Hämähäkki
1.10.1999
Turvaton olo?
Yhdysvallat ilmoitti syyskuun puolessa välissä, että se vapauttaa vahvaa salausta käyttävät (yli 56 bitin avain symmetrisessä salauksessa) ohjelmistot vientikiellosta tämän vuoden lopulla. Merkittävä uutinen, joka sai kovin vähän palstatilaa missään mediassa. Miksi?
Tietoturva on nykyisessä verkottuneessa ATK-maailmassa samanlainen puheenaihe kuin arvokeskustelu politiikassa. On muotia viitata siihen - jopa vaatia sen tehostamista - mutta harvalla on substanssiin mitään oikeaa sanottavaa.
Politiikan arvokeskustelussa tämä johtuu siitä, että kovin harvalla poliitikolla on kykyä pohtia oikeasti eettisiä ja moraalisia kysymyksiä. Kuten tiedämme, se on kyvystä kiinni - kaikilla ei ajattelu ole kehittynyt niin pitkälle, että osaisivat harjoittaa yleisiä eettisiä tai moraalisia pohdintoja irti omista henkilökohtaisista asenteistaan.
Ja mikä vielä tärkeämpää, monikaan ei uskalla julkisesti ottaa kantaa aitoon eettiseen probleemaan - sanotaanko nyt vaikka esimerkiksi siihen, pitääkö sydämensiirrossa preferoida 50-vuotiasta 70-vuotiaaseen nähden. Kantaa ottamalla nimittäin asettaa itsensä alttiiksi kritiikille, mikä on henkisesti raskasta puuhaa.
Aiheeseen: tietoturvakeskustelu on siinä mielessä skitsofreenista, että harva ymmärtää aiheesta tuon taivaallista. Mutta kysyttäessä useimmat kuitenkin varmuuden vuoksi uskovat, että tietoturvariskejä on ympärillä aika paljon ja tietoturvan tasoa noin yleisesti ottaen pitäisi parantaa.
Miten fantastinen tilanne helppoheikeille ja muille rahastajille, eikö? Niitä onkin liikkeellä: "Laitetaan tästä teille hyvä VPN, ja palomuuri ehdottomasti tarvitaan tuohon."
Käytännössä nykyaikainen tietoturva on paitsi huipputekniikkaa, myös ennen muuta kysymys luottamuksesta. Luottamuksessa on aina irrationaalisia komponentteja: kysymys voi olla kravatista ja pikkutakista, puhetyylistä ja käytöksestä - tietoturvassa luotetaan edellä mainittujen lisäksi myös ratkaisutoimittajan maineeseen ja julkisesta keskustelusta suodattuneisiin avainsanoihin.
Harvalla on edellytyksiä oikeasti arvioida, mikä on oikea symmetrisen salausalgoritmin avainpituus omaan käyttöön, tai onko suurempi riski/tarve tiedon salauksessa vai tietoa vaihtavien osapuolten identiteetin varmentamisessa?
Vaatimus turvatusta kommunikaatiosta on toki kiistaton. Kaikki haluavat ja ovat oikeutettuja siihen. Mutta miten kenelläkin on mahdollisuus arvioida, toteutuuko vaatimus?
Esimerkiksi pankit ovat jo pitkään saaneet erityislisenssillä käyttää vahvaa salausta verkkopalveluidensa tuottamisessa. Auttaako se, kun käyttäjien selaimiin ei ole vastaavaa tukea ollut saatavissa? Mahdollinen ylimääräinen turvallisuuden tunne on ollut pelkkää lumetta.
Mutta, jos se "ei-vahva" salauskin on riittävää? Useimmiten on, mutta jos on osoitettu, että jonkun 40-bittisen salauksen saa puretuksi supertietokoneella x tunnissa, luulevat kaikki, että juuri heidän pankkiasioitaan haluaa joku selvitellä supertietokoneen avulla, ja että se onnistuu tuosta vaan.
Joka tapauksessa: Yhdysvallat päätti antaa lisäpotkua sähköiseen kaupankäyntiin lisäämällä mahdollisuuksia nykyistä suurempaan luottamukseen sallimalla nykyistä vapaampaa teknologian vientiä.
Ketunhäntähän on siinä, että tämä teknologia on vähän kalliimpaa kuin nykyinen - altruistinen maski piilottaa kauppataseen januskasvot. No, pääasia, että kaikki tuntevat voittavansa, ja Libyaan ei edelleenkään saa viedä mitään.
HÄMÄHÄKKI
Uusi kolumnistimme on huippuosaaja tietotekniikka-alalla, muttei halua headhuntereiden, kyräilevien pomojen ja mahdollisesti pienempi palkkaisten kollegojen kateuden takia nimeään julkisuuteen.
