23.03.2010 15:59

Näin salaat tärkeät tiedostot helposti

Henkilökohtaisten tietojen vuotamiseen ei aina tarvita internet-yhteyttä. Päivittäin maailmalla katoaa lukemattomia muistitikkuja ja kannettavia tietokoneita, jotka sisältävät arkaluontoisia tiedostoja. Näiden tapausten riskit voi kuitenkin minimoida helposti tiedostojen salausta käyttämällä.

Tietoturvasta puhuttaessa valokeilaan nousevat usein internetin välityksellä leviävät virukset, madot ja huijaukset, jotka voivat haitata tietokoneen käyttöä ja pahimmillaan johtaa henkilökohtaisten tietojen menetykseen. Tosiasiassa tietoturvauhkia löytyy paljon myös reaalimaailmasta, mutta niiden riskejä ei usein tunnisteta ennen onnettomuuden sattumista.
Nykyaikaiseksi tietoturvariskiksi voidaan lukea niinkin arkinen kapine kuin USB-muistitikku. Pienelle tallennuslaitteelle mahtuu parhaimmillaan useita gigatavuja tietoa, joten niillä on kätevä kuljettaa asiakirjoja esimerkiksi kodin ja koulun tai kodin ja työpaikan välillä. Ikävä kyllä tikkujen pienestä koosta johtuen ne on myös helppo unohtaa kahvihuoneeseen tai tietokoneen USB-porttiin. Omassa yliopistossa orpotikkuja näki lähes kuukausittain.
Kadonneen tikun vaikutukset voivat olla monenlaiset. Lievimmillään unohduksesta voi olla pientä aineellista harmia, mutta kuvitellaanpa tilannetta, jossa tikun mukana menee tärkeitä ostokuitteja, työpaikan asiakirjoja tai vaikka henkilökohtaisia lomakuvia. Ei enää niin harmitonta. Tietoturva-alalla liikkuvat kauhutarinat kertovat jopa yrityksen salasanojen vuotamisesta, mikä altistaa koko sisäverkon hyökkäyksille.
Tähän nähden on ihmeellistä, miten vähän Microsoft on tehnyt salauksen eteen suosituissa Windows-käyttöjärjestelmissään. Kilpailevan Mac OS X:n Disk Utility tukee salattujen DMG-arkistojen luontia, mutta Windowsissa tietonsa saa salasanan taakse vain yrityskäyttöön tarkoitetuissa hinnakkaissa huippuversioissa, joissa on mukana EFS-tiedostoformaatti tai BitLocker-työkalu. Onneksi koti-Windowsillekin löytyy hyviä työkaluja salaukseen, jos vain tietää mitä hakee. Tässä artikkelissa tarkastellaan paria erilaista mutta yhtälailla helppoa metodia tärkeiden tiedostojen suojaamiseksi uteliailta katseilta.

Salausohjelmia löytyy ilmaiseksi

Salausohjelmien laajasta kirjosta poimimme tietoturvayhtiö Sophoksen Free Encryptionin. Useista ehdokkaista se nousi esiin keveytensä ja helppokäyttöisyytensä ansiosta. Mukana ei ole juurikaan rönsyjä, mutta asiansa se ajaa standardit täyttävällä 128-bittisellä AES-salauksellaan. Ohjelma voi myös turvallisesti poistaa tai ”silputa” tiedostoja, joista ei haluta jäävän jälkiä. Mikä tärkeintä, ohjelman lataaminen ei maksa muuta kuin rekisteröinnin vaivan.
Sophosin käyttöliittymän pääikkunaa hallitsee tyhjä tiedostolista, joka kuvaa arkiston sisältöä. Siihen voi lisätä tai siitä voi poistaa tiedostoja vasemmalla puolella olevilla plus- ja miinusnäppäimillä. Myös tiedostojen vetäminen ikkunaan on mahdollista.
Yläreunan suurista toimintonäppäimistä Save salaa arkiston ja Decrypt puolestaan purkaa sisällön. Niiden oikealla puolella on näppärä Send-painike, joka lähettää salatun arkiston automaattisesti sähköpostin liitetiedostoksi. Sophos lupaa, että lähetys toimii yleisimpien sähköpostiohjelmien kuten Windows Live Mailin kanssa. Ominaisuutta ei kannata unohtaa, jos lähettää henkilökohtaista tietoa sähköpostitse, sillä tietoverkossa matkatessaan avoin viesti on kuin postikortti postin jakelussa: kuka tahansa voi katsoa sitä. Lähettäjälle on vain muistettava ilmoittaa liitetiedoston avaamiseen tarvittava salasana.

Arkiston salasana määritellään salausvaiheessa aukeavassa ikkunassa. Salauksessahan ideana on sotkea tiedoston sisältö lukukelvottomaan muotoon käyttäen avaimena käyttäjän antamaa salasanaa. Salasana siis tavallaan toimii tiedoston DNA:na, eikä tiedostoa voida lukea ilman täsmälleen oikeaa salasanaa. Mitä monimutkaisempi salasana on, sitä vaikeampi sitä on myöskään murtaa.
Jos tallennuksen yhteydessä haluaa tehdä esimerkiksi itsestään purkautuvan arkiston, onnistuu se klikkaamalla Options-nappia. Se tuo esille muutamia lisävaihtoehtoja, joista itsestään purkautuva arkisto luodaan ylimmällä täpällä: Create self-extracting executable. Käytännössä valinta tekee arkistosta suoritettavan ohjelmatiedoston, joka voidaan ajaa missä tahansa Windows-tietokoneessa arkiston salasanaa käyttäen. Ominaisuus on tärkeä, jos salattuja tiedostojaan aikoo esimerkiksi kuljettaa muistitikulla kotikoneen ulkopuolelle, koska vieraalla päätelaitteella ei välttämättä ole Sophos Free Encryptionia asennettuna.
Mikäli tarkoituksena on siirtää arkiston tiedostot tietokoneesta toiseen, lähdetiedostot voi samalla poistaa turvallisesti. Secure delete source files after encryption hävittää lähdetiedostot kiintolevyltä pysyvästi ylikirjoittamalla tiedot ja vapauttamalla niiden tilan. Windowsin normaali roskakorin tyhjentäminen vain vapauttaa tiedostojen varaaman tilan, mutta ei hävitä tiedostoja kiintolevyltä - ainakaan heti.
Samasta Options-ikkunasta löytyy lisäksi mahdollisuus tallentaa arkiston salasana salasanahistoriaan (Save password in password history). Salasanahistorian voi aktivoida ohjelman asetuksista Tools > Options > Password History. Se käytännössä tallentaa arkistoissa käytetyt salasanat yhteen lokitiedostoon, joka on suojattu pääsalasanalla. Näin ollen jos salattuja tiedostoja arkistoi kotikoneelleen suuria määriä, ei jokaista salasanaa ole välttämätöntä muistaa ulkoa. Ja kun salauksesta on kyse, salasanan unohtuminen todella tarkoittaa salattujen tiedostojen menetystä, koska arkistoa ei saa auki millään muilla keinoin.
Mutta tarvitaanko kaiken tämän tekemiseen uutta ohjelmaa? Ei välttämättä - sopiva ohjelma saattaa jo löytyä tietokoneeltasi.

Vanha tuttu arkistointiohjelma

Monet yleiset arkistointiohjelmat kuten WinZip, WinRAR ja 7-zip ovat uusimmissa versioissaan lisänneet arkiston salausmahdollisuuden, joka takaa AES-tason salasanasuojauksen arkiston sisällölle. Tarkastelemme tässä esimerkissä WinRARia, joka ei tosin ole ilmaisohjelma, mutta ei myöskään lukitu reilun kuukauden koeajan jälkeen. Ohjelma on laajalti käytetty ja hyvin yhteensopiva eri tiedostomuotojen kanssa.
WinRARin käyttöliittymä on jokseenkin samanlainen kuin Free Encryptionissa, mutta eri vaihtoehtoja on selvästi enemmän. Onneksi ohjelmasta on olemassa suomenkielinen versio. Tärkeimmät toiminnot ovat ohjelmaikkunan vasemmassa yläkulmassa olevat Lisää ja Pura. Niiden alla näkyy auki olevan kansion sisältö. Toisin kuin Sophoksen salausohjelmassa, listauksessa voi siis näkyä tiedostoja, vaikka varsinaista arkistoa ei olisikaan luotu. Arkiston voi luoda valitsemalla hiirellä listauksesta haluttu tiedosto (pitämällä näppäimistön Ctrl-painike pohjassa on mahdollista valita useita tiedostoja) ja klikkaamalla Lisää-nappia.

Uutta arkistoa luodessa eteen tulee ikkuna, jossa ensimmäisenä kannattaa määritellä arkiston nimi ja sitten pureutua muihin vaihtoehtoihin. Salatun arkiston voi luoda siirtymällä ikkunan Lisäasetukset-välilehdelle ja valitsemalla sieltä Aseta salasana. Sen jälkeen voi klikkailla OK ja salattu arkisto ilmestyy nimen yhteydessä määriteltyyn paikkaan.
Jos WinRARilla haluaa tehdä itsestään purkautuvan tiedoston, se onnistuu uutta arkistoa luodessa Yleiset-välilehden Arkistointiasetuksista. WinRAR käyttää tällaisista arkistoista nimitystä SFX-arkisto. Täppäämällä kyseisen kohdan arkistosta ei tulekaan rar- vaan ohjelmatiedosto, jonka voi avata, vaikka koneella ei olisi WinRARia asennettuna.

Eroja ja yhtäläisyyksiä

Molemmissa ohjelmissa salauksen vahvuuden määrittelee loppupeleissä se, miten monimutkaisen salasanan käyttäjä valitsee. Luonnollisista sanoista kuten koira tai tunturi koostuvat salasanat voidaan murtaa nopeasti ns. sanakirjan avulla. Sen sijaan 1n!KimR4rchV on hankalampi, koska se sisältää laajan määrän erilaisia merkkejä, jotka eivät ole missään luonnollisessa järjestyksessä. Salasanaan panostaminen on kriittistä juuri WinRARin kohdalla, koska sitä varten on suunniteltu vino pino erilaisia salasananmurto-ohjelmia - osa auttamaan salasanan hukanneita, osa kaivamaan salaista tietoa.
Sophos yrittää torjua tällaisia raa’an voiman hyökkäyksiä (tietokoneen laskuteho valjastetaan salasanan arvaukseen) viivyttämällä uuden salasanan syöttämistä jokaisen virheellisen salasanan jälkeen. Viivytys pitenee jokaisesta väärästä salasanasta. WinRARin arkistoa puolestaan voi pommittaa sen mitä tietokoneesta irti lähtee. Onneksi lujat, 8-12 merkkiä pitkät salasanat ovat tietokoneellekin sen verran vaativia, että ihan kotioloissa salasanaa ei murreta.
Ohjelmien välillä on toinenkin merkittävä ero. Toisin kuin Sophoksen salaaman arkiston, voi salatun WinRAR-arkiston oletusarvoisesti avata ilman salasanaakin, mikä paljastaa kaikkien sisällä olevien tiedostojen tyypit ja nimet. Vasta arkiston tiedostojen avaaminen edellyttää salasanan syöttämistä. Tämä luo luonnollisesti salaukseen haavoittuvuuden, jos olisi tärkeää, ettei edes arkiston sisällön laadusta saada vinkkiä. WinRAR tarjoaa tätä varten ominaisuuden, joka löytyy arkistoa luotaessa samasta ikkunasta kuin salasanan valitseminen. Valitsemalla Kryptaa tiedostojen nimet arkiston sisältöä ei enää näe ilman salasanaa.
Tietoturvan kannalta on myös hyvä, jos WinRARin asettaa pyyhkimään väliaikaiset tiedostot välittömästi niiden käytön jälkeen. Täppä löytyy ohjelman Asetuksista Tietoturva-välilehden alta. Ominaisuuden kytkeminen voi hidastaa hieman ohjelman toimintaa, mutta takaa sen, ettei salattujen arkistojen tiedostoja jää lojumaan Windowsin Temp-kansioon. Mitä hyötyä salauksesta olisi, jos tiedostot jäisivät niitä nuuskivan nähtäville?
Kumpikin esitelty ohjelma sulautuu mutkattomasti Windowsin kontekstivalikoihin, mikä helpottaa ohjelmien käyttöä entisestään. Uuden arkiston voi luoda esimerkiksi työpöydällä klikkaamalla haluttua tiedostoa hiiren oikealla korvalla ja nappaamalla pudotusvalikosta WinRARin tai Sophoksen arkistointityökalun. Sama koskee myös tiedostojen purkamista. Kaikkea ei siis tarvitse tehdä itse ohjelmaikkunassa, jos on tottunut pelaamaan Windowsin oman käyttöliittymän kanssa. WinRARin asetuksissa on vieläpä mahdollista määritellä, mitä toimintoja kontekstivalikossa esitetään.

Vaativampaan käyttöön

Edelliset ohjelmaesimerkit on valittu ennen kaikkea niiden helppokäyttöisyyden ja tehokkuuden ansiosta. Pykälää monipuolisempaa salausohjelmistoa halajavien kannattaa katsastaa ilmainen TrueCrypt, joka toimii niin Windowsilla, Mac OS X:llä kuin Linuxillakin. Ohjelma vaatii jonkin verran asiantuntemusta ja opettelua tarjotessaan käyttäjälle lukemattomia vaihtoehtoja aina salaustekniikasta tiedostojen käsittelytapaan. Se mahdollistaa esimerkiksi kokonaisen levyosion - esimerkiksi Windowsin osion - salaamisen. Peruskäyttäjä ei kuitenkaan moista tarvitse, vaan kriittisimpien tiedostojen salaaminen riittää vallan mainiosti.
Hauskaa kokeilua - pidetään salaisuuksia!

Kimmo Pukkila

Linkit:
Sophos Free Encryption Tool
WinRAR
TrueCrypt