Osallistuimme Digi- ja väestötietoviraston järjestämään Digiturvaviikkoon (26.-30.10.2020), jonka tavoitteena oli lisätä ymmärrystä digiturvan merkityksestä. Usein yrityksissä on kiire ja aiheeseen ei pystytä paneutumaan riittävästi. Digiturvallisuus on kuitenkin yrityksessä kaikkien vastuulla ja siitä pitäisi olla jokaisella työntekijällä ainakin perusasiat kunnossa.
Kävin itse läpi Digiturvallinen työelämä ja Toimi turvallisesti digimaailmassa -koulutukset. Kokonaisuudet oli rakennettu mukavasti niin, että koulutuksen pystyi suorittamaan haluamallaan tavalla. Kiireisille löytyi lyhyet videoklipit ja tietoboxit, kun taas aiheeseen paremmin syventyjälle teoriatekstiä. Kun yrityksessä on digiturvallisuuteen panostettu, luo se luottamusta omaa organisaatiota kohtaan. Tällöin se on myös signaali asiakkaille, että meidän kanssamme toimiessa tietonne on asiallisesti ja turvallisesti hoidettu.
Alkusyksystä joukko tutkijoita löysi TLS 1.2 ja sitä vanhemmista TLS- ja SSL-protokollista haavoittuvuuden, joka mahdollistaa TLS-salauksen purkamisen tietyissä olosuhteissa. Haavoittuvuutta on kuitenkin erittäin hankala hyödyntää.
Sähköisten allekirjoitusten tarve on kasvanut rajusti tänä eristäytymisen ja etätyön aikana. Organisaatioiden ja henkilöiden pitää pystyä osoittamaan sähköinen identiteettinsä luotettavasti ja turvallisesti.
Suurin osa organisaatioista tuottaa sähköisesti allekirjoitetut dokumentit käyttämällä jotain allekirjoituspalvelua. Menetelmä lienee useimmille tuttu: dokumentti talletetaan palveluun esim. PDF-muodossa ja asianosaiset kirjautuvat järjestelmään (yleensä vahvasti pankkitunnuksilla) ja antavat allekirjoitussuostumuksen. Tämän jälkeen dokumentin saa haluttaessa ulos järjestelmästä siten, että PDF-tiedostossa näkyy allekirjoittajien nimet sekä järjestelmän tuottama sähköinen allekirjoitus (ns. eSeal), joka myös lukitsee tiedoston. Jos tiedoston sisältöä muuttaa, allekirjoitus murtuu.
”Yrityksen ja it:n näkökulmasta vaarana on kuitenkin se, että kun vasara on kerran otettu käteen, liiketoiminta ja infra näyttää pelkiltä nauloilta.”
Let’s Encryptin DV-varmenteet herättävät edelleen keskustelua. Lokakuussa vastasimme asiakkaalle kysymykseen ”Kerros nyt miksi teitä ja Entrustia kannattaa käyttää, kun sertejä saisi ilmaiseksi mm. Let’s Encrypt:ltä?” ja saimme luvan julkaista keskustelun. Tällä kertaa asiaa tarkastelee tekniseltä kannalta yksi tietoturvan huippuammattilaisista. Thomas Malmberg esittäytyy alla Hackrfi Oy:n puitteissa, mutta itse olen tavannut hänet ensi kerran muistaakseni 2012, jolloin hän toimi Aktian IT Security Managerina. Yhteytemme säilyi ja minulla on ilo vaihtaa hänen kanssaan näkemyksiä tietoturvan ja erityisesti finanssimaailman tietoturvan tilanteesta vuosittaisen lounastapaamisemme puitteissa. Thomasin asema Mintsecurityn ja Hackrfin toimitusjohtajana antaa hänelle erityisen näköalapaikan. Tässä Thomas, olkaa hyvä!
Uusi normaali on siirtänyt yhä useamman ihmisen kotikonttoriin. Työtiloja on ilmestynyt kesäisille takapihan terasseille, keittiöhin, kellareihin, vaatekomeroihin ja makuuhuoneisiin. Tyypillisesti tämän kaltaiset tilat ovat olleet hämäräperäisten verkkoon tunkeutujien työtiloja.
Me Wesentralla olemme jo tovin puhuneet QWAC-varmenteista (Qualified Web Authentication Certificate). Entrust Datacard on saanut Qualified Trust Service Provider (QTSP) -aseman EU- ja EEA -maissa ja QWAC-varmenteet ovat nyt osa varmennevalikoimaa ja hankittavissa Wesentran kautta tai omasta ECS Portaalista.
SSL-varmenteiden maksimi-iän pudotessa yhteen vuoteen pitää varmenteet uusia useammin kuin ennen ja tämä lisää unohtamisriskiä. Varoittavia esimerkkejä vahingossa vanhenevan SSL-varmenteen pahoistakin vaikutuksista on nähty ulkomaiden lisäksi myös Suomessa.
Autamme välttämään tämän tilanteen. Sen lisäksi, että voit luoda Entrust Datacardin SSL-varmenteet itse, valvotaan samoilla työkaluilla koko varmenteen elinkaari. Valvontaan saat myös muilta toimittajilta hankitut tai omalla PKI:lla tehdyt varmenteet. Jo neljäsosa Suomessa käytössä olevista vahvoista varmenteista (*) on tällaisen valvonnan piirissä. Entrust tarjoaa ratkaisut myös erilaisten PKI/CA -alustojen keskitettyyn hallintaan.
(*) OV/EV -varmenteet, jotka sisältävät myös sähköisen identiteetin organisaation verifioinnin myötä
Aika usein ihmiset keskustelevat työelämästään ja työtilanteestaan. Näinä päivinä keskusteluun on varmasti tullut mukaan myös etätyökuvioista päivittely.
Toimin kolmatta vuotta Wesentralla verifiointiasiantuntijan tehtävissä ja olenkin usein kertonut työstäni lähipiirille ja siitä kiinnostuneille. Riippuen seurasta, olen saattanut todeta vain, että toimin it-alalla. Jos kerron, että olen verifiointiasiantuntija it-alalla, kertoo se joillekin alalla toimiville jo jotain, mutta suurimmalle osalle ei mitään. Jokainen tietää suunnilleen, mitä lääkäri tai putkimies tekee, mutta mitä verifiointiasiantuntija tekee työkseen?
Kun olen kansantajuisesti kertonut kanssaihmisille, mitä SSL/TLS-sertifikaatti tai varmenne tarkoittaa, on osa kuuntelijoista jo liuennut paikalta. Ne, ketkä ovat kiinnostuneita tietämään, miten minä kuulun jännittävään sertifikaatin hankintaprosessiin, jatkavat keskustelua kanssani työtehtävästäni.
Verifiointiasiantuntijan tulee ensimmäiseksi suorittaa Certificate Authorityn määrittelemä testi, jotta hän saa tehdä verifiointeja. Tämä testi uusitaan vuosittain. Verifiointiprosessissa noudatetaan CA/Browser Forumin ohjeita, jotta varmenne myönnetään tietoturvallisesti oikealle organisaatiolle. Tuossa taikasanat: oikealle organisaatiolle. Suomessa yrityksen perustaminen ja siitä ilmoittaminen on systemaattinen prosessi ja suomalaisten yritysten ja organisaatioiden tiedot pystytään helposti tarkistamaan Yritys- ja yhteisötietojärjestelmästä (www.ytj.fi). Suomessa pystymme luottamaan myös siihen, että tiedot virallisissa rekistereissä ovat oikein.
Emme voi olla täysin varmoja kuitenkaan kaikkien maailman yritysten oikeellisuudesta, joten meidän tulee noudattaa yhteisesti sovittuja sääntöjä, jotta varmenne myönnetään oikealle taholle. Verifioinnissa tarkistamme nuo yrityksen organisaatiotiedot ja varmistamme vielä verifiointipuhelulla, että nimetty henkilö on juuri se oikea henkilö, jolla on yhteys varmennetta hakevaan organisaatioon. Sen lisäksi Entrust lähettää organisaation yhteyshenkilölle linkin sopimuksen hyväksymissivulle. Entrust auditoi jokaisen Wesentran tekemän verifioinnin, joten voidaan olla varmoja, että tiedot ovat oikein. Organisaation verifioinnin jälkeen verifioidaan myös domain, jolle varmenne ollaan myöntämässä.
Innostuin katsomaan Entrust Datacardin kolmen 45-minuutin webinaarin sarjan kvanttitietokoneiden vaikutuksesta kryptografiaan. Asiahan ei ole blogissammekaan uusi: kolleegani Markku Helli kirjoitti tästä jo 2016. Raflaava otsikko perustuu ensimmäisen seminaarin antiin. Siinä asiantuntija John Gray Entrustilta kertoo törmänneensä 2016 tuohon kommenttiin netissä ja kokeneen saman hämmästyksen tunteen, kuin itse koin nyt webinaaria katsellessa.
Sitten kun katsoo omasta varmennetoimittajan hiekkalaatikosta käsin, niin ei tästä ymmärtääkseni käytäntöön vielä mitään jää. Meillä jotkin asiakkaat ovat jo tehneet ECC-avaimilla varustettuja varmennehakemuksia (CSR) ja ottaneet niillä Entrustin ECS-portaalista varmenteita erityisesti tilanteisiin, jossa kuorma on kova ja tarvitaan mahdollisimman nopeaa varmennekäsittelyä. ECS-portaalihan sallii samasta varmenteesta maksuttomasti sekä RSA että ECC -duplikaatteja (multi-domain ja wildcard -varmenteista). Kaikki julkiset SSL-varmenteet tulevat kuitenkin olemaan jatkossa enintään vuoden mittaisia ja allekirjoitusvarmenteet enintään kolmen vuoden mittaisina, joten kvanttitietokoneet eivät niitä ehdi murtamaan.
Yleisemmin PKI-maailmassa tämä voi kuitenkin tulla jo esille. Jos esimerkiksi olisin modernisoimassa yrityksen PKI:ta seuraavaksi 10-15 vuodeksi ja miettisin sen avainkäytäntöjä, niin olisi ainakin hyvä ymmärtää RSA ja ECC avainten ero kvanttilaskennan kannalta, vaikka mitään tiettyä korvaajaa ei olekaan vielä valitettavasti tiedossa.
Kasaan alle muutamia nostoja. Sarja oli mielenkiintoinen, mutta meni kieltämättä välillä rankasti yli. Tämä kirjoitus voi osin olla väärinymmärrystä. Siis: ”Let the reader be aware” 😊
Apple ilmoitti viikolla 8 Bratislavassa pidetyssä CA/Browser Forumin kokouksessa, että Safari-selain hyväksyy 1.9.2020 alkaen enintään 398 päivää voimassa olevat uudet SSL-varmenteet. Pidemmistä varmenteista tulee varoitus. Tuota päivää ennen tehdyt varmenteet saavat olla vielä kahden vuodenkin pituisia. Tämän seurauksena myös Entrust Datacard ilmoitti, että jatkossa julkisten SSL-varmenteiden maksimipituus lyhennetään 398 päivään. Tiedotamme vielä asiakkaitamme tarkemmin, kun muutos astuu virallisesti voimaan.
