Turvaauk võimaldab lugeda pahalastel aastatetagust kirjavahetust ({{commentsTotal}})

Foto: deerwooduk/Creative Commons

Populaarsetes e-kirjade šifreerimiseks kasutatavates protokollides leidub turvaauk, mis võimaldab lugeda petistel isegi paarikümne aasta eest saadetud e-kirju, nendib R2 tehnikakommentaaris Kristjan Port.

Hans Christian Andersen jutustas aastate eest loo kahest kangrust, kes valmistasid imelisest materjalist rõivaid. Kanga eripäraks olevat sotsiaalse staatuse tundlikkus. Ühiskonnas madalamal redelipulgal olijatele jäi kangas nähtamatuks. Nende tühine teadvus ei väärinud erakordse iluga õilistamist.

Oodatavalt sobis uut riiet kandma vaid kõige suursugusem, kelleks osutus keiser. Kui kallist riidest rõivas valmis sai, tabas keisrit ebamugav hämmeldus. Nimelt tundus talle, nagu riiet polekski ja ta seisab meistrite eest alasti. Õnneks tabas ta samal hetkel, et ei tohi end reeta kui viletsat, kes kaunist riiet ei näe. Rahuloleva mõminaga tunnistas ta töö kvaliteetseks. Sama kordus ministritega, kes kiitsid riidekraami imeliseks. Imperaator otsustas astuda uues tualetis rahva ette, kuni väike poiss karjatas jahmatusest, nähes esimest korda elus alasti keisrit.

Kõigile tuttava loo moraaliks on petistest kangrute oskus kasutada ära täiskasvanute valmidust luisata elu ilusamaks isegi siis, kui kõik näevad tegelikku olukorda. Värske uudis meenutab seda lugu, kuigi vähem naeruvääristavana. Puhta nahaga samas siiski ei pääse.

Äsja informeeriti avalikkust (.pdf) e-kirjavahetuse turvalahenduse näilisusest. Ajal kui krüpteeritud korrespondentsi kasutajad pidasid suhtlust kõrvaliste eest varjatuks, peitus e-kirjavahetuses kasutatava šifreeerimistehnoloogia rakenduses viga, mille abil sai kõrvaldada sõnumivoolt saladuskatte.

Viga peetakse sedavõrd tõsiseks, et hetkel puudub usk vea parandamise võimalikusesse. Enam ei soovitata käsitleda e-kirjavahetuse varjatust millegi enesestmõistetavana. Vastava vajadusega isikutel soovitatakse otsida alternatiivseid sidelahendusi. Eksperdi sõnu lühidalt ümber sõnastades pole e-kirjavahetus enam turvaline.

Probleem ei puuduta kõiki e-posti teenuse kasutajaid. Samas kahjustab viga ühte keskseimat interneti andmekaitse nähtust. Mure tabab kasutajaid, kes soovisid hoida erinevatel põhjustel kirjavahetuse vaid kahe osapoole vahelisena ja kasutasid vastavat turvaprotokolli. Turvalist infovahetust kasutavad paljud konkurentide eest saladusi omavad ettevõtjad, aga ka ajakirjanikud, poliitikud, erinevad aktivistid ja paljud tavakodanikud, kellel on põhjust umbusaldada ebademokraatlikku riigivõimu jne.

Tehniliselt puudutab probleem kahe populaarse turvatehnoloogia PGP ja S/MIME kasutajaid. Krüptiliste lühendite pikemad nimed vihjavad omakorda turvalisusega seotud ootustele. PGP on lihttõlkes päris hea privaatsus ja S/MIME tähistab vastavalt turvalist universaalset internetiposti laiendust. Mõlema lahendusega tagatakse, et kirja saatja on isik, kes selle allkirjastas ning kirja pole keegi vahepeal muutnud ega ka lugenud.

Populaarsetes e-kirja programmides on mõlemaid tehnoloogiaid kasutatud igasuguste saladust väärivate sõnumite edastamiseks interneti mõistes aegade algusest ehk umbes viimased veerand sajandit. Sellest asjaolust tõuseb täiendav häda, sest avastatud viga võimaldab lugeda lisaks jooksvale kirjavahetusele ka kõike seda, mida on varem kirjutatud.

Viimane peaks tegema rahutuks nn vilepuhujaid ehk isikuid, kes avalikustasid ettevõtluse või riigiaparaadi nurjatuid tegusid. Tõenäoliselt on mitmed taoliste juhtumite võtmeisikud püsinud saladusloori all ja leidub isegi kaasusi, milles on pandud ajakirjanikud allikate varjamise tõttu vangi. Privaatsuse kaitsel on demokraatias erakordne koht.

Nüüd võib juhtuda, et vana lugu kaevatakse üles ja kaitset uskunud isikud avalikustatakse. Juhul kui huvitatud kolmandal osapoolel on tallel krüpteeritud kirjavahetus, mida pole ta suutnud seni avada, võib ta kasutada avastatud vea kirjeldust instruktsioonina, kuidas muuta vana postitust niimoodi, et e-kirja programm nõustub selle lahti dešifreerima. Seega ei ole kahju saanud kirja lugematuks muutev krüpteerimise algoritm, vaid probleem peitub e-kirja keskkonna tööpõhimõttes millega haldab see privaatseks peetavaid kirju. IT-katk puudutab enamust populaarseid e-kirja programme.

Kirjavahetuse turvaliseks muutmine on endiselt teostatav, aga see eeldab kasutajatelt üha aktiivsemat rolli. Vastasel juhul kirjutatakse keisri loost uus, modernse ajastu versioon.

Esmaspäevast neljapäevani võib Kristjan Porti tehnoloogiakommentaari kuulda Raadio 2 saates "Portaal".

Toimetaja: Jaan-Juhan Oidermaa

Allikas: "Portaal"



ERR kasutab oma veebilehtedel http küpsiseid. Kasutame küpsiseid, et meelde jätta kasutajate eelistused meie sisu lehitsemisel ning kohandada ERRi veebilehti kasutaja huvidele vastavaks. Kolmandad osapooled, nagu sotsiaalmeedia veebilehed, võivad samuti lisada küpsiseid kasutaja brauserisse, kui meie lehtedele on manustatud sisu otse sotsiaalmeediast. Kui jätkate ilma oma lehitsemise seadeid muutmata, tähendab see, et nõustute kõikide ERRi internetilehekülgede küpsiste seadetega.
Hea lugeja, näeme et kasutate vanemat brauseri versiooni või vähelevinud brauserit.

Parema ja terviklikuma kasutajakogemuse tagamiseks soovitame alla laadida uusim versioon mõnest meie toetatud brauserist: