Tänapäeva digitaalses maailmas, kus saadame iga päev kümneid sõnumeid, teeme pangaülekandeid ja salvestame isiklikke fotosid pilveteenustesse, on meie andmete turvalisus olulisem kui kunagi varem. Ometi on üks termin, mida kuuleme pidevalt, kuid mille sisu jääb sageli arusaamatuks – krüpteerimine. Paljud inimesed kujutavad ette, et see on midagi, mis kuulub spioonifilmidesse või on vajalik vaid suurkorporatsioonidele ja valitsusasutustele. Tegelikkus on aga hoopis teine: krüpteerimine on nähtamatu, kuid asendamatu kaitsekiht, mis saadab meid igal sammul, alates hommikul nutitelefoni avamisest kuni õhtuse veebipoodlemiseni. Ilma selleta oleks meie identiteet, raha ja eraelu küberkurjategijatele valla nagu avatud raamat.
Kujuta ette, et saadad oma sõbrale postkaardi. Iga postiljon, sorteerimiskeskuse töötaja või isegi uudishimulik naaber võib selle ümber pöörata ja sinu sõnumit lugeda. See on krüpteerimata andmeside. Nüüd kujuta aga ette, et paned oma kirja tugevasse terasest seifi, lukustad selle keerulise koodiga ja saadad seifi teele. Ainult sinu sõbral on kood selle avamiseks. Isegi kui keegi seifi teekonnal vahelt haarab, ei saa ta selle sisule ligi. See ongi krüpteerimise olemus – muuta loetav informatsioon loetamatuks segaduseks, mida saab lahti harutada vaid õige võtmega.
Mis on krüpteerimine tehnilises mõttes?
Lihtsustatult öeldes on krüpteerimine protsess, mille käigus algne teave (mida nimetatakse lihttekstiks) muudetakse matemaatiliste algoritmide abil loetamatuks sümbolite jadaks (mida nimetatakse šifreeritud tekstiks). Selleks, et seda sümbolite jada uuesti mõistetavaks muuta, on vaja vastavat dekrüpteerimise võtit. See võti võib olla parool, digitaalne sertifikaat või biomeetriline info.
Krüpteerimise eesmärk on tagada neli peamist infoturbe komponenti:
- Konfidentsiaalsus: Ainult volitatud isikud pääsevad infole ligi.
- Terviklikkus: Andmeid ei ole teel olles märkamatult muudetud.
- Autentimine: Veendumine, et andmete saatja on see, kes ta väidab end olevat.
- Salgamise vääramatus: Saatja ei saa hiljem väita, et ta pole sõnumit saatnud.
Kaks peamist krüpteerimise tüüpi
Et mõista, kuidas sinu andmed on kaitstud, tuleb teha vahet kahel peamisel krüpteerimismeetodil. Mõlemal on oma eelised ja kasutusvaldkonnad.
1. Sümmeetriline krüpteerimine
See on vanim ja lihtsaim meetod. Sümmeetrilise krüpteerimise puhul kasutatakse andmete lukustamiseks ja avamiseks ühte ja sama võtit. See on nagu koduvõti – sama võtmega keerad ukse lukku ja sama võtmega teed selle lahti. See meetod on väga kiire ja sobib suurte andmemahtude (näiteks kõvaketta sisu) kaitsmiseks.
Selle meetodi suurim nõrkus on aga võtme jagamine. Kui tahad saata krüpteeritud faili sõbrale, pead talle kuidagi edastama ka võtme. Kui kurjategija saab võtme kätte selle edastamise hetkel, on kogu turvalisus kadunud.
2. Asümmeetriline krüpteerimine (avaliku võtme krüptograafia)
See meetod lahendab võtme jagamise probleemi, kasutades kahte matemaatiliselt seotud võtit: avalikku võtit ja privaatset võtit. Avalikku võtit võib jagada kõigiga, kuid privaatset tuleb hoida ranges saladuses.
Toome näite postkastiga. Sinu avalik võti on nagu postkasti pilu – igaüks võib sinna kirja (krüpteeritud sõnumi) sisse lasta. Kuid postkasti avamiseks ja kirjade lugemiseks on vaja postkasti võtit (privaatne võti), mis on ainult sinul. Just seda tehnoloogiat kasutatakse turvaliseks veebilehitsemiseks ja digiallkirjastamiseks.
Andmed liikvel ja andmed puhkeolekus
Krüpteerimine ei ole ühekordne tegevus, vaid pidev protsess, mis peab kaitsma andmeid nende erinevates olekutes.
Andmed puhkeolekus (Data at Rest): See viitab andmetele, mis on salvestatud sinu seadme kõvakettale, mälupulgale või pilveserverisse. Kui sinu sülearvuti varastatakse, kaitseb ketta täiskrüpteerimine (näiteks BitLocker Windowsis või FileVault Macis) sinu faile. Isegi kui varas võtab kõvaketta välja ja ühendab selle teise arvutiga, näeb ta vaid arusaamatut müra, mitte sinu dokumente ega pilte.
Andmed liikvel (Data in Transit): See puudutab andmeid, mis liiguvad ühest seadmest teise läbi interneti või sisevõrgu. Siin on suurim oht “mees-keskel” (Man-in-the-Middle) rünnakud, kus häkker püüab andmevoo kinni. Selle vältimiseks kasutatakse protokolle nagu TLS/SSL (mida näed brauseris tabaluku märgina).
Mis on otsast lõpuni krüpteerimine (End-to-End Encryption)?
Viimastel aastatel on vestlusrakenduste nagu WhatsApp, Signal ja Telegram (salajaste vestluste puhul) tõttu populaarseks saanud termin “otsast lõpuni krüpteerimine” (E2EE). See on turvalisuse kuldstandard suhtluses.
Tavalise krüpteerimise puhul krüpteeritakse andmed sinu telefonist serverini, seal need dekrüpteeritakse (et teenusepakkuja saaks neid töödelda) ja krüpteeritakse uuesti saajani saatmiseks. See tähendab, et teenusepakkuja (nt Google või Facebook) teoreetiliselt näeb sinu sõnumite sisu.
Otsast lõpuni krüpteerimise puhul toimub lukustamine saatja seadmes ja avamine ainult vastuvõtja seadmes. Vahepealsed serverid, internetiteenuse pakkujad ega isegi rakenduse loojad ei suuda sõnumit lugeda, sest neil puudub privaatne võti. See tagab, et isegi kohtumääruse või häkkerirünnaku korral ei saa teenusepakkuja sinu vestluste sisu loovutada, sest see on tehniliselt võimatu.
Miks HTTPS ja roheline tabalukk on olulised?
Kui külastad veebilehte ja näed aadressiribal tabaluku ikooni ning aadressi algust “https://”, tähendab see, et ühendus sinu brauseri ja veebiserveri vahel on krüpteeritud. Varasemalt kasutati HTTP-d, kus kogu info (sh paroolid ja krediitkaardiandmed) saadeti lihttekstina. Tänapäeval märgistavad brauserid nagu Chrome ja Firefox HTTP-lehed kui “ebaturvalised”.
HTTPS on eriti kriitiline avalikes WiFi-võrkudes (kohvikud, lennujaamad). Ilma selleta võiks iga samas võrgus olev pahalane spetsiaalse tarkvaraga jälgida kõike, mida sa veebis teed. Krüpteering tagab, et isegi kui nad andmevoo kätte saavad, ei suuda nad seda lugeda.
Korduma kippuvad küsimused (FAQ)
Kas krüpteerimine aeglustab minu arvutit või telefoni?
Ajalooliselt võttis krüpteerimine ja dekrüpteerimine tõesti märgatavalt protsessori ressurssi. Tänapäeva seadmetel (nii arvutitel kui nutitelefonidel) on aga spetsiaalsed kiibid, mis on loodud just krüptograafiliste tehete tegemiseks. Seetõttu on mõju kiirusele tavakasutaja jaoks olematu. Turvalisuse huvides on see tühine hind, mida maksta.
Kas politsei saab krüpteeritud andmeid lugeda?
See sõltub krüpteerimise tüübist ja seadustest. Kui tegemist on otsast lõpuni krüpteeringuga (E2EE), on sisu lugemine äärmiselt keeruline isegi võimudele, mistõttu on see teema tekitanud palju poliitilisi vaidlusi. Siiski, kui politsei saab füüsilise ligipääsu sinu avatud (lahtilukustatud) telefonile või sunnib sind parooli avaldama, on andmed kättesaadavad.
Mis juhtub, kui ma kaotan oma dekrüpteerimise võtme või parooli?
Tugeva krüpteerimise puhul tähendab võtme kaotamine andmete kaotamist. Puudub “tagauks” või administraator, kes saaks parooli taastada. See ongi turvalisuse hind – kui võtit oleks lihtne taastada või sellest mööda hiilida, saaksid seda teha ka kurjategijad. Seetõttu on ülioluline kasutada paroolihaldureid ja varundada oma taastekoode.
Kas VPN on sama mis krüpteerimine?
Mitte päris, kuid nad on seotud. VPN (Virtual Private Network) loob sinu seadme ja VPN-serveri vahele krüpteeritud “tunneli”. See peidab sinu tegevuse internetiteenuse pakkuja ja kohaliku võrgu administraatori eest. VPN kasutab krüpteerimist vahendina, et tagada privaatsus, kuid see kaitseb peamiselt andmeid liikvel olles, mitte sinu seadmes olevaid faile.
Kas tasuta krüpteerimistarkvara on usaldusväärne?
Tihti on avatud lähtekoodiga (open source) tasuta lahendused isegi turvalisemad kui kallid kinnised programmid. Põhjus on lihtne: avatud lähtekoodi saavad auditeerida tuhanded turvaeksperdid üle maailma, kes leiavad vead kiiresti üles. Populaarsed tööriistad nagu VeraCrypt või Signal on tasuta ja väga kõrgelt hinnatud.
Krüptograafia tulevik ja kvantarvutite oht
Kuigi tänased krüpteerimisalgoritmid (nagu AES-256 või RSA) on tavaliste arvutite jaoks praktiliselt lahtimuukimatud – nende jõuga lahti murdmine võtaks miljardeid aastaid – seisab maailm silmitsi uue väljakutsega. Selleks on kvantarvutid. Erinevalt tavalistest arvutitest, mis töötavad bittidega (0 ja 1), kasutavad kvantarvutid kubitte, mis võimaldavad teostada arvutusi kujuteldamatul kiirusel.
Teoreetiliselt suudaks piisavalt võimas kvantarvuti murda praegused asümmeetrilised krüpteeringud minutitega, muutes meie praegused digiallkirjad ja pangasaladused haavatavaks. See ei tähenda aga turvalisuse lõppu. Teadlased töötavad juba aktiivselt välja kvantkindlat krüptograafiat (Post-Quantum Cryptography). Need on uued ja veelgi keerukamad matemaatilised algoritmid, mida isegi kvantarvutid ei suudaks lihtsalt lahendada. Võidujooks käib selle nimel, et need uued standardid saaksid rakendatud enne, kui võimsad kvantarvutid muutuvad küberkurjategijatele või vaenulikele riikidele kättesaadavaks.
