TTKK / J.Koskinen / Tietoturvallisuuden perusteet, 2002

Yhteiskunnallinen näkökulma

Sisältö: Tietosuoja; Yksityisyys verkossa; [1] Lakiasioita; [2] "Kryptososiologiaa"; [1] WWW-sisällön suodatus; [2] Sähköpostin suodatus; [1] Tekijänoikeudet; [2] Vesileimaus; Sähköisestä kaupankäynnistä

Tietosuoja

Motivointia
Menneisiin aikoihin verrattuna kansalaisen henkilöllisyys on nykyään todella monen tahon tiedossa - liittyneenä tyypillisesti johonkin aktiviteettiin, jonka yhteydessä tieto on tallentunut. Tietosuoja on sitä ettei tietojen kerääjä saa käyttää niitä miten ja mihin tahansa. Suomessa lainsäädäntö antaa kohtuullisen hyvän suojan kansalaiselle, varsinkin jos tämä osaa perätä oikeuksiaan. Tietosuojasta on syytä tietää myös siltä varalta, että itse joskus saa haltuunsa toisten henkilötietoja.
Sisältöä ja tavoitetta
Tässä vain määritellään lyhyesti tietosuojan käsite ja viitataan erilaisiin lakeihin joihin kehotetaan tutustumaan tarkemmin tietosuojavaltuutetun verkkosivujen kautta.
Yksi tavoitekysymys löytyy sisällön suodatuksen yhteydestä. Kahteen kertaan tietosuoja on tentissä pyydetty määrittelemään (1 pisteen arvoisessa kysymyksen osassa).

Tietosuoja

Tietoturvasanasto antaa tietosuojalle kaksi määritelmää: "1. Tietojen valtuudettoman saannin estäminen ja tietojen luottamuksellisuuden säilyttäminen. 2. Henkilötietojen suojaaminen valtuudettomalta tai henkilöä vahingoittavalta käytöltä." Ensimmäinen näistä edustaa yleistä tietoturvatavoitetta, jota tällä kurssilla on nimitetty luottamuksellisuudeksi. Kurssilla käytetään jälkimmäistä määritelmää tietosuojalle, eli sen katsotaan koskevan nimenomaan henkilötietoja. Niille on ominaista, etteivät ne voi olla kokonaan salaisia, vaan niiden hyödyllisyys perustuu siihen, että niistä on tietoa myös joillakin muillakin kuin vaikkapa henkilön omaisilla.

Dorothy Denning esittelee kirjassaan Information Warfare and Security, miten helppoa on ihmisten henkilökohtaisten tietojen urkkiminen avoimista lähteistä. Mukana on mm. seuraava lainaus Carol Lanen kirjasta Naked in Cyberspace: "Muutamassa tunnissa tietokoneeni äärellä istuen, aloittaen nimestäsi ja osoitteestasi, voin saada selville, mitä teet elääksesi, puolisosi ja lastesi nimet ja iät, millainen auto sinulla on, talosi arvon, ja paljonko maksat siitä veroa ... Voin myös löytää sen unohdetun collegen aikaisen huumejutun." Lanen Ensimmäinen Informaatiolaki on seuraava: "Jos tieto on yhdessä paikassa, niin se on jossain muuallakin" ja tällä on korollaari: "Jos tieto on missä tahansa ja miten hyvin suojattuna tahansa, se on myös jossain muualla, jossa lähes kuka tahansa voi päästä siihen käsiksi."

Harjoitus: Miten hyvin edellä sanottu pätee Suomeen ja millaisia tietolähteitä voidaan käyttää hyväksi?

Suomen tietosuojalainsäädäntöön ja sitä selittäviin ohjeisiin voi tutustua tietosuojavaltuutetun sivulta käsin melko tiiviisti. Tässä on vielä tiivistetympi esitys:

Oikeus yksityiselämän suojaan on Suomen perustuslaissa säädetty perusoikeus. Henkilötietojen rekisteröiminen merkitsee poikkeamista siitä ja asiasta säädetään tarkemmin henkilötietolaissa.

Teletoiminnan tietosuojalaki eli Laki yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta käsittelee tarkemmin mm. luottamuksellisen viestinnän suojaa sekä erilaisia viestinnän tuottamia tunnistetietoja. (Laki tuli voimaan 1.7.1999.)

Laki yksityisyyden suojasta työelämässä astui voimaan 1.10.2001. Tästä on lyhyt maininta myös henkilöstöasioiden yhteydessä.

Viranomaisen luovuttaessa henkilötietoja henkilörekistereistään henkilötietolain yleisten säännösten sijasta sovelletaan julkisuuslakia, jossa säädetään myös yleisimmistä salassapitoperusteista sekä hyvästä tiedonhallintatavasta.

Henkilötietojen käsittelyä koskevia säännöksiä sisältyy henkilötietolain lisäksi eri aloja, erityisesti viranomaisten tehtäviä ja toimintaa koskevaan erityislainsäädäntöön. Lisäksi on olemassa kansainvälisiä normeja ja ohjeita.

Yhden tiiviin esimerkin siitä, mihin lainsäädäntö Suomessa antaa mahdollisuuden, ja kuinka moni sitä on käyttänyt, saa Tietosuojavaltuutetun julkaisemasta tilastosta väestötietojärjestelmään rekisteröidyistä kielloista.

Yksityisyys tietoverkossa

Motivointia
Liikennöinti tietoverkossa ei perusmuodossaan ole kovin yksityistä, koska varsinkin seittiselaus tapahtuu ennalta arvaamattomiin paikkoihin, joista kuitenkin pitää tulla vastauksia selaimelle. Vastaava pätee muullekin liikenteelle. Jos sähköpostit tai muu liikenne kulkevat salaamattomina, voi niiden sisältäkin päästä näkyviin jotain, joka vähentää yksityisyyttä.
Sisältöä ja tavoitetta
Katsotaan, millaisia asioita verkon käyttö voi kertoa käyttäjästä vastoin tämän aikomuksia ja esitellään sitten anonymisointimekanismeja, joilla asiaa voi kohentaa. Myös evästeiden (cookies) käyttöä esitellään.
Tavoitekysymyksiä:

a) Mitä ovat seittiselauksen evästeet (eli cookiet eli piparit)?
b) Miksei niiden kautta voi tapahtua hyökkäystä koneesi eheyttä vastaan?
c) Millä tavoin ne voivat aiheuttaa ongelmia yksityisyytesi kannalta?
d) Millä tavoin seittiselaus yleisesti heikentää yksityisyyttäsi, evästeistä riippumatta?

Millä tavoin WWW-selaukseen liittyvät piparit (eli cookies) voivat olla tietoturvauhka? Esitä ainakin kaksi tapaa ja esitä myös, milloin piparin voi turvallisin mielin ottaa vastaan selaimeensa.

Millaisella mekanismilla on mahdollista harrastaa seittiselausta ilman, että www-palvelin tietää mistä osoitteesta se tapahtuu? Entä miten asian voi tehdä niin, ettei kukaan omaan koneympäristön ulkopuolella tiedä sitä?

Havainnollistusta

Etsi omia tai kaverin tietoja verkosta. Mitä niillä voi tehdä? Pahaakin?

Kokeile jotain anonymisointipalvelua. Voit myös liittyä Crowds'iin eli etsiä ja asentaa Crowds-ohjelman omalle koneellesi.

Yksityisyys tietoverkossa

Yksityisyys tarkoittaa ihmisen oikeutta tai käytännön mahdollisuutta määrätä itseään koskevan tiedon käytöstä. [VM:n sanasto]

Harjoitus. Millaisia tietoja em. määritelmä tarkoittaa käytännössä? Pohdi tätä ensin hetki yleisesti. Sulje sitten pois seuraavat tilanteet:

yksilö oma-aloitteisesti julkaisee itseään koskevia tietoja (vaikka hän sitä myöhemmin katuisikin, esim. ikivanhojen news-mielenilmaustensa tullessa kiusallisesti vastaan.)
tietosuojasäännökset kieltävät viranomaista, tietoverkon palveluntarjoajaa tms. levittämästä tietoa.

Missä yhteyksissä ja millä tavoin voisit käyttää tietoverkkoa niin, että sinun olisi syytä olla huolissasi siitä, minne sinua koskevaa tietoa kulkeutuu?

Tässä jaksossa keskitytään seittiselaukseen. Se jättää seuraavanlaisia jälkiä palvelimeen, josta jotain dokumenttia on haettu:

käyttäjän koneen IP-osoite;
selaimen tyyppi ja monia tietoja sen asetuksista;
sivu jolta tultiin;
haettu sivu;
aika jolloin haku on tehty.

Vaikka Internet-osoite ei yksilöikään käyttäjää, sen avulla voidaan toisinaan päästä varsin lähelle. Navigoimalla sivulle http://privacy.net/analyze/ saat näkyviin, mitä palvelin on saanut selville.

Jotkin www-palvelut edellyttävät käyttäjiltä rekisteröitymistä. Tällaisissa tapauksissa pitäisi käyttäjille tehdä selväksi, millaisiin tarkoituksiin heidän antamiaan tietoja voidaan käyttää. Tätä ei suurin osa palveluista tee. Lisäksi lapsilta ei saisi kysellä henkilökohtaisia ilman, että heitä kehotetaan pyytämään vanhemmilta lupa. Vielä parempi olisi, jos palvelu kertoisi tiedot myös vanhemmille (ja varoittaisi tästä tietenkin etukäteen).

Suomessa voi kieltää rekisterinpitäjää luovuttamasta tietoja eri tarkoituksiin. Suomen Suoramarkkinointiliitto ry ylläpitää vapaaehtoisia (ns. Robinson-) rekistereitä henkilöistä, jotka eivät halua osoitteellista suoramainontaa tai puhelimitse tehtyjä tarjouksia. (Vrt. tietosuoja.)

"Cookie", eli pipari, eli eväste, on tietue, jollaisen tietyt palvelut lähettävät selaimelle ja jonka selain tallettaa muiden vastaavien jatkoksi. Seuraavalla kerralla palvelin saa selaimelta edellisen kerran tiedon ja voi siten valita uusia mainoksia, räätälöidä palvelua asiakkaan mieltymysten mukaan, jatkaa ostoskorin täyttämistä tai yksinkertaistaa mahdollista kirjautumista. Selain ei anna millekään palvelimelle tietoa muiden palvelimien pipareista eikä pipareiden kautta pääse käsiksi selaimessa oleviin muihin tietoihin. Pipareista on tästä huolimatta ollut paljon hälyä, joka on osittain ollut aiheellista. Ensinnäkin käyttäjän yksityisyyttä voi uhata jo se, mitä piparit tehtävänsä mukaisesti kertovat palvelimelle saman käyttäjän aiemmasta toiminnasta. Toisaalta kyseinen palvelin voi välittää tämän tiedon edelleen asiakkaalleen, joka keräilee ja yhdistelee tietoja. Kolmanneksi monien palvelimien sivuja ladatessaan käyttäjä tulee saman tien ottaneeksi yhteyttä toisiin palvelimiin (mikä näkyy esim. näiden asettamissa banner-mainoksissa), jolloin käyttäjä kommunikoikin pipareiden välityksellä suoraan tietoja keräilevien tahojen kanssa - sellaisten kuin DoubleClick, AdsNetPool, Adforce jne. Toisenlainen riski muodostuu siitä, mitä piparit kertovat jollekin kolmannelle taholle, esim. saman mikron käyttäjälle, joka pääsee näkemään ne. Katso lisätietoja artikkelista "Too Many Cookies Are Bad for You" ja kokeile evästeitä käytännössä Privacy.netin demonstraatiossa.

Seuraavantyyppisillä järjestelmillä voidaan estää palvelinta saamasta selville lähettäjän Internet-osoitetta. Nämä ovat esimerkkejä menetelmistä, joista käytetään nimitystä PET, Privacy Enhancing Technologies.

Anonymizer-palvelu lähettää HTTP-pyynnön verkkoon käyttäjän puolesta.
Crowds on järjestelmä, jossa käyttäjä lähettää HTTP-pyynnön palvelimelle usean Crowds-ohjelmaa ajavan käyttäjän joukon avulla. Pyyntö forwardoidaan tämän joukon satunnaisesti valitulle jäsenelle siten, ettei kukaan jäsenistä eikä palvelin tiedä, mistä pyyntö tuli. Ensimmäinen vaihekin on ikäänkuin forwardointi: sen lähettää selaimen kanssa samassa laitteessa toimiva ohjelma, "jondo", jolla on tietty todennäköisyys forwardoida palvelimelle lähettämisen sijasta. Palvelimen vastaus kulkee samaa polkua takaperin jondolta jondolle, kunnes selain saa sen oman koneensa jondolta. Kukin jondo nimittäin pitää muistissa arpomansa kohteen sekä siihen liittyvän paluuosoitteen.
Sipulireititys (Onion Routing) on toinen järjestelmä, jossa käyttäjän ei tarvitse luottaa mihinkään kolmanteen osapuoleen. Siinä HTTP-pyyntö lähtee eräänlaisena sipulina josta sipulireitittimet kuorivat eli dekryptaavat kukin yhden kerroksen sipulissa olevan reseptin avulla. Palvelimen saadessa pyynnön siinä näkyy vain viimeisen reitittimen IP-osoite.

Jos taas halutaan säilyttää anonymiteetti mutta silti pystyä kirjautumaan palveluihin eri kerroilla samana yksilönä, voidaan käyttää keinonimeämistä:

Lucent Personalized Web Assistance, LPWA on (ainakin ollut) keinonimeämispalvelu (pseudonyymiagentti). Siinä valtuutettu palvelin (proxy) keinonimeää kauttaan kulkevat HTTP-pyynnöt, jokaiseen kohteeseen eri nimiseksi mutta samaan kohteeseen aina samaksi.

Toisinaan käyttäjä haluaa sellaista palvelua, jota ei voi toteuttaa ilman yksilöintiä, esim. luottokorttiostoksen postitusosoitetta. Tällaisissa tapauksissa on hyötyä, jos käyttäjä pystyy arvioimaan, millaisiin muihin tarkoituksiin hänen tietojaan käytetään ja voiko hän sen hyväksyä - antaako hän esim. selaimensa ottaa vastaan piparia. Tätä tarkoitusta varten on olemassa P3P-hanke eli Platform for Privacy Preferences, jolla on vastaava idea kuin seittisuodatukseen käytetyillä PICS-kylteillä (ks. erikseen), joilla voidaan luokitella palvelun sopivuutta tietyille käyttäjille. Palvelut voivat myös kirjautua TRUSTe-järjestelmään (tai johonkin vastaavaan) ja saada tästä sivuilleen merkinnän (ja tulevaisuudessa myös sertifikaatin), jos ne sitoutuvat noudattamaan ilmoittamaansa yksityisyyspolitiikkaa. Lähtökohta näissä hankkeissa on puitteiden tarjoaminen itsesäätelylle, joka edistää asiakkaiden luottamusta ja siis liiketoimintaa.

LUE: 12 periaatetta, joilla voit turvata yksityisyyttäsi tietoverkossa - ja selityksiä sen verran, että tiedät, mistä niissä on kyse.

Muutama lakiasiallinen näkökulma

Motivointia
Salausmenetelmät ovat oiva osakeino tietoturvallisuuden tavoittelussa, mutta oikeus niiden käyttöön ei ole itsestään selvää, ainakaan kaikkialla.
Sisältöä ja tavoitetta
Kryptososiologialla tarkoitetaan tässä yhteiskunnan asettamia ehtoja kryptografisten menetelmien käytölle. Tällaisia ovat käyttöä tai vientiä koskevat kiellot ja rajoitukset, joista avainten pakkoluovutus on esimerkki. Myös patentit rajoittavat krypto-ohjelmien käyttöä.
Tavoitekysymyksiä. Jälkimmäisen b-kohta liittyy asiaan, josta on puhetta toisaalla.

Esittele kolme erilaista ei-teknistä syytä, jotka voivat estää jonkin kryptoalgoritmin tai krypto-ohjelmiston käytön.

Britanniassa on vuonna 2000 astunut voimaan laki, jonka mukaan viranomaisilla on tietyissä tilanteissa oikeus vaatia tietojärjestelmästä vastuussa olevaa purkamaan kyseisessä järjestelmässä olevan tai sieltä tietoverkkoon lähetetyn tiedon salaus. Viranomainen on jo alunperin saanut ja tallettanut kopion lähetetyistä viesteistä.
a) Mitä eroa ja mitä yhtäläisyyttä tällä ja key escrow'lla on?
Kyseiseen lakiin on tulossa myös lisäys, joka kieltää purkuvaatimuksen saanutta verkon tms. ylläpitäjää kertomasta asiasta kenellekään muulle kuin asianajajalleen. Erityisesti hän ei siis saa varoittaa salausta käyttävää asiakastaan siitä, että tämän mahdollisesti valonarat viestit tullaan avaamaan. Tämän kiertämiseksi on kehitelty seuraava keino: ylläpitäjä merkitsee viranomaisille paljastettavan avaimen käyttöiän päättyneeksi ja kun asiakas tietenkin kysyy, miksei avain enää kelpaa, ylläpitäjä vastaa, ettei hänellä ole lupa kertoa.
b) Selitä, millä tavoin tuo "kiertotie" on esimerkki piilokanavasta (covert channel).

Muutama lakiasiallinen näkökulma

Tietoon liittyy monenlaista sääntelyä, jolla on tekemistä tietoturvan kanssa. Asiassa voitaisiin nähdä ainakin kolme puolta:

Suojellaan tietoa ihmisiltä. Tästä on kurssilla runsaasti puhetta luottamuksellisuuden näkökulmasta. Nimenomaan laillisesta näkökulmasta tiedon suojaamista tapahtuu ainakin seuraavilla tavoilla
- tietosuoja
- kirjesalaisuus
- tekijänoikeudet
- patentit
- liikesalaisuudet
Tässä kohdassa esitellään vain tekijänoikeuksia. Tietosuojaa käsitellään erikseen. Patenteista ja krypto-ohjelmistojen vientirajoituksista on muutama sana erikseen. Kirje- ja liikesalaisuuksiin ei puututa.
Suojellaan ihmisiä tiedolta. Kyseessä on etiikka ja sisällön sallittavuus, mutta lakiin perustuvaa sääntelyä ei tässä paljolti ole, tai sillä ei ole suurta tehoa (vrt. Internet Kiinassa yms.). Kurssilla tarkastellaan hieman vapaaehtoisuuteen tai yhteisön sisäiseen sääntelyyn perustuvaa sisällön suodatusta. Tiedolta suojautuminen koskee myös spam'iä eli roskapostia. Otetaan se esille samassa yhteydessä.
Varmistetaan tiedon saatavuutta. Yhteiskunnan näkökulmasta tässä tulee esille tietysti julkisuusperiaatteita ja sananvapautta, mutta otetaan tässä esille vain yksi hieman teknisempi seikka: verottajan pitää saada tietää sähköisen kaupan toteutumisesta (ks. jäljempänä).

Hieman toisenlainen oikeudellinen näkökulma löytyy, kun katsotaan, mistä voi saada rangaistuksen. Tietoturvan vastaiset rikokset voidaan luokitella seuraavasti: Tekijä

laiminlyö velvollisuuden huolehtia tietoturvasta;
särkee eheyden tietoliikennejärjestelmässä, laitteistossa, ohjelmistossa tai tiedossa. Tähän kuuluvat myös luvaton tunkeutuminen tietokoneeseen tai -järjestelmään sekä perinteiset varkaudet ja vahingonteot.
levittää tietoa luvattomasti. Kyseessä voi olla salassapitovelvollisuuden rikkominen, tekijänoikeuden loukkaus tai laittoman tiedon (kuten lapsipornon) levitys. Mikä on välityspalvelun tarjoajan vastuu viimeksimainitun kaltaisissa tapauksissa, on tärkeä kysymys, johon ei ole toistaiseksi yksikäsitteistä vastausta.

Suomessa ei ole erikseen tietoturvalainsäädäntöä, joka kattaisi toisen kohdan, mutta kylläkin esim. tietosuojalaki (oik. henkilötietolaki) ja laki teletoiminnan tietoturvasta ja tekijänoikeuslaki.

Kolmannenlainen lakinäkökulma muodostuu, kun katsotaan tietoturvan rakentajien vastuuta tekemisistään. Tätä aihettaa sivutaan erikseen. Sähköisen kaupankäynnin oikeudellisia kysymyksiä esitellään lyhyesti Aapisessa. Siinä ei mainita verotusasiaa, joten esitetään siitä muutama huomio seuraavaksi.

Verotuksesta

Paperitonkin kaupankäynti vaatii kirjanpidon, jonka perusteella verotus voidaan tarkastaa. Se ei sinänsä ole uutta, koska OVT on ollut jo kauan käytössä. Veronkierron mahdollisuus saattaa kuitenkin kasvaa, kun kaupankäynnin kaikki vaiheet toteutuvat sähköisesti ja tuotantoakaan ei alkuvaiheen jälkeen näy missään, ainakaan muualla kuin prosessorin käyttöasteessa, kun se suorittaa jotain palvelua tai kopioi digitaalista tietoa asiakkaalle toimitettavaksi ja varsinkin jos tämä tapahtuu anonyymisti. Vastaava ongelma koskee tullin perimistä kansainvälisessä kaupassa. Anonymiteetti on muutenkin ristiriitainen tavoite ja mahdollisina laittomuuksina vastaan tulevat vaikkapa rahanpesu, kiristys ja lahjonta ja tietenkin laittomien tuotteiden, kuten huumeiden kauppaaminen.

Sisällön tuottaja ei välttämättä halua kätkeä toimiaan, koska hän ei voisi silloin puolustaa tekijänoikeuksia. Muutenhan joku muu saattaisi alkaa tehdä kauppaa kerran ostamallaan aineettomalla tuotteella. Toisaalta myyjä ei kaikissa kaupankäynnin muodoissa voi välttää asiakkaalle annettavaa kuittausta maksuista. Bittikuitit ajavat saman asian verotuksen näkökulmasta kuin paperille kirjoitetut kuitit. Lainsäädännön kehittämistarve on kuitenkin ilmeinen ja erityisesti kansainvälinen yhtenäistäminen olisi tärkeää.

"Kryptisiä" lakiasioita eli krypto"sosiologiaa"

Monissa maissa kryptologian käyttö ei ole itsestään selvää, vaan sitä rajoitetaan lainsäädännöllä. Perusesimerkkinä tästä oli vuoteen 1999 asti Ranska, jossa vahvojen salausalgoritmien käyttöön oli hankittava lupa tai avaimet oli tallennettava luotetulle kolmannelle osapuolelle. Sittemmin siellä on tapahtunut merkittävää vapautumista, ja nyt tiukimmin salaukseen suhtautuvat maat pitää etsiä entisen Neuvostoliiton alueelta, islamilaisten maiden joukosta ja muualta, missä ihmisoikeudet tai kansalaisvapaudet muutenkin ovat rajoitetumpia kuin länsimaissa.

Yksi keskeinen käsite rajoitettaessa kryptosysteemejä on key escrow, joka tarkoittaa eräänlaista avainten pakkoluovutusta, eli juuri sitä mikä Ranskassa oli käytössä. Sanasto suomentaa tämän vara-avainjärjestelmäksi ja puhuu pakolliseksi säädetystä salausavainten turvatalletuksesta. Sanaston aiempi versio selitti asiaa näin:

"Viranomaisille jätettävä mahdollisuus tarvittaessa esim. oikeuden päätöksellä saada haltuunsa käyttäjän salakirjoittamiseen käyttämä salainen avain ja tulkita tämän tuottama salakirjoitus ('valtiohakkerismi'). Tämä edellyttää salaisten avainten tallettamista jonkun luotetun osapuolen haltuun, josta esimerkiksi poliisi voi sen tarkoin määritellyissä tilanteissa saada käyttöönsä. Esitys on syntynyt USA:ssa ja sitä on perusteltu mm. tarpeella kuunnella vakavista rikoksista epäiltyjen puhelinkeskusteluja. Euroopassa ainakin Ranska pyrkii samaan ratkaisuun.
Pohjoismaissa key escrow -periaate ei ole saavuttanut kovin laajaa hyväksyntää perusteluna mm. se, että tarvittava salakirjoitustekniikka joka tapauksessa on saatavilla ja sen avulla periaatteessa kuka tahansa voi toteuttaa virallisen valvonnan ulkopuolella oman vahvan salakirjoitusjärjestelmänsä.
Suomessa viranomaisilla eikä siten muillakaan ole yleistä salauksen tulkintamahdollisuutta eli ei ole "salakuuntelumahdollisuutta" algoritmien ratkaisemattoman elinkaaren aikana [siis sinä aikana jonka salauksen murtaminen kestäisi]. Salaisista avaimista ei näin ollen pääsääntöisesti jää kopioita minkään ulkopuolisen tahon haltuun.
Tästä pääsäännöstä saattaa olla kuitenkin tarvetta poiketa esim. organisaatiokohtaisesti rooliin liittyvän identiteetin kohdalla tai elvytyspalveluiden mahdollistajana."

Kannattaa panna merkille viimeisessä kappaleessa mainitut kaksi myönteistä esimerkkiä key escrow -järjestelmän käytöstä. Kryptologian käyttöä eri maissa esittelee mm. maakohtaisesti jaoteltu Bert-Jaap Koops'in kryptolakikatsaus sekä toinen vastaavanlainen maaraportti ja siihen liittyvä yleiskatsaus.

Patentit. Yksi rajoitus salausteknologian käytölle muodostuu tietysti patenteista, jotka estävät myös algoritmien vapaata käyttöä. USA:n patentit ovat voimassa 20 vuotta hakemuksen jättämisestä ja 17 vuotta myöntämisestä. Niitä myönnetään löyhemmin perustein kuin Euroopassa, vrt. kriittinen tutkielma. Esimerkiksi RSA on patentoitu USA:ssa vuonna 1983, mikä merkitsee että vuoden 2000 syyskuuhun asti kaupallinen käyttö edellytti lisenssimaksuja. Ei-kaupallisiin tarkoituksiin, mutta vain USA:ssa ja Kanadassa, on sen sijaan voinut käyttää vapaasti saatavaa C-kielistä RSAREF-kirjastoa.

Vapauksista. Mitä sitten tarkoittaa vapaasti saatava? Ohjelmistojen eritasoiseen vapauteen liittyviä käsitteitä on esitelty GNU-sivuilla, mm.

Public domain = ei tekijänoikeuksien sitoma (mutta voi muuttua sellaiseksi muuntelun seurauksena).
Shareware: saa kopioida ja koekäyttää, mutta käytön jatkaminen edellyttää lisenssimaksua.

Käsitteiden päällekkäisyyksiä ja sisäkkäisyyksiä kuvataan kaaviolla. Todelliseen "free software"-aatteeseen liittyvä (GNU-)käsite on "copyleft" eli "kopiovasemmuus", joka tyypillisesti toteutetaan GPL-lisenssillä (General Public License). Keskeistä siinä on, ettei kopioinnin, myynnin eikä edes muuntelun yhteydessä saa rajoittaa muiden oikeuksia.

Funetin ftp-palvelimelta on saatavissa monenlaisia krypto-ohjelmia, jotka ovat vapaasti jaeltavia, mutta joista suurta osaa kuitenkin sitoo tekijänoikeus, mikä voi tarkoittaa rajoituksia käytölle tai sille miten edelleenjakelu saa tapahtua.

Vientirajoituksista: Monissa maissa kryptologia rinnastetaan aseteknologiaan ja siitä aiheutuu salaustuotteita koskevia vientirajoituksia. Pelkästään allekirjoitukseen tai eheyden todistamiseen sopivilla tuotteilla on lievempi kohtelu. Tunnetuin rajoitus koskee yhdysvaltalaista teknologiaa: USAsta ei saanut (vuoteen 2000 asti) viedä salausjärjestelmiä, jotka käyttävät yli 40 bitin mittaista symmetristä avainta tai yli 512 bitin mittaista julkista avainta. Jos yhdysvaltalainen yritys halusi vientilisenssin vaikkapa DES:iin, jossa avain on 56-bittinen, sen piti sitoutua luomaan key escrow-järjestelmä. Jos taas tällainen järjestelmä on valmiina, rajoituksia avaimen pituuden suhteen ei asetettu.

Suomi on mukana aseiden ja "kaksoiskäyttöisen" teknologian vientiä rajoittavassa ns. Wassenaar-järjestelyssä (nimi vuoden 1995 kokouspaikan mukaan). Sen mukaisesti vuodesta 1999 lähtien vahvan salausteknologian vientiin tarvitaan lupa ja samoin sellaisen tuontiin järjestelyssä mukana olevasta maasta. Katso lisätietoja Kai Puolamäen sivulta, jolta on linkkejä myös viranomaisten sivuille.

Vastuu ja tietoturva

Tietoturvan rakentamisessa ei käytännössä ole kysymys vain riskien minimoimisesta vaan vastuun siirrosta jonkun toisen harteille - sen perusteella että on itse tehnyt ohjeiden mukaan. Jotta tällainen voisi onnistua, pitää noudattaa/huomioida seuraavanlaisia periaatteita, jotka ovat Andersonin artikkelista (1994):

Turvajärjestelmä, jonka tarkoituksena on vakuuttaa (toimia todisteena), pitää suunnitella ja sertifioida ottaen huomioon, että sen analysointi tosipaikan tullen tapahtuu vihamielisessä ympäristössä - vastustajan asiantuntijan toimesta.
On varauduttava siihen, että todelliset ongelmat syntyvät sovellussuunnitelman möhläyksistä ja siitä miten järjestelmää käytetään.
Ennenkuin alkaa rakentaa mitään tietoturvajärjestelmää, pitää varmistua siitä, että ymmärtää, mikä sen todellinen tarkoitus on - erityisesti jos tarkoitus poikkeaa mainostetusta.
On ymmärrettävä, miten vastuu siirtyy niissä järjestelmissä, joita rakennetaan tai joiden perustalle rakennetaan.
Saattaa kestää vuosia, ennenkuin uudenaikaisten teknisten todisteiden merkitys oikeudelliselta kannalta vakiintuu, eikä kehitys välttämättä suppene mitään ristiriidatonta kohti.
Tietoturvalainsäädäntö on hyvin altis "arvaamattomien seurauksien laille".
Ei pidä luottaa teknisiin standardeihin, kun tarkoituksena on ratkaista oikeudellisia kysymyksiä.
Turvallisuusoletukset ja -tavoitteet tulisi perustaa kunkin sovellusalan teollisuusstandardeihin, ei yleisiin tietojenkäsittelyn käsitteisiin.
Luotettu komponentti tai järjestelmä on sellainen, jonka voi vakuuttaa.

Sisällön suodatus seitissä ja sähköpostissa

Motivointia
Internetissä on runsaasti lapsille sopimatonta ja jopa vahingollista materiaalia, johon he kuitenkin pääsevät kovin helposti käsiksi. Kyse on lähinnä aikuisviihteestä, väkivaltaa sisältävästä uutisaineistosta ja myös yhteyksistä tuntemattomiin ihmisiin "keskusteluhuoneiden", sähköpostin tai uutisryhmien välityksellä. Lapsia pitäisi jotenkin suojella tällaiselta sisällöltä, koska he eivät yleensä osaa eivätkä varsinkaan ymmärrä itse varoa sitä. Myös yritys voi yrittää varjella henkilöstönsä työaikaa asiattomalta sisällöltä. Henkilöstö itsekin varmaan haluaa suojautua roskasähköpostilta eli spämmiltä, jota joihinkin paikkoihin tulee tulvimalla.

Sisältöä ja tavoitetta
Esitellään suodatusmenettelyjä www-sisällön ja roskasähköpostin karsimiseksi.
Tavoitekysymyksiä. Toinen näistä liittyy myös tietosuojaan.

Miksi ihmistä pitäisi suojata WWW-sisällöltä? Sehän on vain bittejä, joita hän sitäpaitsi vapaaehtoisesti klikkailee nähtävikseen tai kuultavikseen. Mitkä tahot voivat osallistua suojauksen kriteereiden asettamiseen ja miten se käy?

(a) Millaisilta vierailta, siis muualta tulevilta, biteiltä ihmistä tai hänen tietojenkäsittelyjärjestelmäänsä pitää suojella? Mainitse ainakin kolme erityyppistä asiaa.
(b) Koska a-kohdan mukaisessa suojaamisessa perille pääsevien bittien määrää pitää vähentää, näyttäisi siltä, että saatavuus (availability) voi vain heikentyä suojauksen seurauksena. Miksei asia ole näin yksioikoinen?
(c) Miksei tietosuojalla ole mitään tekemistä a-kohdan kanssa, samankaltaisesta nimestään huolimatta?

Missä mielessä spam eli roskasähköposti on tietoturvauhka? Esittele yksi keino, jolla sitä voi torjua.

Havainnollistusta
Katso mitä Altavista löytää, jos haet merkkijonoa "(n 1 s 0 v 0 l 0)". Aseta sitten käyttöön Altavistan tarjoma "Family Filter"-suodatin ja katso mitä sen jälkeen löytyy.

WWW-sisällön suodatus

Vanhempien avuksi lasten nähtäville tulevan seittisisällön valikointiin on tehty ohjelmia, jotka voivat

suositella lapsille sopivaa sisältöä;
suodattaa etsinnän tuloksia tai etsiä vain asianmukaisista tietokannoista;
varoittaa etukäteen sopimattomasta sisällöstä;
tiedottaa millaista sisältö on, samalla kun se jo latautuu;
estää tietynlaisten www-sivujen latautumisen;
valvoa (monitoroida), eli tallettaa myöhempää tarkastelua varten, mitä sisältöä on nähty tai yritetty nähdä.

Keskeinen ongelma on tietenkin sen ratkaiseminen, mikä on soveliasta sisältöä, esim. suodatetaanko pois "vääränlaista" tietoa vai tehdäänkö toisinpäin päästämällä läpi (suotamalla) "oikeanlaista" tietoa. Valittiinpa suodatin miten tahansa, aina joko jotain ei-toivottua pääsee läpi tai jotain hyvää torjutaan - yleensä tapahtuu molempia.

Suodatuksen taustalla täytyy olla jokin luokitus- tai merkintämekanismi ja sen vaikutusta pitää voida säätää asettamalla kriteerejä. Näitä toimia voivat tehdä

sisällön tuottaja, jolloin kyseessä on eräänlainen itsesensuuri, mutta ehkä myös keino täyttää asiasta kiinnostuneiden hakuehdot;
ulkopuolinen asiantuntija (tai ryhmä sellaisia), erilaiset luokittelupalvelut eri tarkoituksiin;
paikallinen "ylläpitäjä" (jonka vastuulla lapset ovat);
automaattisesti esim. avainsanojen perusteella (joillakin ohjelmistoilla on itsenäistä toimintaa kuvaavia nimiä: CYBERsitter ja Net Nanny).

Suodatus voi tapahtua

omassa työasemassa (jolloin suodatin voi olla lasten ulottuvilla!),
lähiverkon palvelimessa (esim. koulun tai kirjaston tapauksessa),
Internet-yhteyden tarjoajan laitteessa,
etä-proxy-palvelimessa tai
hakukoneessa.

PICS (Platform for Internet Content Selection) on WWW-konsortion laatima joukko määrityksiä (eräänlainen kielioppi), joiden tarkoituksena edistää lasten vanhempien avuksi tehtyjen työkalujen yhteensopivuutta: Perusmallina on, että sisällön tuottaja määrittelee dokumenttiin liittämillään PICS-"kylteillä" dokumentin sisällön luonteen ja liittää mukaan tiedon siitä, minkä luokittelumallin mukaan se on tehty. Eri luokittelumalleissa on erilaiset ulottuvuudet ja niissä erilaiset asteikot. Esimerkkinä olkoon "aikuisten voileipäpöydän" PICS-luokitus

<META http-equiv="PICS-Label" 
content='(PICS-1.1 "http://www.rsac.org/ratingsv01.html"
l gen true comment "RSACi North America Server" 
for "http://www.adultsmörgåsbord.com" on "1999.03.04T23:17-0800"
r (n 4 s 2 v 0 l 3))'>

Tässä on tuotettu kyltti (l niinkuin label 3. rivin alussa) käyttämällä RSACi:n sivulla mainittua arviointia (r niinkuin rating), jossa on neljä luokkkaa: alastomuus (n), seksi (s), väkivalta (v) ja kieli (l) ja kussakin viisi tasoa (0-4). (RSACi=Recreational Software Advisory Council on the Internet.)

Merkintöjä voidaan paitsi sisällyttää HTML-dokumenttiin kuten tässä, myös lähettää HTTP-protokollan (tms.) otsikkotiedoissa (mikä HTTP:ssä vastaa suoraan 'meta'-tagin merkitystä). Niitä voidaan myös laatia ja siirtää erillään dokumentista. Tämä tekee mahdolliseksi arviointipalvelut, joista selain voi käydä kysymässä jonkin sivun luokitusta.

Joitakin suodatusohjelmia on vertailtu FamilyPC:n sivulla, jolta pääsee myös muuhun aihetta koskevaan tietoon.

"Spam" ja sähköpostin suodatus

Spam, "unsolicited bulk e-mail", eli tilaamatta saatu (ja siis ei-toivottu) massasähköposti, lyhyesti roskaposti, on melkoinen vaiva paitsi sitä ylimäärin vastaanottaville käyttäjille, myös postipalvelimille. Asiaa sivutaan hieman sääntelyn yhteydessä. Katsotaan tässä, mitä asialle voisi tehdä verkkoteknisesti.

Roskapostia voidaan suodattaa palomuurien tapaan siinä vaiheessa, kun se saapuu paikalliseen verkkoon. Ensimmäisenä kriteerinä voidaan käyttää viestin otsikossa esiintyviä lähettäjätietoja. Koska nämä on helppo väärentää tai käyttää releöintiä, jolla lähettäjäkoneeksi tulee jokin muu, joudutaan käytännössä sulkemaan kokonaisia palvelun tarjoajia, ISP:tä, joiden on todettu suhtautuvan sallivasti roskapostittajiin. Listoja tällaisista osoitteista ylläpitää mm. MAPS RBL. Tämä ja ORBZ:n edeltäjä ORBS (Open Relay Behaviour-modification System) olivat käytössä Lintulassa syksyllä 1999, mutta sittemmin niistä luovuttiin ja hylkäyskriteeriksi otettiin se, että lähettäjän domain-nimeä ei löydy DNS-nimipalvelusta.

Käyttäjän oma postiohjelma voi täydentää tällaista suodatusta hylkäämällä tai ohjaamalla erilliseen postilaatikkoon sellaisia viestejä, joiden sisällön se tulkitsee ei-toivotuksi, esim. avainsanojen perusteella. Esimerkiksi yli kolmanneksen spam-postista on havaittu markkinoivan jonkinlaisia rikastumismahdollisuuksia ja yli kymmeneksen aikuisviihdettä yms.

Vähintään samaa tahtia kuin suodattimet kehittyvät, roskapostin lähettäjät ja heitä palvelevat ohjelmistonvalmistajat keksivät uusia menetelmiä hankkia osoitteita ja välttää suodattimia, esimerkiksi muokkaamalla viestejä henkilökohtaisemmiksi, silti automaattisesti. Millainen torjunta on enää sitten mahdollista, jos PKI:n yleistyttyä roskaviestitkin tulevat vastaanottajan julkisella avaimella salattuina ?!

Uudenlaisia torjuntakeinoja on kehitelty, mutta ne vaativat muutoksia postitusprotokolliin ja sen vuoksi eivät voi yleistyä kovin nopeasti:

Käyttäjien sähköpostiosoitteet eriytetään koostumaan useista kanavista. Käyttäjät tiedottavat eri tahoille eri kanavia ja voivat myöhemmin sulkea sellaisia, joita myöten ovat saaneet ei-toivottua postia.
Postin lähettäminen tehdään maksulliseksi: maksu on pieni ja se hoidetaan sähköisesti. Asiallisen postin vastaanottaja lupaa maksaa takaisin.
Maksun sijasta lähettäjä joutuu aina laskemaan jonkin monimutkaisen funktion.
Postia otetaan vastaan vain suosittelluilta tahoilta.
Kovin runsaasti postia (ja siis ilmeisesti roskapostiakin) tuottava palveluntarjoaja, ISP, maksaa sille ISP:lle, jolle lähetys menee.

Lisätietoa löytyy Cranorin ja LaMacchian artikkelista (1998). Katso myös Kai Puolamäen monipuolisia spam-sivuja ja Jyväskylän yliopiston sivua, jossa on myös spam-sanan taustasta. Helposti muistettavia esimerkkejä roskapostin "tappajista" ovat SpamKiller ja SpamAssassin, joista jälkimmäinen on ilmaisohjelmisto Unixissa.

Tekijänoikeus

Motivointia
Tekijänoikeuksia koskevia säännöksiä on nykyään erittäin helppo rikkoa, sillä www:stä löytyy runsaasti suojattua materiaalia, jonka kopioiminen ei maksa edes valokopioinnin tai skannaamisen vaivaa - ja edelleen levittäminen voi tapahtua samantien. Tietämättömyys säännöistä tai kopioitujen teosten suojauksesta ei kuitenkaan tee näistä toimista vähemmän rangaistavia.
Sisältöä ja tavoitetta
Tässä määritellään lyhyesti tekijänoikeuden käsite, viitataan lakitekstiin ja edellytetään luettavaksi muutaman sivun mittainen artikkeli. Lisäksi esitellään hieman vesileimauksen tekniikkaa.
Tavoitekysymys:

Haluat liittää kotisivullesi jostain julkisesta lähteestä löytämäsi kuvan. Mistä tiedät, saatko tehdä niin? Mikä vaikutus kuvaan kätketyllä vesileimalla voi olla asiassa?

Tekijänoikeus

Tekijänoikeus, copyright, tarkoittaa kopiointioikeutta, eli lakitekstiä lainaten se tuottaa "yksinomaisen oikeuden määrätä teoksesta valmistamalla siitä kappaleita ja saattamalla se yleisön saataviin, muuttamattomana tai muutettuna, käännöksenä tai muunnelmana, toisessa kirjallisuus- tai taidelajissa taikka toista tekotapaa käyttäen."

Tekijänoikeuksista on paljon suomenkielistäkin tietoa seitissä. Tämän kurssin tarpeisiin riittää J.Korpelan laatima tiivistelmä siitä, mitä jokaisen tietokoneen käyttäjän pitäisi tietää tekijänoikeudesta. LUE se. Tarkempaa tietoa löytyy saman tekijän FAQ:sta. Mainittakoon tässä vain, että melko yleisen luulon vastaisesti Suomessa tekijänoikeus on voimassa, vaikka teoksessa ei olisi copyright-merkintää, eikä edes tekijän nimeä.

Lainsäädännössä on odotettavissa kehittymistä, sillä EU-direktiivi digitaalisen ja verkkoympäristön tekijänoikeuksista on annettu 22.5.2001 ja sen vaatimat muutokset kansalliseen lainsäädäntöön tulee tehdä 21.12.2002 mennessä. Asiasta on lisää Opetusministeriön sivulla.

Tekniikkaa tekijänoikeuksiin: vesileimaus

Vesileimaus on vanha keino osoittaa aitoutta ja alkuperäisyyttä paperidokumenteissa, esim. osakekirjoissa ja rahoissa. Vähän samaan tapaan kuin allekirjoitus tässäkin kytketään dokumenttiin jotain, joka kertoo valmistajasta tai laatijasta.

Allekirjoituksesta poiketen tavoitteena on nyt tehdä kytkentä niin, että sitä ei voi leikata (eikä edes hangata) pois ja toisaalta niin, että se häiritsee itse dokumenttia mahdollisimman vähän. Itse asiassa se halutaan yleensä kätkeä niin, ettei asiasta tietämätön edes huomaa sitä. Digitaalisessa maailmassa vesileiman löytäminen dokumentista voidaan tehdä riippuvaiseksi jostain avaimesta, joka voi olla toki myös julkinen. Vesileimaus on ymmärrettävästi erittäin hankala toteuttaa pelkkään digitaaliseen tekstiin.

Digitaalista vesileimausta voidaan pitää kryptologian osa-alueena, mutta sillä on omakin tieteenalansa, steganografia. Siinä missä kryptografia on pohjimmiltaan viestin sisällön salaamista, steganografia on viestin olemassaolon salaamista, piilokirjoitusta, jossa viesti kätketään enemmän tai vähemmän sellaisenaan muun sanoman joukkoon. Historiallisesti sillä on ollut salakirjoituksen veroinen merkitys luottamuksellisuuden tavoittelussa, mutta sittemmin se on jäänyt syrjään nykyaikaisen kryptografian tieltä. Tilanne on muuttunut sitä mukaan, kun kuvallisen ja äänellisen tiedon digitaalisen tallentaminen ja varsinkin prosessointi on kehittynyt ja on tarvittu uusia menetelmiä tekijänoikeuksien puolustamiseen.

DMI:n aiemman johtajan Pauli Kuosmasen ja akatemiaprofessori Jaakko Astolan patentoima vesileimausmenettely mahdollistaa vesileiman kätkemisen yleisesti mihin tahansa signaaliin. Ajatellaan seuraavassa yksinkertaisuuden vuoksi kuvaa, jonka elementit (pikselit) ovat harmaatason ilmaisevia tavuja. Olkoon kätkettävänä vesileimana mustavalkoinen logo, siis kuva, jonka pikselit ovat nollia ja ykkösiä. Oletetaan lisäksi, että ykköset eivät ole toistensa naapureina. Asetetaan logo kuvan päälle johonkin kohtaan jotenkin päin. Reunojen ylitys voidaan hoitaa leikkaamalla logo ja jatkamalla vastakkaiselta puolelta kuvaa. Ne kuvan pikselit, joiden kohdalle osuu logon musta pikseli muunnetaan seuraavasti: lasketaan pikselin 8 naapuripikselin arvoista mediaani ja korvataan pikselin arvo sillä.

Tällä tavoin muunnettu kuva ei yleensä eroa alkuperäisestä havaittavasti, mutta miten logo sitten voidaan löytää siitä? Tehdäänpä muunnetun kuvan kaikille pikseleille sama operaatio eli lasketaan naapureiden mediaani. Niillä pisteillä, jotka ovat logon kohdalla, on alkuperäiset naapurit ja muunnos tuottaa niille uudestaan nykyisen arvon. Muilla pisteillä näin ei yleensä käy, vaan arvo muuttuu melko suurella todennäköisyydellä. Jos muuttuneet pikselit väritetään valkoisiksi ja muuttumattomat mustiksi, vesileima yleensä erottuu missä kohtaa se sitten sijaitseekin.

Kun tunnistusalgoritmi on paikantanut logon tällä tavoin, sen pitää vielä tehdä tilastollinen testi ja päätellä, voiko mustien (eli muuttumatta jääneiden) pikseleiden esiintyminen sattumalta johtaa siihen, että logokin on niiden joukossa. Testin tuloksena on jokin todennäköisyys. Mikäli se on riittävän pieni, sattuma voidaan jättää huomiotta ja uskoa, että kuvassa on vesileima. Testin lähtökohtana on kuvan luonteesta riippuva jakauma muunnoksessa muuttumatta jääville pisteille.

Ongelmia voi syntyä siitä, että kuvaa on sittemmin muunnettu jollain tavalla, esimerkiksi yksinkertaisesti vain rajattu, skaalattu tai kompressoitu, tai sitten kuva on painettu ja sen jälkeen uudelleen digitoitu.

Logo voidaan sijoittaa paitsi suoraan kuvaan kuten edellä, myös kuvasta tehtyyn muunnokseen (esim. Fourier), minkä jälkeen kuva on palautettu käänteismuunnoksella. Toisaalta logon sijasta kuvaan voidaan kätkeä jokin logosta tehty muunnos. Mediaanin sijasta voidaan tehdä jokin muu muunnos eli suodatus. Tämän muunnoksen valinnassa voidaan lisäksi käyttää parametreja. Kaikissa näissä tapauksissa ja näiden yhdistelmissä saadaan aikaan se, että asiattomien on vaikeampi peukaloida vesileimaa.

Yhtenä monista valmistajista DigiMarc toimittaa ohjelmia, joilla kuviin voidaan kätkeä vesileima. Nämä leimat sisältävät yksikäsitteisen tunnisteen. Kuvankäsittelyohjelmiin liitetty rutiini avaa tämän tunnisteen ja käy DigiMarcin tietokannasta katsomassa, mitä tietoa siihen on liitetty. Tällöin kuvaa skannaava tai sen avannut käyttäjä saattaa nähdä kuvaan liittyvää tietoa, joka voi olla tekijänoikeusilmoitus tai kuva-aiheeseen liittyvä linkki kuvan laatineen yrityksen sivuille. DigiMarc tarjoaa palveluna myös sitä, että se käy läpi seittiä ja tutkii minne kaikkialle tietyt kuvat ovat päätyneet.

Vesileimoja vastaan voi kuvaa peukaloimalla tehdä monenlaisia hyökkäyksiä, joiden tavoitteena on hävittää leima mutta säilyttää kuva hyvänä; ks. esim artikkelia Attacks on Copyright Marking Systems.

Elektroninen kaupankäynti

Motivointia
Yksi keskeisiä tietoyhteiskunnan rakenteita on elektroninen rahaliikenne, vaikka se tapahtuukin paljolti piilossa eikä ole mikään uusi ilmiö varsinkaan rahalaitosten välillä. Kun tavallinen kansalainen tulee tekemisiin sähköisen rahan ja yleisemmin kaupankäynnin kanssa, tarvitaan paljon enemmän tietoisuutta riskeistä ja keinoista niiden torjumiseksi. Tässä esityksen painopiste
Sisältöä ja tavoitetta
Sähköisestä kaupankäynnistä esitetään ensin yleisiä huomioita ja viitataan erityisesti EDI/OVT:hen. Sitten esitellään elektronisen maksaminen muotoja ja erityisesti sähköistä käteistä.

Oletetaan, että pankki myy bittiseteleitä, ja lunastaa ne aikanaan vastaavalla määrällä oikeaa rahaa, kunhan sarjanumeron perusteella varmistaa, ettei tee tätä samalle setelille kuin kerran.
a) Miksei kuitenkaan ole suotavaa, että pankki muodostaa sarjanumerot?
b) Jospa siis asiakas itse muodostaa satunnaisen sarjanumeron m ja ostaa sille pankilta sokean RSA-allekirjoituksen. Tulos on muotoa m^d mod n. Kun kauppias (ja aikanaan myös pankki) saa tämän ja korottaa pankin julkiseen eksponenttiin e, mistä hän tietää, että tulos on jotain sellaista, jonka pankki on joskus allekirjoittanut? Mitkä tahansa bitithän voi korottaa julkiseen eksponenttiin ja tulos näyttää satunnaiselta sarjanumerolta.

Yhteyksiä
Esitietona bittikäteiselle tarvitaan sokea allekirjoitus.
Sähköiseen kaupankäyntiin liittyy myös SSL-protokolla.

Yleisiä huomioita sähköisestä kaupankäynnistä

Sähköinen kaupankäynti on laajempi ja vanhempi ilmiö kuin ensinnä mieleen tuleva seittikauppa. Ideana on yksinkertaisesti korvata kaupankäynnissä perinteisesti käytetty paperi biteillä. Sittemmin mukaan on tullut myös kauppatavara, joka on välitettävissä bitteinä, siis ohjelmistot, dokumentit ja monenlaiset palvelut. Lentoyhtiöiden paikanvarausjärjestelmätkään eivät ole pelkästään tietokantoja, vaan nekin edustavat monenvälistä sähköistä kaupankäyntiä.

Paperittoman kaupankäynnin standardoitua perusteknologiaa 80-luvulta lähtien on ollut EDI (electronic data interchange), jonka mukaisesti kaupankäynnin (tai muun toiminnan) osapuolet sopivat määrämuodon tilauksille, vahvistuksille, laskuille ym. dokumenteille, joita ne toimittavat toisilleen, tietokoneelta tietokoneelle. (Paperin lisäksi säästyy siis aikaa ja sihteerien sormenpäitä. Vilkaise lyhyttä mainintaa kauppatapahtuman aiheuttamien tietovirtojen määristä.) Tämä on yritysten välistä tai yritysten ja viranomaisten välistä tiedonsiirtoa; EDI onkin suomeksi OVT eli organisaatioiden välinen tiedonsiirto.

Varsinaisesti tietoa siirtävää tekniikkaa voi EDIssä olla monenlaista, magneettinauhasta ja levykkeestä alkaen FTP:n kautta Internetin sähköpostiin vaikkapa PGP:llä tai S/MIME:llä suojattuna. EDIssä on kuitenkin myös oma tietoturvarakenne, joka on riippumaton tietoliikenteeseen käytetyistä verkoista ja protokollista. EDIn oma tietoturva käyttää normaaleja mekanismeja: salausta, tiivistämistä, allekirjoitusta, sertifikaatteja. Nämä ja näillä muunnetut sanoman osat paketoidaan EDI:lle tyypilliseen kuorirakenteeseen asianmukaisine aloitus- ja lopetusotsikoineen. Tällä tarkkuudella esiteltynä kryptoprimitiiveistä rakennettava kerrostus on EDIssä varsin samantapainen kuin mainitaan S/MIMEn yhteydessä. (Toisaalta EDI-sanomien paketointi MIMEen on yksi tapa käyttää sähköpostia niiden välitykseen (RFC1767)). Kerrostus muistuttaa myös toisaalla esille tulevaa IPSec-protokollaa.

EDIä vastaavaan formatointiin voitaisiin nykyään muuten tähdätä esim. XML:n kautta, jolloin sähköisiin dokumentteihin voitaisiin muodon ohella määritellä merkitys.

Elektroninen maksaminen

Maksamisen voi perinteisesti hoitaa

käteisellä;
etukäteen maksetulla "pelimerkillä": lipulla, lahjakortilla, puhelinkortilla, matkakortilla jne.;
tilisiirrolla: pankissa --> maksupalvelussa (siis off-line) --> on-line puhelimitse, päätteitse tai seititse;
pankkikortilla: ideana on, että asiakas antaa allekirjoituksellaan luvan siirtää rahaa omalta tililtään sovitun summan. Sekillä maksamisessa on sama periaate.
luottokortilla, jolloin edelliseen verrattuna kortin numero oleellisesti ottaa allekirjoituksen aseman. Rahan tilalla on tosin tilivelka ja prosessissa on vielä jälkivaiheita.

Elektronisimmaksi näistä näyttäisivät tulevan seittitilisiirto ja se, että luottokortin numero voidaan välittää verkoitse. Jälkimmäiseen erityistarkoitukseen kehitettiin SET-protokolla, joka ei kuitenkaan yleistynyt. Sen sijaan (osittaisena korvikkeena) käytetään useimmiten SSL-protokollaa, josta on lisää toisaalla. Tilisiirto voidaan nykyään toteuttaa osana samaa istuntoa, jolla kauppapaikassa asioidaan. Tällöin ostettava informaatio tai palvelu, esim. lehden tilaus, voidaan saada saman tien. Tällainen tilisiirto elektronisoi oikeastaan kohdan 2 tyyppisen maksamisen. Pohjalla on tässäkin yleensä SSL.

LUE yleisempi maksutapojen esittely sähköisen kaupankäynnin aapisesta kohtaan luottokortit asti. Katsotaan seuraavaksi, miten käteinen voidaan elektronisoida.

Sähköinen käteinen

Käteisen sähköistämisessä on kaksi päälinjaa. Ensimmäinen, ja käytännössä pitemmällä oleva, on käteisen lataaminen mikroprosessoriin, joka on istutettu muovikorttiin. Tämä muistuttaa hieman eo. luokittelun kohtaa 2, mutta lataaminen ei merkitse vielä maksamista millekään kauppiaalle. Toisaalta raha ei ole enää pankissakaan, joten kyseessä ei ole kohdan 4 mukainen tilanne. Korttirahan taustalla olevaan tekniikkaa käsitellään turvallisten laitteistojen yhteydessä. Yleiskatsauksen aiheeseen voi hankkia myös Avant-sivuilta.

Toinen mahdollisuus on, että käteinen on bitteinä, jotka periaatteessa voisi maksettaessa vaikka näppäillä koneeseen. Korttirahassahan kortin turvamoduuli pitää käyttäjän näpit irti biteistä, ja keskustelee vain toisen vastaavan moduulin kanssa.

Bittikäteisen perusidea on varsin samanlainen kuin paperirahassakin, joka ei alunperin edes ollut "oikeaa rahaa": Sähköseteleissäkin pankki allekirjoittaa tiettyjä bittejä ja sitä kautta lupaa maksaa niiden esittäjälle bittien (tai allekirjoitustyypin) mukaisen summan todellista rahaa. Biteissä on tärkeää olla mukana ainutkertainen sarjanumero, jotta kopioilla ei pääsisi rikastumaan (nehän eivät edes olisi "väärää" rahaa). Tavanomaisesta setelistä tällainen bittiseteli eroaa sikäli, että pankki tietää, kuka nosti minkäkin setelin. Tämä ei ole kovin suotavaa ja asiaan saadaan korjaus sokean allekirjoituksen avulla (ks. erikseen. Periaatetta käytetään Digicashin eCash-järjestelmässä ja se on peräisin David Chaumilta (1982).

Anonyymi sähköinen käteinen toteutuu seuraavasti: Asiakkaan halutessa nostaa sähköistä käteistä pankista hänen lompakko-ohjelmansa luo satunnaisen sarjanumeron, varustaa sen tietynlaisella redundanssilla ja lähettää tämän "setelin" sokaistuna pankille. Pankki ei näe sarjanumeroa, mutta veloittaa asiakkaan tiliä ja allekirjoittaa setelin sokeasti. Saatuaan vastauksen asiakas jakaa sokaisutekijän pois ja saa esille alkuperäisen sarjanumeronsa, jossa on pankin allkekirjoitus. Asiakas käyttää setelin maksuna kauppiaalle. Kauppias tarkistaa pankin julkisella avaimella, että seteli on aito, ts. pankin allekirjoituksen purkaminen tuo näkyviin sarjanumeron, jossa on vaaditunlainen redundanssi (esim. että bittijono on palindromi). Kauppias lähettää setelin pankkiin, joka tekee vastaavat tarkastukset ja lisäksi tarkastaa, ettei seteliä ole jo käytettyjen listalla. Jos asiat ovat kunnossa, pankki hyvittää kauppiaan tiliä, jos eivät, kauppias ei hyväksy maksua.

Koska pankki ei tiedä sokeutustekijää, se ei pysty yhdistämään asiakkaan nostamia seteleitä kauppiaan tallettamiin seteleihin. Kauppias ei voi tässä auttaa. Vaikka hän yleensä tietääkin, kuka hänelle maksoi, hän ei pysty todistamaan tätä.

Tästä perusmallista on lukuisia muunnelmia. Voidaan tavoitella esimerkiksi sitä, ettei maksun saajaa voida yksilöidä (sovelluksena sosiaaliavustus) tai että yritys käyttää samaa seteliä toistamiseen paljastaa asiakkaan.