Miten kryptografiaa hyödynnetään digitaalisissa palveluissa?
Kirjoittanut Natalia Moskaleva 3. joulukuuta 2024

Kryptografialla (tai kryptologialla) tarkoitetaan joukkoa matemaattisia menetelmiä, joilla tietoa suojataan, salataan ja todennetaan. Kryptografisten menetelmien ansiosta voimme tunnistautua verkkopankkiin, allekirjoittaa asiakirjoja sähköisesti, käyttää verkkokauppoja turvallisesti ja viestiä verkossa ilman, että ulkopuoliset pääsevät käsiksi tietoihimme.
Vaikka kryptografia perustuu monimutkaiseen matematiikkaan, sen toimintaperiaatteita ei tarvitse ymmärtää yksityiskohtaisesti. Jo perusteiden hallitseminen auttaa hahmottamaan, miten henkilötietoja suojataan ja miksi vahva sähköinen tunnistautuminen sekä sähköiset allekirjoitukset ovat turvallisia käyttää.
Tässä artikkelissa tutustumme kryptografian keskeisiin periaatteisiin ja siihen, miten niitä hyödynnetään digitaalisen turvallisuuden ja yksityisyydensuojan varmistamisessa.
Miksi kryptografiaa käytetään?
Kryptografisten menetelmien tavoitteena on suojata tietoa ja varmistaa, että siihen voivat luottaa sekä käyttäjät että palveluntarjoajat. Tärkeimmät kryptografisten menetelmien tavoitteet ja ominaisuudet ovat:
- Luottamuksellisuus: varmistaa, että tiedot ovat vain niiden henkilöiden saatavilla, joille ne on tarkoitettu.
- Eheys: varmistaa, ettei tietoja ole muutettu tai vääristetty niiden lähettämisen tai tallentamisen jälkeen.
- Todennus: varmentaa osapuolten henkilöllisyys esimerkiksi kirjautumisen tai sähköisen tunnistautumisen yhteydessä.
- Kiistämättömyys: varmistaa, ettei viestin lähettäjä tai sähköisen allekirjoituksen tekijä voi myöhemmin kiistää toimineensa näin.
Näiden tavoitteiden saavuttamiseen käytetään erilaisia kryptografisia menetelmiä. Monien menetelmien perustana ovat kaksi keskeistä käsitettä: salausavaimet ja yksisuuntaiset funktiot. Avaimia käytetään tietojen salaamiseen ja todentamiseen, kun taas yksisuuntaiset funktiot muodostavat esimerkiksi hashing- eli hajautusalgoritmien perustan.
Mikä on kryptografinen salausavain?
Kryptografisella salausavaimella “normaalisti” luettavassa muodossa oleva tieto voidaan muuntaa salattuun muotoon. Salattua tietoa kutsutaan salatekstiksi (ciphertext), eikä sitä voida lukea ilman oikeaa avainta.
Kun tieto halutaan palauttaa alkuperäiseen muotoonsa (plaintext), tarvitaan vastaava purkuavain. Kryptografiset avaimet ovat käytännössä pitkiä merkkijonoja, jotka koostuvat esimerkiksi numeroista ja kirjaimista. Mitä pidempi ja monimutkaisempi avain on, sitä vaikeampaa sen murtaminen on ja sitä vahvempi salaus yleensä on.
Symmetrinen salaus
Symmetrisessä salauksessa samaa avainta käytetään sekä tiedon salaamiseen että sen purkamiseen. Yksinkertainen vertaus on yhteinen avain lukkoon: molemmat osapuolet käyttävät samaa avainta sekä lukitsemiseen että avaamiseen.
Symmetrinen salaus soveltuu erityisen hyvin suurten tietomäärien nopeaan salaamiseen. Sitä käytetään esimerkiksi videopuheluissa, tiedostojen siirrossa ja verkkoliikenteen suojaamisessa. Tunnetuin symmetrinen salausalgoritmi on AES (Advanced Encryption Standard), jota käytetään laajasti nykyaikaisissa tietojärjestelmissä.
Symmetrisen salauksen suurin haaste liittyy kuitenkin avaimen jakamiseen. Jotta kaksi osapuolta voisi käyttää samaa avainta, se on ensin toimitettava turvallisesti molemmille. Jos avain päätyy vääriin käsiin, myös salattu tieto voidaan lukea.
Siksi pelkkä symmetrinen salaus ei yleensä riitä tilanteisiin, joissa osapuolet eivät vielä tunne toisiaan, kuten silloin, kun käyttäjä kirjautuu verkkopalveluun ensimmäistä kertaa.
Asymmetrinen eli julkisen avaimen salaus
Tähän ongelmaan vastaa asymmetrinen salaus, jota kutsutaan myös julkisen avaimen salaukseksi. Asymmetrisessä salauksessa käytetään kahta toisiinsa liittyvää avainta:
- Julkinen avain voidaan jakaa avoimesti muille.
- Yksityinen avain pidetään salassa vain sen omistajalla.
Avaimet muodostetaan samanaikaisesti matemaattisen algoritmin avulla. Ne liittyvät toisiinsa siten, että julkinen avain voidaan johtaa yksityisestä avaimesta, mutta yksityistä avainta ei voida käytännössä päätellä julkisen avaimen perusteella. Tämän ominaisuuden ansiosta asymmetrista kryptografiaa voidaan käyttää kahteen tarkoitukseen: tietojen salaamiseen ja sähköisten allekirjoitusten aitouden tarkistamiseen.
Tietojen salaaminen
Kun tieto salataan vastaanottajan julkisella avaimella, sen voi purkaa vain vastaanottajan yksityisellä avaimella. Tätä hyödynnetään esimerkiksi HTTPS-yhteyksissä. Kun avaat suojatun verkkosivun, selaimesi ja verkkopalvelu käyttävät asymmetrista kryptografiaa vaihtaakseen turvallisesti salausavaimet, joiden avulla myöhempi tiedonsiirto voidaan suojata.
Sähköiset allekirjoitukset
Sähköisissä allekirjoituksissa toimintaperiaate on päinvastainen. Allekirjoitus muodostetaan allekirjoittajan yksityisellä avaimella, minkä jälkeen kuka tahansa voi tarkistaa sen oikeellisuuden allekirjoittajan julkisella avaimella. Näin voidaan varmistaa sekä allekirjoittajan henkilöllisyys että se, ettei allekirjoitettua asiakirjaa ole muutettu allekirjoituksen jälkeen. RSA on yksi tunnetuimmista algoritmeista, joita käytetään sähköisissä allekirjoituksissa ja turvallisessa tiedonsiirrossa.
Symmetrisen ja asymmetrisen salauksen yhdistäminen
Vaikka asymmetrinen salaus on erittäin turvallinen menetelmä, se on myös symmetristä salausta hitaampi ja vaatii enemmän laskentatehoa. Suurten tietomäärien salaaminen pelkästään asymmetrisella salauksella olisi käytännössä liian hidasta.
Tästä syystä nykyaikaisissa tietojärjestelmissä käytetään yleensä molempia menetelmiä yhdessä. Yhteys alkaa asymmetrisella salauksella, jonka avulla palvelu ja käyttäjän laite vaihtavat turvallisesti keskenään symmetrisen salausavaimen. Näin toimitaan esimerkiksi silloin, kun muodostat ensimmäistä kertaa yhteyden HTTPS-suojattuun verkkosivustoon.
Kun yhteinen salausavain on muodostettu, varsinainen tiedonsiirto tapahtuu symmetrisellä salauksella. Se soveltuu huomattavasti paremmin suurten tietomäärien salaamiseen ja purkamiseen, minkä vuoksi verkkoyhteys pysyy sekä turvallisena että suorituskykyisenä.
Yksisuuntaiset funktiot ja hajautus
Yksisuuntainen funktio on matemaattinen algoritmi, joka muuntaa syötteen kiinteän mittaiseksi, satunnaisen näköiseksi merkkijonoksi.
Yksisuuntaisen funktion tärkein ominaisuus on, että sen laskeminen onnistuu helposti yhteen suuntaan, mutta tuloksen perusteella alkuperäisen syötteen selvittäminen on käytännössä mahdotonta.
Tämän vuoksi yksisuuntaiset funktiot soveltuvat erinomaisesti hajautukseen (hashing), jonka tarkoituksena on varmistaa tiedon eheys paljastamatta itse alkuperäistä tietoa.
Kun esimerkiksi luot salasanan, järjestelmä ei tavallisesti tallenna sitä sellaisenaan. Sen sijaan salasanasta lasketaan hajautusarvo eli tiiviste (hash), joka tallennetaan tietokantaan. Vaikka joku pääsisi käsiksi tähän tiivisteeseen, hän ei voi käytännössä päätellä siitä alkuperäistä salasanaa.
Yksisuuntaisia funktioita käytetään monissa tietoturvan kannalta keskeisissä ratkaisuissa, kuten sähköisissä allekirjoituksissa, aikaleimoissa, salasanojen tallentamisessa ja tiedon eheyden varmistamisessa tarkistussummia (checksums) hyödyntämällä.
Yhteenveto
Kryptografia muodostaa digitaalisen luottamuksen perustan. Sen avulla arkaluonteiset tiedot voidaan suojata, digitaalisten tapahtumien eheys varmistaa ja niiden alkuperä todentaa. Ilman kryptografiaa emme voisi luottaa esimerkiksi verkkopankkeihin, vahvaan sähköiseen tunnistautumiseen, sähköisiin allekirjoituksiin tai turvallisiin verkkoyhteyksiin. Siksi kryptografia on keskeisessä asemassa digitaalisessa identiteetissä ja kaikissa palveluissa, joissa tietoturva ja yksityisyydensuoja ovat tärkeitä.
Haluatko tutustua kryptografian edistyneempiin tietosuojamenetelmiin? Lue seuraavaksi artikkelimme nollatietotodistuksista, joissa voidaan todistaa väitteen paikkansapitävyys paljastamatta itse väitteeseen liittyviä tietoja.
Usein kysyttyä kryptografiasta
Kryptografia (tai kryptologia) on joukko matemaattisia menetelmiä, joilla muun muassa suojataan tietoa, varmennetaan verkkopalveluiden käyttäjien henkilöllisyys ja varmistetaan digitaalisten tapahtumien eheys. Sitä käytetään esimerkiksi vahvassa sähköisessä tunnistautumisessa, sähköisissä allekirjoituksissa ja suojatuissa verkkoyhteyksissä.
Salaus on yksi kryptografian osa-alueista. Kryptografia kattaa salauksen lisäksi esimerkiksi hajautusfunktiot, salausavainten hallinnan ja muut menetelmät, joilla tietojen luottamuksellisuus, eheys ja aitous voidaan varmistaa.
Symmetrinen salaus on erittäin nopea, mutta edellyttää yhteistä salausavainta. Asymmetrinen salaus mahdollistaa avainten turvallisen vaihtamisen, mutta on hitaampi. Siksi nykyaikaisissa tietojärjestelmissä käytetään yleensä molempia: asymmetrista salausta yhteyden muodostamiseen ja symmetristä salausta varsinaiseen tiedonsiirtoon.
Kryptografinen avain eli salausavain on tieto, jota käytetään tietojen salaamiseen, purkamiseen, allekirjoittamiseen tai allekirjoituksen tarkistamiseen. Avaimen pituus ja laatu vaikuttavat siihen, kuinka hyvin salaus kestää erilaisia hyökkäyksiä.
Kryptografiaa hyödynnetään lähes kaikissa digitaalisissa palveluissa. Sitä käytetään esimerkiksi verkkopankeissa, vahvassa sähköisessä tunnistautumisessa, sähköisissä allekirjoituksissa, suojatuissa HTTPS-verkkoyhteyksissä, pikaviestisovelluksissa ja maksupalveluissa.
Vahva sähköinen tunnistautuminen perustuu kryptografiaan. Sen avulla voidaan todentaa käyttäjän henkilöllisyys turvallisesti, suojata tunnistautumisen aikana siirrettävät tiedot ja varmistaa, ettei tunnistautumisprosessia voida väärentää tai muuttaa.