Holvaus (tietotekniikka)

Wikipediasta
Siirry navigaatioon Siirry hakuun
Tämä artikkeli käsittelee uudenlaista menetelmää tiedon salaamiseksi. Kryptografia käsittelee tavanomaisia salaustekniikoita yleisemmin.

Holvaus on prosessi, jossa muutetaan tieto (selkoteksti, eng. plaintext) diffuusioalgoritmin sekä informaation entropiabittejä poistavan algoritmin avulla lukukelvottomaksi muille kuin sallituille käyttäjille. Diffuusioalgoritmina käytetään useimmiten tavallista salausalgoritmia (kuten 256-bittistä Advanced Encryption Standardia). Menetelmässä pääsy salattuun tietoon ei perustu käyttäjän salasanoihin.

Prosessissa selkoteksti diffusoidaan ensin salakirjoitukseksi (eng. ciphertext). Tämän jälkeen salakirjoituksesta poistetaan tietty määrä tiedon entropiaa poistamalla siitä bittejä. Prosessi tuottaa kaksi lopputulosta: salakirjoituksen, josta puuttuu informaatiota (kutsutaan holvatuksi dataksi), ja joukon poistettuja bittejä (kutsutaan sirpaledataksi tai fragmenttidataksi).

Käänteinen prosessi, eli holvauksen avaaminen, vaatii fragmenttidatan liittämisen takaisin holvattuun dataan siten, että poistetut bitit palautetaan alkuperäisille paikoilleen. Tämän jälkeen salakirjoitus täytyy vielä muuttaa selkotekstiksi eli dekryptata.

Tyypillisiä käyttöjä holvaukselle

[muokkaa | muokkaa wikitekstiä]

Holvausta voidaan käyttää tiedon suojaamiseen tietokonejärjestelmissä, joissa yksi tai useampi tietokone voi toimia varastona fragmenttidatalle ja muut tietokoneet pitävät tallessa vain holvattua dataa. Dedikoitu ohjelmisto voi hoitaa holvausprosessin sekä holvauksen avaamisprosessin automaattisesti. Kontrolloimalla käyttäjien pääsyä fragmenttidataa hallinnoiville tietokoneille tiedon omistaja voi kontrolloida pääsyä alkuperäiseen tietoon eli selkotekstiin. Holvattu data voidaan tallentaa myös kannettaville massamuistilaitteille (esimerkiksi USB-muistitikulle) tai muille siirreltäville tallennusmedioille.

Holvauksen vahvuudet verrattuna perinteiseen salaukseen

[muokkaa | muokkaa wikitekstiä]

Toisin kuin perinteinen salaus (kryptaus), holvaus pystyy suojaamaan sekä tiedon luottamuksellisuuden että eheyden.

Luottamuksellisuus on suojattu, koska tieto on ensin salattu ja siten muodostettu salakirjoitus on tehty purkukelvottomaksi poistamalla siitä bittejä. Salakirjoitus voidaan dekryptata onnistuneesti vain asettamalla poistetut bitit takaisin.

Tiedon eheys on suojattu, koska fragmenttidata muodostaa ainutlaatuisen sormenjäljen alkuperäisestä tiedosta. Jos holvattua dataa muutetaan millään tavalla, sen yhdistäminen fragmenttidataan ei tuota toimivaa salakirjoitusta, ja dekryptaus ei onnistu. Holvaus siis mahdollistaa tiedon korruptoitumisen tai manipuloinnin havaitsemisen.

Pääsy holvauksella suojattuun tietoon ei perustu käyttäjän salasanoihin, kun taas tavanomaisessa salauksessa kaikki tieto paljastuu, jos hyökkääjä saa käsiinsä salasanan.

Holvauksen rajoitteet verrattuna perinteiseen salaukseen

[muokkaa | muokkaa wikitekstiä]

Koska holvattua dataa ja fragmenttidataa täytyy varastoida fyysisesti erillisissä paikoissa, alkuperäisen tiedon saatavuus on rajoittuneempi kuin perinteisessä salauksessa. Perinteisen salauksen voi aina avata yhdellä salasanalla, jonka käyttäjä voi opetella muistamaan. Holvaus sen sijaan vaatii pääsyn fragmenttidataan silloin kun tietoa halutaan lukea.

Holvauksen rajoitettua saatavuutta voidaan kuitenkin joissakin tapauksissa pitää vahvuutena, esimerkiksi kun halutaan saada pääsy tiettyyn tietoon riippumaan käyttäjän pääsyoikeuksista esimerkiksi tietoverkkoon ja palvelintietokoneelle. Esimerkiksi, käyttäjän tietokoneelle paikallisesti tallennettu data on lukukelvotonta kunnes valvottu verkkoyhteys fragmenttidataa varastoivaan tietokoneeseen avataan. Rajoitettua saatavuutta voidaan siten käyttää holvatun tiedon kauko-ohjaamiseen ja käytön valvontaan käyttäjä- tai käyttäjäryhmäkohtaisesti.

Holvauksen tausta

[muokkaa | muokkaa wikitekstiä]

Suomalainen Envault Corporation on kehittänyt holvauksen yhdessä VTT:n kanssa. Tavoitteena oli kehittää läpinäkyvä ja helppokäyttöinen tiedonsuojaustapa, joka ei kärsi tavanomaisen salauksen heikkouksista (vaikea salausavainten hallinta, kyvyttömyys suojata tiedon eheyttä, sekä haavoittuvuus mm. kryptoanalyysille ja sivukanavahyökkäyksille, kuten Princetonin yliopiston tutkijoiden keksimä nk. kylmäbuuttaushyökkäys). Holvaus yhdistää salauksen sekä puuttuvan datan konseptin, ja mahdollistaa tiedon omistajalle tavan kauko-ohjata tietoa ja valvoa pääsyä tietoon. Holvaus ja holvauksen avaaminen voidaan automatisoida niin, että käyttäjiltä ei vaadita mitään salasanoja tai toimenpiteitä tiedon suojaamiseksi ja avaamiseksi. Tällä tavoin holvaus auttaa poistamaan tietoturvasta inhimillisen virheen mahdollisuutta.

Envault Corporation on hakenut useita kansainvälisiä patentteja holvaukselle menetelmänä sekä sen eri sovelluksille.

  • Applied Cryptography, Second Edition, Bruce Schneier, John Wiley & Sons, 1996
  • M. Liskov, R. L. Rivest, and D. Wagner. Tweakable Block Ciphers. Crypto 2002.
  • J. Alex Halderman, Seth D. Schoen, Nadia Heninger, William Clarkson, William Paul, Joseph A. Calandrino, Ariel J. Feldman, Jacob Appelbaum, and Edward W. Felten. "Lest We Remember: Cold Boot Attacks on Encryption Keys". . Princeton University. February 2008.
  • Suomalainen Envault ja VTT kehittivät uuden tietosuojamenetelmän, http://www.vtt.fi/uutta/2008/20080613.jsp , viitattu 13.6.2008
  • In-Depth Research Report, Removable Media and Mass Storage Protection Technologies, Secproof, http://www.secproof.com/documents/Secproof_RESEARCH_RemovableMediaProtection_2009-final.pdf[vanhentunut linkki]