Kierroksen tavoitteet
Tämän kierroksen jälkeen olet tutustunut TKK:n tietoturvapolitiikkaan
ja tiedät mitkä ohjeet velvoittavat opiskelijoita. Osaat kuvailla miten
julkisen ja salaisen avaimen salaus toimii ja miten sillä toteutetaan
palveluita. Tiedät CIA-mallin perusteet ja osaat hyödyntää sitä.
Opit hieman hyökkäyksistä tietojärjestelmiä vastaan. Osaat etsiä varmenteen
selaimesta ja tunnistat siinä olevat tiedot.
1. CIA-malli (5 pistettä)
Tutustu CIA-malliin. Kerro lyhyesti mitä malli tarkoittaa ja mihin
siitä on hyötyä. Tarkastele WWWTopia opiskelijan käyttämänä
CIA-mallin kriteereitä vastaan. Kuinka mallin eri aspektit on otettu
huomioon WWWTopissa? Mitkä aspektit ovat mielestäsi tärkeimmät tässä
palvelussa? Ovatko jotkut vaatimukset kenties keskenään
ristiriitaisia?
2. Tietoturvapolitiikka (5 pistettä)
Tutustu TKK:n tietoturvapolitiikkaan ja vastaa seuraaviin kysymyksiin.
- Mitä/keitä TKK:n tietoturvapolitiikka koskee? (1 p)
- Olet päässyt TKK:lle töihin tietojärjestelmien
ylläpitäjäksi. Kuulet mielestäsi luotettavalta lähteeltä, että eräs
käyttäjä levittää Suomen lain vastaista materiaalia TKK:n
sähköpostiosoitteestaan. Saatko tutkia käyttäjän lähettämät viestit
tarkistaaksesi onko näin tapahtunut? Mikä olisi tässä tilanteessa
oikea menettelytapa? (2 p)
- Työrupeamasi TKK:lla ylläpitäjänä jatkuu. Havaitset erään
henkilökuntaan kuuluvan käyttävän vastuualueeseesi kuuluvaa palvelinta
suorittamaan palvelunestohyökkäystä toista palvelinta kohtaan. Miten
sinun tulisi tässä tilanteessa toimia? Mitä seuraamuksia olettaisit
koituvan edellä mainitulle käyttäjälle? (2 p)
3. Väitteitä (5 pistettä)
Ovatko seuraavat väitteet tosia vai epätosia? Perustele vastauksesi.
- Ei-symmetristen salausmenetelmien tärkeimpiä vahvuuksia
symmetrisiin salausmenetelmiin verrattuna on niissä käytettyjen
pidempien avainten tuoma lisäturva.
- One-time pad ja RSA ovat yleisesti käytettyjä julkisen avaimen
salausmenetelmiä.
- Oletetaan, että verkkopankki käyttää tietoliikenteen salaamiseen
vahvaa salausta, muttei käytä viesteissään mitään juoksevaa
varmennetta (session token). Kuvitteelliset henkilöt Alice ja Bob
käyttävät nettipankkia tilisiirtoihin. Väite: Kaappaat Alicen
verkkopankissa hyväksymän tilisiirron Bobille ja pystyt nyt viestien
uudelleenlähetyksellä (ns. replay attack) siirtämään Alicen tililtä
rahaa itsellesi.
- Ei ole olemassa salausmenetelmää, jolla salattuja viestejä ei pysty
murtamaan.
- Lähetät sähköpostia ja haluat vakuuttaa viestin vastaanottajalle
lähettäneesi viestin. Tässä tapauksessa allekirjoittaisit viestin
vastaanottajan julkisella avaimella, jolloin hän voi lukea
allekirjoituksen yksityisellä avaimellaan.
4. Varmenteet (2 pistettä)
Kun haluat kirjautua WebOodiin, tietoliikenne koneesi ja WebOodin
välillä salataan. Varmenteiden avulla voit varmistua siitä, että
kommunikoit varmasti oikean palvelimen kanssa. Tutustu WebOodin
varmenteisiin ja vastaa seuraaviin kysymyksiin.
- Mikä taho on myöntänyt WebOodille varmenteen?
- Mistä mihin varmenne on voimassa?
5. Salausta (3 pistettä)
Sähköpostia salattaessa ei yleensä tyydytä käyttämään yhtä avainta tai
salausalgoritmia. Selitä mitä avaimia salauksessa yleensä käytetään ja
miksi. Tarkastele koko tapahtumasarjaa viestin kirjoittamisesta sen
vastaanottamiseen ja lukemiseen. Vinkki: PGP on hyvä esimerkki.
- Tarkista, että otsikko jo osoite ovat oikein. Tämän
tehtäväkierroksen numero on 3.
- Tarkista, että sisältö todella on tekstiä eikä esim. html:ää.
