Salaus: Salaus: Tyypit ja algoritmit. Mitä se on ja minkälainen salaus on parempi?

Nykypäivän digitaaliaikana tietojen turvallisuuden ja luottamuksellisuuden varmistaminen on ensiarvoisen tärkeää. Salaus on avainasemassa tämän tavoitteen saavuttamisessa, sillä sen avulla tiedot voidaan muuntaa muotoon, jota ei voi lukea ja johon vain valtuutetut henkilöt pääsevät käsiksi. Salausprosessissa käytetään salausavaimia ja matemaattisia algoritmeja.

Tässä artikkelissa tarkastelemme kolmea tärkeintä salaustyyppiä: symmetristä, epäsymmetristä ja hybridisalausta. Aloitetaan symmetrisestä salauksesta.

Symmetrinen salaus

Nimensä mukaisesti symmetrisessä salauksessa käytetään yhtä salausavainta sekä salaukseen että salauksen purkamiseen. Yhden avaimen käytön helppous tekee prosessista yksinkertaisen. Ymmärtääksesi symmetrisen salauksen ytimen, tarkastele seuraavaa esimerkkiä:

Kuvittele kaksi läheistä ystävää, Anton ja Alice, jotka asuvat Kiovassa. Tiettyjen olosuhteiden vuoksi Alice joutuu muuttamaan pois kaupungista. Heidän ainoa yhteydenpitovälineensä on posti. He kuitenkin pelkäävät, että heidän kirjeensä voivat joutua tuntemattomien haltuun ja luettaviksi.

Varmistaakseen kirjeenvaihtonsa Anton ja Alice päättävät salata viestinsä. He sopivat yksinkertaisesta salaustekniikasta: jokainen kirjain siirretään aakkosissa seitsemän sijaa alaspäin. Esimerkiksi sana “Apple” kirjoitetaan muodossa “hwwsl” (A -> H, P -> W, L -> S, E -> L). Viestin purkaminen edellyttää, että prosessi käännetään päinvastaiseksi siirtämällä jokainen kirjain seitsemän sijaa taaksepäin. Tämä salaustekniikka muistuttaa muinaista “Caesarin salakirjoitusta”, jota Rooman keisari ja sotilasjohtaja Gaius Julius Caesar käytti tunnetusti.

Symmetrisen salauksen edut

Symmetrisellä salauksella on huomattavia etuja, jotka liittyvät ennen kaikkea sen yksinkertaisuuteen. Yhden avaimen käyttäminen salauksessa ja salauksen purkamisessa yksinkertaistaa prosessia. Lisäksi symmetrinen salaus on tehokas valinta, kun salataan suuria tietomääriä. Muita etuja ovat:

• Nopeus: Symmetriset salausalgoritmit ovat paljon nopeampia kuin niiden epäsymmetriset vastineet, joista puhutaan myöhemmin.
• Laskentateho: Symmetrisen salauksen vaatimat laskentaresurssit ovat suhteellisen alhaisemmat.
• Vähäinen vaikutus Internetin nopeuteen: symmetrisellä salauksella ei ole merkittävää vaikutusta Internetissä tapahtuvan tiedonsiirron nopeuteen.

Kolme suosittua symmetristä salausalgoritmia

Caesarin salakirjoitus on alkeellinen lähestymistapa symmetriseen salaukseen, mutta nykyaikaiset salausmenetelmät perustuvat monimutkaisiin matemaattisiin funktioihin, joita on hyvin vaikea murtaa. Symmetrisiä salausalgoritmeja on monia, mutta keskitymme kolmeen yleisimmin käytettyyn:

1. AES (Advanced Encryption Standard): AES: AES:ää pidetään yhtenä turvallisimmista symmetrisistä salausalgoritmeista. Se korvasi vanhentuneen DES-algoritmin (josta puhutaan myöhemmin) ja tarjoaa vahvat salausominaisuudet. AES toimii 128-bittisillä tietolohkoilla käyttäen vaihtelevan pituista avainta (yleensä 128, 192 tai 256 bittiä).
2. DES (Data Encryption Standard): IBM:n vuonna 1976 käyttöön ottama DES oli ensimmäinen laajalti käytetty symmetrinen salausmenetelmä. Se kehitettiin alun perin suojaamaan arkaluonteisia hallituksen tietoja, ja siitä tuli Yhdysvaltain liittovaltion virastojen virallinen salausstandardi vuonna 1977. DES jakaa selkotekstin 64-bittisiin lohkoihin ja soveltaa erilaisia salausprosesseja 16 syklin aikana, jolloin tuloksena syntyy 64-bittisiä salatun tekstin lohkoja. Lyhyen avaimen pituuden vuoksi DES julistettiin kuitenkin vanhentuneeksi vuonna 2005 ja korvattiin AES:llä.
3. 3DES (Triple Data Encryption Standard): 3DES on DES:n parannus, jossa DES-algoritmia käytetään kolme kertaa peräkkäin kuhunkin tietolohkoon. Tämä prosessi lisää merkittävästi salauksen vahvuutta. Vaikka 3DES tarjoaa paremman tietoturvan kuin DES, se on hitaampi ja tehottomampi kuin AES, minkä vuoksi se on harvinaisempi nykyaikaisissa sovelluksissa.

On syytä huomata, että laajalti käytetty TLS 1.2 -protokolla ei käytä DES-salausmenetelmää sen haavoittuvuuden vuoksi.

Epäsymmetrinen salaus

Kun symmetrisessä salauksessa käytetään yhtä avainta salaukseen ja salauksen purkamiseen, epäsymmetrisessä salauksessa käytetään monimutkaisempaa lähestymistapaa – useita matemaattisesti toisiinsa liittyviä avaimia. Tämäntyyppinen salaus tunnetaan myös nimellä julkisen avaimen salaus, ja se sisältää “julkisen avaimen” ja “yksityisen avaimen”.

Symmetrinen salaus toimi hyvin Alicen ja Antonin kohdalla, kun heidän piti vaihtaa tietoja keskenään. Jos Anton kuitenkin haluaa kommunikoida turvallisesti suuren määrän ihmisiä kanssa, eri avainten käyttäminen jokaiselle henkilölle on epäkäytännöllistä ja hankalaa.

Tämän ongelman ratkaisemiseksi Anton käyttää julkisen avaimen salausta. Tässä menetelmässä Anton antaa julkisen avaimensa kaikille, jotka haluavat lähettää hänelle tietoja, ja pitää yksityisen avaimensa salassa. Hän kehottaa muita salaamaan tiedot hänen julkisella avaimellaan ja varmistaa, että tiedot voidaan purkaa vain hänen yksityisellä avaimellaan. Tämä lähestymistapa poistaa riskin yksityisen avaimen vaarantumisesta, koska tiedot voidaan purkaa vain Antonin yksityisellä avaimella.

Epäsymmetrisen salauksen edut

Epäsymmetrisellä salauksella on useita etuja, jotka alkavat lisääntyneestä turvallisuudesta. Tässä menetelmässä julkisella avaimella salataan tietoja, jotka ovat julkisia, ja vastaavalla yksityisellä avaimella ne puretaan. Näin varmistetaan, että tiedot pysyvät suojattuina mahdollisilta MiTM-hyökkäyksiltä (man-in-the-middle). Lisäksi verkko- ja sähköpostipalvelimissa, jotka ovat vuorovaikutuksessa suuren asiakasmäärän kanssa, vain yhden avaimen hallinta ja suojaaminen on tehokkaampaa. Lisäksi epäsymmetrinen salaus mahdollistaa salattujen yhteyksien luomisen ilman offline-avainten vaihtoa, mikä yksinkertaistaa prosessia.

Toinen tärkeä epäsymmetrisen salauksen tehtävä on todennus. Kun tiedot salataan vastaanottajan julkisella avaimella, varmistetaan, että vain tarkoitettu vastaanottaja, jolla on vastaava yksityinen avain, voi purkaa salauksen ja käyttää tietoja. Tämä todentamismekanismi vahvistaa sen henkilön tai organisaation henkilöllisyyden, jonka kanssa henkilö kommunikoi tai vaihtaa tietoja.

Epäsymmetrinen salausalgoritmi RSA (Rivest-Shamir-Adleman)

MIT:n tutkijat Ron Rivest, Adi Shamir ja Leonard Adleman keksivät RSA:n vuonna 1977, ja se on laajimmin käytetty epäsymmetrinen salausalgoritmi. Sen tehokkuus perustuu “yksinkertaisen kertolaskun” käsitteeseen. RSA:ssa valitaan kaksi erilaista satunnaista alkulukua, jotka ovat tietyn kokoisia, esimerkiksi 1024 bittiä, ja kerrotaan ne keskenään, jolloin saadaan suuri luku. Haasteena on määrittää alkuperäinen alkuluku tästä kerrottujen lukujen tuloksesta. Tämän pulman ratkaiseminen on käytännössä mahdotonta nykyaikaisille supertietokoneille, puhumattakaan ihmisen laskennasta.

Vuonna 2010 tehdyssä tutkimuksessa ryhmä vapaaehtoisia käytti yli 1500 vuotta laskenta-aikaa sadoilla tietokoneilla murtaakseen 768-bittisen RSA-avaimen, joka on paljon alle nykyisen 2048-bittisen avaimen standardin.

RSA-salauksen etuna on sen skaalautuvuus, sillä avaimen pituus voi vaihdella: 768-bittinen, 1024-bittinen, 2048-bittinen, 4096-bittinen jne. RSA:n yksinkertaisuus ja mukautuvuus ovat tehneet siitä ensisijaisen epäsymmetrisen salausalgoritmin monissa sovelluksissa, kuten SSL/TLS-varmenteissa, kryptovaluutoissa ja sähköpostin salauksessa.

Hybridisalaus

Vaikka RSA:n ja ECC:n kaltaiset epäsymmetriset salausalgoritmit tarjoavat vahvan turvallisuuden ja todennuksen, niillä on rajoituksensa. Symmetrinen salaus taas on nopea ja tehokas, mutta sen aitoutta ei voida todentaa. Näiden ongelmien ratkaisemiseksi ja salausjärjestelmien synergian luomiseksi on kehitetty hybridisalauksen käsite, jossa hyödynnetään symmetrisen ja epäsymmetrisen salauksen etuja.

SSL/TLS-varmenteiden hybridisalaus:

Hybridisalaus ei ole yksittäinen menetelmä, vaan pikemminkin symmetristen ja epäsymmetristen salausmenetelmien yhdistelmä. Sitä käytetään laajalti SSL/TLS-varmenteissa TLS-kättelyprosessin aikana, jolla luodaan turvallinen yhteys palvelimien ja asiakkaiden (verkkoselaimien) välille.

TLS-kättely alkaa molempien osapuolten henkilöllisyyden varmistamisella yksityisen ja julkisen avaimen avulla. Kun henkilöllisyys on vahvistettu, tiedot siirretään symmetrisen salauksen ja väliaikaisen (istunto)avaimen avulla. Tämä mahdollistaa suurten tietomäärien nopean vaihdon verkossa.

Hybridisalauksen edut

Hybridisalaus tarjoaa käytännöllisen ratkaisun, jolla voidaan korjata yksittäisten salausmenetelmien puutteet. Kun tiedonsiirtoon käytetään symmetristä salausta, se mahdollistaa nopean ja tehokkaan viestinnän. Samalla epäsymmetrinen salaus tarjoaa tarvittavan henkilöllisyyden todentamisen, mikä takaa turvallisen vuorovaikutuksen osapuolten välillä.

Hybridisalauksen etuja ovat muun muassa:

• Nopeus ja tehokkuus: Symmetrinen salaus, jonka avulla voidaan nopeasti salata suuria tietomääriä, nopeuttaa salaus- ja purkuprosesseja ja varmistaa nopean tiedonsiirron.
• Todentaminen: Epäsymmetrinen salaus: Epäsymmetrinen salaus varmistaa, että aiottu vastaanottaja pääsee käsiksi salattuihin tietoihin varmistamalla molempien viestinnän osapuolten henkilöllisyyden.
• Hybridisalauksella saavutetaan tasapaino, sillä se mahdollistaa turvallisen ja tehokkaan tiedonvaihdon erilaisissa tilanteissa. Sitä käytetään laajalti esimerkiksi SSL/TLS-varmenteissa, sähköpostin salauksessa ja turvallisissa viestintäprotokollissa.

Symmetristen ja epäsymmetristen salausmenetelmien vertailu

Kysymykseen siitä, minkälainen salaus on paras, ei ole yhtä ainoaa vastausta. Valinta riippuu kunkin tilanteen erityisvaatimuksista ja -näkökohdista. Tarkastellaan symmetrisen ja epäsymmetrisen salauksen etuja ja esitetään ne vertailutaulukossa.

Symmetrinen salaus:	Epäsymmetrinen salaus:	Hybridisalaus:
Symmetrisessä salauksessa tietojen salaamiseen ja purkamiseen käytetään yhtä avainta, mikä tekee prosessista yksinkertaisemman ja nopeamman.	Epäsymmetrisessä salauksessa käytetään avainparia: julkista ja yksityistä avainta. Julkista avainta käytetään salaukseen ja yksityistä avainta salauksen purkamiseen.	Monissa tapauksissa käytetään sekamuotoista lähestymistapaa, jossa yhdistetään symmetrisiä ja epäsymmetrisiä salausmenetelmiä.
Se soveltuu erityisen hyvin suurten tietomäärien tehokkaaseen salaukseen, koska se tarjoaa suuremman suorituskyvyn ja vaatii vähemmän prosessointitehoa.	Yksi epäsymmetrisen salauksen tärkeimmistä eduista on sen kyky tarjota todennus, joka takaa kommunikoivien osapuolten henkilöllisyyden.	Useimmissa nykyaikaisissa SSL-varmenteissa käytetään hybridimenetelmää: epäsymmetrinen salaus todentamiseen ja symmetrinen salaus yksityisyyden suojaamiseen.
Symmetrisessä salauksessa käytetään lyhyempää avaimen pituutta, yleensä 128-256 bittiä.	Koska avainten yhdistämisprosessi on monimutkainen, epäsymmetrinen salaus on hitaampi ja vaatii enemmän laskentatehoa.	Tämä hybridilähestymistapa tarjoaa kattavan ratkaisun, joka suojaa käyttäjien henkilötietoja sieppauksilta ja petoksilta.
Symmetrisessä salauksessa käytettäviä vakioalgoritmeja ovat RC4, AES, DES, 3DES ja QUAD.	Epäsymmetrisessä salauksessa käytetään pidempiä avaimia, yleensä 1024-4096 bittiä.	Hyödyntämällä molempien salausmenetelmien vahvuuksia hybridisalaus takaa turvallisen viestinnän ja tietosuojan.

Yhteenvetona voidaan todeta, että valinta symmetrisen ja epäsymmetrisen salauksen välillä riippuu kunkin skenaarion erityisvaatimuksista. Symmetrinen salaus on erittäin tehokas ja toimiva, kun salataan suuria tietomääriä. Epäsymmetrinen salaus puolestaan mahdollistaa todentamisen ja henkilöllisyyden todentamisen. Hybridisalauksessa yhdistyvät molempien maailmojen parhaat puolet, ja se tarjoaa vankan ratkaisun, jota käytetään laajalti SSL-varmenteissa ja muissa sovelluksissa, jotka edellyttävät turvallista tiedonsiirtoa.

Lue myös:

• Mikä SSL-sertifikaatti on ja miksi sinun pitäisi asentaa sellainen?
• Mikä on HTTP ja HTTPS ja miten ne vaikuttavat verkkosivustoosi?
• Miten saat SSL-sertifikaatin ilmaiseksi

Kysymyksiä ja vastauksia salauksesta