Palkittu suomalainen kryptologi tietää, millainen on hyvä salasana

Suomen Kulttuurirahasto palkitsi professori Kaisa Nybergin tiedon tehokkaasta salaamisesta. Hän on kehittänyt salausta muun muassa matkapuhelinverkkoihin.

tietoturva
Lohkoketjuja symboloiva kuva.
NicoElNino / AOP

Kryptologia voi olla monelle vieras termi, vaikka se auttaa meitä monissa teknisissä asioissa. Se on tiede, joka tutkii matemaattisesti tiedon turvaamista.

Kryptologian avulla kehitetään sovelluksia, joita käytämme esimerkiksi asioidessa verkkokaupassa tai viestiessä älypuhelimella. Tärkeintä niissä ovat salasanat, jotta luottamukselliset tiedot pysyisivät salaisina.

Kaisa Nyberg tuntee kryptologian salat. Hän toimi Aalto-yliopiston kryptologian professorina 2005-2016, eläkkeelle jäämiseen asti. Nyberg väitteli 1980-luvun alussa tohtoriksi funktionaalianalyysita Helsingin yliopiston matematiikan laitokselta. Hän siirtyi kuitenkin puhtaan matematiikan parista töihin Puolustusvoimiin, missä hän teki pioneerityötä kryptologina.

Professori Kaisa Nyberg.
Professori Kaisa NybergSuomen Kulttuurirahasto

Tämän jälkeen Nyberg siirtyi matkapuhelinjätti Nokian palvelukseen vuonna 1998. Siellä hän alkoi kehittää matkapuhelinverkkojen salausalgoritmeja tutkimuskeskuksessa.

Tuolloin kehitettin ratkaisuja, kuten 3G, 4G ja Bluetooth, jotka ovat edelleen käytössä kännyköissä ympäri maailmaa.

– Tehtävänäni oli pyrkiä tekemään mahdoton mahdottomaksi ja keksiä ratkaisuja, joita ei vielä ollut olemassa. Yksi oli laitteiden turvallinen paritus Bluetooth-järjestelmässä. Vaikka ei sekään mahdoton tehtävä ollut, Nyberg sanoo vaatimattomasti.

Milloin nettiäänestys tulee Suomeen?

Sähköisen nettiäänestämisen keinoja on selvitetty ja kokeiltu useissa Euroopan maissa. Virossa nettiäänestäminen on ollut mahdollista ja vuodesta 2005 lähtien.

Suomessa äänestäminen netissä on ollut agendalla jo pitkään, mutta asiassa ei ole edetty. Myös muualla Euroopassa kokeilut ovat olleet jäissä, sillä huolta on aiheuttanut tietoturvallisuus ja ulkopuolisten vaikutusmahdollisuudet vaalien lopputulokseen.

Kaisa Nyberg on ollut mukana nettiäänestystä pohtineessa ensimmäisessä työryhmässä tietoturvallisuuden asiantuntijana.

– Virossa päädyttiin digitaaliseen nettijärjestelmään Neuvostoliiton kaaduttua, kun piti keksiä järjestelmä aivan alusta. Meillä vaaliturvallisuuden perinne on niin pitkä ja se painaa paljon. Jos täällä päätetään siirtyä nettijärjestelmään, monesta turvallisuusperiaatteesta pitää tinkiä, Nyberg sanoo.

Kertakäyttöiset salasanat turvallisimpia

Äskettäin Facebookissa alkoi lähteä käyttäjiltä toisille viruksen sisältäneitä virusvideoita. Joku oli päässyt murtamaan monen Facebook-käyttäjän salasanat.

Salasanan hakkerointi on kryptologi Kaisa Nybergin mukaan yhä yleisempi tavallisille ihmisille vastaantuleva ongelma.

Hänen mielestään ihmiset kyllä tietävät tänä päivänä turvallisesta viestimisestä, mutta se ei välttämättä toteudu käytännössä.

– Joskus viestin läpi meneminen on niin tärkeää, että turvallisuus jää vähemmälle huomiolle. Vaikka järjestelmä ilmoittaa, että salaus ei ole päällä, niin asia hoidetaan silti.

Millainen sitten on hyvä salasana?

Kryptologin mukaan huonoin on se, joka tulee ihmisten omasta päästä. Ne ovat itsestään selvimpiä ja helpompia murtaa.

Nybergin mielestä olisi hyvä käyttää salasanasovellusta, jonka voi asentaa omaan laitteeseen. Se keksii salasanoja ja huolehtii niistä siten, ettei niitä tarvitse välttämättä edes muistaa.

– Jos salasana pitää keksiä itse, niin hyvä olisi joku kummallinen ja erikoinen lause. Sen pitäisi olla myös mahdollisimman pitkä eli 50–100 merkkiä. Joskus kentät ovat tosin niin lyhyitä, ettei sellaista voi sinne syöttää.

Kryptologi Kaisa Nyberg pitää tällä hetkellä turvallisimpina kaksitasoisia järjestelmiä. Kun esimerkiksi Facebookiin kirjautuu ensimmäistä kertaa, matkapuhelimeen tulee tekstiviestillä tarkistuskoodi, joka pitää syöttää myös.

Tarkistuskoodit ovat kertakäyttöisiä, joten hyökkääjien on vaikeampi päästä väliin.

– Kertakäyttöiset salasanat ovat kaikkein turvallisimpia. Teimme sellaisen Bluetoothiin ja nyt sellainen on käytössä esimerkiksi Nordea-pankin tunnuslukusovelluksessa.