Ads 468x60px

maanantai 29. kesäkuuta 2015

Salaavan web-pohjaisen sähköpostin tuottama lisäturva?

Usealle blogin lukijoista salaava web-pohjainen sähköposti on tuttu aihe vähintään konseptina. Useat julkishallinnon toimijat käyttävät salavaa web-pohjaista sähköpostia kommunikoidessaan organisaation ulkopuolelle. Salaavan web-pohjaisen sähköpostin tavoitteena on tarjota mahdollisuus lähettää ja vastaanottaa salattuja sähköposteja ilman ohjelmistoasennuksia. Web-pohjainen salaava sähköposti tarjoaa lähettäjälle myös mahdollisuuden kontrolloida jo lähetettyä sähköpostia, esimerkiksi tietoa siitä onko vastaanottaja lukenut viestin tai jopa mahdollisuuden poistaa lähetetty viesti. Tässä blogitekstissä haluan keskittyä erityisesti web-pohjaisen salaavan sähköpostin salauksen tuottamaan lisäturvaan.

Web-pohjaisen salaavan sähköpostin käyttö perustuu siihen, että linkki, minkä avulla sähköpostin pääsee lukemaan salattuna, lähetetään vastaanottajan normaaliin sähköpostiin. Linkin vastaanottaja menee lukemaan viestin sisällön verkkoselaimellaan klikkaamalla/kopioimalla saamansa linkin sähköpostista, jolloin selain huolehtii SSL/TLS salatun yhteyden muodostamisesta. Tämä salattu yhteys takaa tiedon luettavuuden ja eheyden. Vai takaako sittenkään? Tämän kaltaisessa toteutus ei käytännössä tuota sen suurempaa lisäturvaa kuin perinteinen sähköposti. Syy tähän on siinä, että salaavaa web-pohjaista sähköpostia käytettäessä ei luoteta siihen, että sähköpostiliikenne organisaatioiden välillä olisi salattua. Tämä on sinäänsä ihan varteenotettava uhka, koska kaikki organisaatiot eivät tosiaan salaa sähköpostiliikennettä. No, mitä sitten, kun linkki salattuun viestiin lähetetäänkin salaamattomana sähköpostina? Tässä tapauksessa salaamatonta kommunikaatiota (linkki, minkä avulla salattu web-pohjainen yhteys voidaan muodostaa) kuunteleva taho saa selville linkin, jonka hän voi avata verkkoselaimella ja käydä lukemassa salatun sähköpostin.

Mitä lisäturvaa salaava web-pohjainen sähköposti on lähettäjän ja vastaanottajan väliseen kommunikaatioon tuottanut? On totta, että suojattava tieto ei ole missään vaiheessa liikkunut verkossa salaamattomana mutta se ei tosiaankaan tarkoittanut sitä, etteikö ulkopuolinen taho päästä siihen käsiksi. Salaavan web-pohjaisen sähköpostin käyttö vaatii käytännössä  hyökkääjän aktiivisia toimia (linkin lukeminen), eikä pelkkä passiivinen hyökkäys (salaamattoman liikenteen kuuntelu) riitä. Muutamilla salaavaa web-pohjaista sähköpostia käyttävillä organisaatioilla on käytössä puhelinnumeron etukäteinen rekisteröinti, jolla esitetyn kaltaiset uhat voidaan torjua. Vastaanottajan ilmoitettua puhelinnumeronsa saa hän linkin vastaanoton jälkeen kertakäyttöisen salasanan puhelimeensa, jonka salaava web-pohjainen sähköposti vaatii syötettäväksi ennen viestin avaamista. Näin onnistutaan torjumaan liikennettä salakuuntelevan tahon aiheuttama uhka ja käytetään tietynlaista kaksivaiheista tunnistautumista, jonka murtaminen vaatii kykyä sekä sähköpostiliikenteen että matkapuhelinliikenteen kuuntelemiseen. Onkin erittäin suositeltavaa, että kaikki salaavaa web-pohjaista sähköpostia käyttävät organisaatiot ottaisivat käyttöön puhelinnumeron etukäteisen rekisteröinnin.

Miten sähköpostin luotettavuudesta ja eheydestä tulisi varmistua? Salaava web-pohjainen sähköposti on ajatuksena hyvä mutta se ei vastaa läheskään kaikkiin käytännön uhkiin. Tietoturva-asiantuntijan näkökulmasta S/MIME (Secure/Multipurpose Internet Mail Extensions) ja PGP (Pretty Good Privacy) ovat parhaita end-to-end salausratkaisuita, joiden avulla voidaan varmistua tiedon eheydestä sekä luottamuksellisuudesta. Erityisesti S/MIME:n käyttöönotto ja käyttö on kohtalaisen suoraviivainen prosessi, koska suurin osa organisaatioista käyttää Microsoftin Outlook -sähköpostisovellusta, joka integroituu hyvin S/MIME:n kanssa. Tällä hetkellä sekä S/MIME:n että PGP:n suurin ongelma on luotettava avainten jakelu. Esimerkiksi Suomessa ei ole mitään keskitettyä ja luotettua palvelinta, joihin suurin osa organisaatioista luottaa ja jota voitaisiin käyttää avainten jakeluun. Toinen vaihtoehto on esimerkiksi Viestintäviraston käyttämä tapa, jossa PGP-avaimet jaellaan heidän verkkosivujen kauttan. Toinen haaste, jonka end-to-end sähköpostisalaukset aiheuttavat on sähköpostiliikenteen analysointi; jos organisaatiolla on käytössä sähköpostin virustarkistus tai sandbox-analysointi, niin tällaisten järjestelmien ei ole mahdollista analysoida päästä päähän salattua sähköpostia.

Turvallista sähköpostiviestintää ja hyviä kesäkelejä toivottaen,
Jesse

Päivitys 19.8.2015: blog-kirjoitusta on päivitetty väärinymmärrysten ehkäisemiseksi. Jutussa aikaisemmin käytetyllä sanalla turvaposti, ei viitattu Suomen Turvaposti Oy:n tuottamaan palveluun, vaan yleisesti salaaviin web-pohjaisiin sähköpostiratkaisuihin, joita tuottavat muutkin toimittajat. Nimitystä turvaposti on käytetty yleisesti valtionhallinnossa kuvaamaan salaavaa web-pohjaista sähköpostia.

Ei kommentteja:

Lähetä kommentti