Category Archives: RIA küberkirjutised

RIA krüptouuring – ID-kaart ja plokiahelad

Kaur Virunurm, RIA arendus- ja uurimistegevuse osakonna juhataja

Allikas: pixabay.com

Moodne maailm seisab paaril nähtamatul tehnoloogilisel vaalal. Need kannavad meid nii vaikselt ja rahulikult, et me ei taju nende olemasolu. Aga kui neid poleks, ei töötaks mitte miski. Ükski arvuti ei leiaks teist omasugust üles; üksi tviit ega kassipilt ei jõuaks ühest ilma otsast teise; muusikat saaks kuulata vaid kontserdisaalis ja filmi näeks vaid kinos.

Mõnikord jääb mõni “vaal” tõbiseks. Osad haigused on aeglased ja kroonilised. IPv4 surma on ennustatud pikki aastaid, aga vanake võtab vapralt tablette ja jätkab teenistust. Mõni tõbi tabab aga järsult. Siis lükatakse terve suurriik internetist välja (Jaapan 2017) või peab terve maailm kiirkorras oma arvuteid lappima ja süsteeme taastama.

Üks selline „vaal“ on krüptograafia. Krüptograafia on andmete turvaomaduste tagamine matemaatika kaudu. Krüptograafia võimaldab arvutisüsteemides öelda, kes on kes ja mis on mis; millisest allikast on andmed pärit; kes võib neid andmeid näha, kes muuta ja kes kustutada. Krüptograafia loob süsteemide ja nende kasutajate vahele tugeva, matemaatilise usalduse.

Interneti algusaegadel polnud sel usaldusel suuremat tähtsust. Internet ei olnud äri, andmetel polnud veel majanduslikku väärtust, keegi ei tahtnud neid varastada ega valeks muuta või “pantvangi võtta”. Enam nii ei saa – ükski ettevõte ega teenus ei saa leppida sellega, et nende andmed on „lahti“ või et nende kliendid autendivad end ausõna abil. Krüptograafia kasutamisest on sisuliselt saanud hea äritava. Lisaks on hulk valdkondi, kus krüptograafiat nõuab seadus või valdkondlik regulatsioon. Terviseandmeid või krediitkaartide numbreid üle krüpteerimata kanali vahetada enam lihtsalt ei tohi.

Viimasel paari aastal on “krüpto” sõna jõudnud igapäevasesse kasutusse, ajalehtede esikaantele. Kõigepealt tulid krüptoviirused. Need tõid arusaama, et “krüpto” on ohtlik; eile olid sul perepildid, täna mitte, ja süüdi on “krüpto”. Siis tuli “krüptoraha”. Sel oli kõigepealt kiire rikastumise meelitav hõng, siis sai see külge lihtsameelsete lõksu sildi. Ja 2017 sügisel sai kogu Eesti teada, et “ID kaardi krüpto” on mingil viisil katki ja meie vabariik on ohus.

Kui meil on või tehnoloogia, mis riiki nii oluliselt mõjutab, tuleb seda tunda.
RIA on selle jaoks alates 2011. aastast tellinud regulaarset krüptouuringut.

Krüptouuringu eesmärgid on:

  • saada ja anda ülevaade valdkonna hetkeseisust,
  • käsitleda mõnda hetkel maailmas olulist krüptograafia teemat,
  • analüüsida või kirjeldada mõnda Eesti jaoks eriti olulist või aktuaalset krüptograafiaga seotud probleemi.

Õnneks ei ole meil vaja igal aastal kogu krüptograafia valdkonda uuesti üle analüüsida, sest suured muutused on üldiselt aeglased. Kuid diagnostilist ülevaatust on siiski vaja. Peame teadma, kas meie “vaal” vajab tablette või pensioni.

Värske krüptouuring

Sel aastal tellime ja avaldame krüptouuringut osade kaupa. Krüptouuringu esimene osa on nüüd teie ees.

Esimene ja kõige tähtsam peatükk annab ülevaate krüptograafiliste algoritmide hetkeseisust.
Kõik krüptograafilised algoritmid ja protokollid “vananevad” – nende vastu leitakse uusi ründeid, arvutustehnika ja meetodid arenevad. Seega muutuvad olemasolevad krüptosüsteemid “nõrgaks”. Uute infosüsteemide disainimisel peab seda teadma ja sellega arvestama. Ja seda teadmist vajame pikalt ette. Mõni täna krüpteeritud fail peab püsima saladuses ka 10 aasta pärast, täna lepingule antud allkiri peab kehtima ka aastal 2030.

Esimene peatükk vaatabki kõige olulisemaid, kõige rohkem kasutatavaid krüptoalgoritme ja kirjeldab nende tugevust nii lühikeses kui pikas perspektiivis. Eraldi tähelepanu all on kvantarvutus, sest krüptograafia tulevik sõltub kõige rohkem just sellest.

Teine peatükk kirjeldab eelmise sügise ID-kaardi kriisi krüptograafilist poolt.
Meie ID-kaardi probleem oli ühe ülemaailmse krüptovea järsk väljatulek. Uuring kirjeldab, mis juhtus, mida tehti ning kuidas ID-kaartide uue lahenduse (elliptkõverad) krüptograafiline pool töötab.

Kolmas peatükk annab ülevaate plokiahelate (blockchain) tehnoloogiast.
See on hetkel krüptograafia kõige kurikuulsam rakendus. Avalikkuse jaoks on see eelkõige “bitcoin”, kuid IT-kogukonna sees tahetakse kõik süsteemid alates muusika jagamisest kuni rakettide tootmiseni plokiahelatele “üle viia”. Sellest loodetakse järgmist “vaala”, mis kogu maailma kandma hakkab.

Krüptouuring kirjeldab eri plokiahelate erinevaid omadusi ja pakub välja skeemi, mille abil otsustada, milline tehnoloogia mis ülesande jaoks sobib. Lisaks on uuringu käigus välja töötatud plokiahelate eestikeelne terminoloogia.

Krüptouuringu kirjutasid RIA tellimusel Cybernetica teadurid Ahto Buldas, Jan Willemson ja Arne Ansper.

Loodame, et meie krüptouuringud on Eesti IT-kogukonna jaoks hea õppematerjal.

Head lugemist!

***

Lisainfo:

Kaheastmeline autentimine: Twitter

CERT-EE juhendab, kuidas aktiveerida kaheastmeline autentimine Twitteris. Blogist leiab ka varasemad juhised kaheastmelise autentimise aktiveermiseks Gmailis, Facebookis ja Microsofti kontodel.

Twitteri logo

Twitter on maailmas populaarsuselt kolmas sotsiaalmeedia keskkond, mida kasutab igapäevaselt üle 330 miljoni inimese. Twitteri puhul on märkimisväärne, et teadaolevalt on umbes 80% Twitteri kasutajaid väljastpoolt Ameerika Ühendriike ning keskkond on äärmiselt levinud nii tipp-poliitikute kui ka riigipeade seas.

Twitteri turvaliseks kasutamiseks on kõigepealt vaja korralikku ja turvalist parooli, mis ei ole kusagil mujal juba kasutusel. Üks lahendus sellise turvalise parooli valimisel võib olla näiteks tehnokratt Peeter Marveti loodud tööriist, mis genereerib kasutajatele parooliks neli levinud sõna, mida saab suurte tähtede, erimärkide ja numbrite lisamisel veelgi turvalisemaks muuta https://rabool.eu/.

Õngitsustest ja pettustest, mille vastu kaheastmeline autentimine (2FA) aitab, on juttu blogipostitustes:

Kaheastmelise autentimise lisamine

Twitterisse on võimalik konto registreerida kas meiliaadressi või telefoninumbrit kasutades. Sarnaselt kõikidele teistele suure kasutajate arvuga keskkondadele, on ka Twitteris võimalik kahetasemelist autentimist kasutades konto turvalisemaks muuta. Selleks tuleb vajutada üleval paremal nurgas profiilipildile ja ilmuvast rippmenüüst valida “Settings and privacy.”

Ekraanipilt

“Settings and privacy” alt tuleb kõigepealt valida sisselogimiste kinnitamise võimalus (“Verify login requests”). Sisselogimisi saab kinnitada nii SMSi teel saabuva koodiga kui ka Twitteri rakenduse kaudu. Lisaks tuli Twitter 2017. aasta lõpus välja uudisega, et sisselogimise kinnitamiseks võib kasutada ka kolmanda osapoole rakendusi. Juhul kui Sa pole kontot tehes lisanud oma telefoninumbrit, saad seda teha, valides “Add a phone”:

Ekraanipilt

Uuest kohast ja/või tundmatust seadmest sisse logides küsitakse parooli. Seejärel tuleb tellida kinnituskood ning see sisestada, et (oma) kontole ligi pääseda. Siis saab seadistamist jätkata.

Pärast “Login verification” märgistamist kuvatakse kasutajale järgmised võimalused:

Ekraanipilt

Esimese variandina on võimalik uuest asukohast sisselogimine kinnitada tavapärase, SMSi teel saabuva koodi kaudu. Sel juhul saabub telefoni SMSiga 6-kohaline kood, mille peab sisselogimiseks sisestama.

Samuti on võimalik kas Google Play poest, App Store’ist või Microsoft Store’ist alla laadida turvalisust tagav rakendus (mobile security app), mille saab seejärel oma kontoga siduda genereeritud QR-koodi abil.

Ekraanipilt

Ekraanipilt

Kui autentimisrakendus on kontoga seotud, saab kohe ka rakenduse ja konto koostoimimist proovida. Selleks tuleb sisestada kood, mille rakendus genereerib.

Ekraanipilt

Lisaks on võimalik endale genereerida tagavarakood konto taastamiseks. Selle abil saab samuti oma isikut tuvastada. Päheõppimise asemel soovitatakse see kood salvestada ekraanipildina, välja printida või endale e-kirjaga saata.

Ekraanipilt

Kui kaheastmeline autentimine sai edukalt aktiveeritud, küsitakse uuest ja/või tundmatust seadmest sisenemisel juba kinnituskoodi:

Ekraanipilt

Kaheastmeline autentimine: Microsofti kontod

CERT-EE juhendab, kuidas aktiveerida kaheastmeline autentimine Microsofti kontodel.
Blogist leiab ka varasemad juhised kaheastmelise autentimise aktiveermiseks Gmailis, Facebookis ja Twitteris.

Microsofti ehk Hotmaili, Outlooki, Live’i või MSNi konto kaheastmelise autentimise aktiveerimiseks pead kõigepealt sisenema oma kontole.

Kui Google’i konto kasutajad sisenevad oma kontole enamasti aadressilt gmail.com (mis suunab postkasti puhul edasi aadressile mail.google.com), siis Microsofti meiliteenuse kasutajatel on selleks aadressiks outlook.live.com. Microsoft suunab kasutajad automaatselt sellele aadressile, kui nad on trükkinud aadressireale hotmail.com, live.com või outlook.com. Kui aadressireale kirjutada msn.com, tuleb meilikontole sisenemine lehelt eraldi valida.

Järgmise sammuna tuleb ülevalt paremalt nurgast profiilipildi alt valida “Minu kontod,” “Kuva konto” ning seejärel uuel lehel “Security”.

Ekraanipilt

Seejärel vali “Update your security info” ning “Update info”:

Ekraanipilt: account.microsoft.com/security

Järgnevalt veendu, et Su kontoga on seotud vähemalt üks lisaturvalisuse meede, mille abil saad vajadusel oma kontole ligipääsu taastada. Selleks võib olla näiteks mõni teine meiliaadress, mida kasutad, või telefoninumber. Oma konto saab kinnitada SMSi või e-kirja teel. Lehe allosas saad valida “Explore more options to keep your account secure.” See link suunab Sind edasi lehele, kus saad aktiveerida kaheastmelise autentimise.

Ekraanipilt

Kui oled valinud konto kinnitamise e-kirja või SMSiga (soovitame e-kirja, sest SMS ei pruugi esimesel korral kohe kohale jõuda), saadetakse Sulle konto kinnitamiseks esmalt 4-kohaline kood:

Ekraanipilt

Suurema turvalisuse tagamiseks tuleb oma konto veelkord kinnitada ja selleks saadetakse juba pikem kood:

Ekraanipilt

Pärast konto kinnitamist on võimalik lisada oma kontole lisaturvalisust tagavaid funktsioone. Näiteks saab sisselogimisvõimaluste “Manage sign-in options” all valida, millise konto ja kasutajanimega sisse logid (näiteks, kui Sul on ühendatud Microsofti konto ja kunagine Skype’i kasutajanimi).

Ekraanipilt: https://account.live.com/proofs/Manage/additional

Juhul kui Su kontol on kaheastemeline autentimine sisse lülitamata, saad seda teha pealkirja “Two-step verification” all, valides “Set up two-step verification”.

Ekraanipilt

Lisaturvalisuse tagamiseks on kolm varianti:

  • lisada saab telefoninumbri, millele kas helistatakse või saadetakse SMS kinnituskoodiga,
  • lisada saab meiliaadressi, kuhu saadetakse kinnituskood,
  • Google Play poest, App store’ist või Windows Store’ist saab alla laadida rakenduse “Authenticator” (tootja: Microsoft Corporation).

Ekraanipilt

Sisselogimiseks nii, et kinnituskood saadetakse teise meiliaadressi peale, tuleb valida rippmenüüst “An alternate email address” ja lisada meiliaadress:

Ekraanipilt

Sisselogimiseks nii, et kinnituskood saadetakse SMSiga, tuleb valida rippmenüüst “A phone number” ja lisada telefoninumber:

Ekraanipilt

Sisselogimiseks nii, et kinnituskood genereeritakse rakenduses “Authenticator”, tuleb valida rippmenüüst “An app.”

Rakenduses “Authenticator” saab ära märkida, kas tegemist on isikliku, töö- või kooli kontoga ning määrata, kui pikka kinnituskoodi (6–8 numbrit) sisselogimise kinnitamiseks küsitakse.

Rakenduse ühendamiseks kontoga tuleb telefoniga skaneerida arvutis kuvatav QR-kood:

Ekraanipilt

Kuvatav kinnituskood muutub iga 30 sekundi järel.

Ekraanipilt

Erinevalt kõne või SMSiga autentimisest ei sõltu rakenduse “Authenticator” kasutamine mobiilside levi olemasolust: seda saab kasutada nii lennukis kui ka asukohtades, kus mobiililevi puudub. Näiteks reisides riiki, kus Su operaatoril puudub roaming, võib esineda probleeme ligipääsemisega sellele tagavara meilikontole, mille kaudu autentimiskoodi saada soovid, kui Sul on ka sellel kontol kaheastmeline autentimine aktiveeritud. Küll aga toimib sellises olukorras rakendus “Authenticator”.

Lisaturvalisuse meetmed kontol on tagatud ning kaheastmeliseks autentimiseks saab alloleval juhul kasutada näiteks nii e-kirja kui SMS-teenust:

Ekraanipilt

Kui kaheastmelise autentimise meetod on valitud, kuvatakse kasutajale kinnitus eduka aktiveerimise kohta. Samuti genereeritakse kasutajatele viiest plokist koosnev taastamiskood, mida saab kasutada juhtudel, kus on vaja konto taastada, kuid puudub ligipääs SMSidele, e-kirjadele ning rakendusele Authenticator.

Ekraanipilt

Kui kaheastmeline autentimine on aktiveeritud ja soovid oma kontole sisse logida, küsitakse kinnituskoodi. Kontole ei ole võimalik enne kinnituskoodi sisestamist ligi pääseda.

Ekraanipilt

Igapäevaselt kasutatava arvuti puhul on võimalik valida “Jäta mind selles arvutis meelde” (“Remember me on this computer”) ning selles konkreetses arvutis enam kinnituskoodi sisestama ei pea. Võõrast kohast sisse logides tuleb aga sisestada ka kinnituskood.