuksesta työntekijää kohtaan, mutta merkitys voi olla laajempi. Voidaan myös tulkita niin, että työntekijää samalla opastetaan ja patistetaan noudattamaan tietoturvapolitiikkaa. Näin on vaikkapa sähköpostin salauksen ja tiedosto-oikeuksien asettamisen osalta. Lisäksi vaikutuksena voi olla huolenpito: Työntekijäkin voi nimittäin joutua hyökkäyksen kohteeksi: tätä voi olla esim. lahjonta, uhkailu, kiristys tai "miellyttävämpi" social engineering, jossa käytetään hyväksi erityisesti auttamisen halua. Näillä kaikilla voi olla tavoitteena jokin tietoon kohdistuva luvaton toimi.

Sähköpostin valvontaan vaikuttaa myös Laki yksityisyyden suojasta työelämässä, joka astui voimaan 1.10.2001. Sen 9§:llä on otsikko "Menettelytavat teknisen valvonnan ja tietoverkon käytön järjestämisessä". Pykälässä viitataan ensin kahteen muuhun lakiin menettelytapojen hallinnoinnin osalta, sitten luvataan säätää erikseen työnantajan oikeudesta valvonnan käyttöön. Lopuksi todetaan: "Työnantaja ei saa toimenpiteillään vaarantaa työntekijän yksityisluonteisten luottamuksellisten viestien salaisuutta sähköpostin ja tietoverkon käytössä."