Päästä päähän -salaus selitettynä

Mitä päästä päähän -salaus tarkoittaa?

Päästä päähän -salaus, englanniksi end-to-end encryption (termistä käytetään myös lyhennettä E2EE), on verkon välityksellä lähetettyjen viestien salausmenetelmä. Siinä yhdestä päätepisteestä toiseen lähetetyt viestit salataan. E2EE varmistaa, että lähettäjän päässä salatun tiedon salauksen purkaus onnistuu vain viestin vastaajalta. Näin viesti pysyy piilossa koko eri palvelimien läpi kulkevan matkansa, eikä se ole verkon järjestelmänvalvojan, internet-palveluntarjoajan tai minkään muun ulkopuolisen tahon nähtävissä.

Kuvitellaan, että lähetät viestin palvelussa, joka käyttää perustason Transport Layer Security (TLS) -salausta E2EE-salauksen sijaan. Viestisi salaus voidaan purkaa jo ennen kuin se pääsee päätepisteeseensä. Tällöin viestin matkan varrella olevaa palvelinta hallitseva taho (esimerkiksi palveluntarjoaja) voi lukea viestisi. E2EE taas takaa, että lähetetty viesti on vain vastaanottajan luettavissa, eivätkä internet-palveluntarjoajat tai muut ulkopuoliset tahot saa siitä selvää.

Päästä päähän -salaus tarjoaa paremman yksityisyyden ja verkkoturvallisuutta, kun viestejä tai arvokasta tietoa lähetetään eri verkkojen kautta.

Miten päästä päähän -salaus toimii?

Päästä päähän -salaus toimii seuraavia vaiheita noudattaen:

1. Salausavainten luominen. Päästä päähän -salausta käyttävä järjestelmä luo julkisia ja yksityisiä salausavaimia. Lähettäjä ja vastaanottaja saavat julkisen avaimen ja kullakin on myös oma yksityinen avaimensa.
2. Salaus. Kun lähettäjä lähettää viestin, E2EE-algoritmi salaa sen vastaanottajan julkisella avaimella. Jälkikäteen vain vastaanottaja voi purkaa salauksen käyttäen yksityistä avaintaan.
3. Lähetys. Salattua viestiä on mahdotonta lukea, vaikka se onnistuttaisiinkin sieppaamaan matkalla kohteeseensa. Sieppaaja ei pysty purkamaan salausta ilman vastaanottajan yksityistä avainta.
4. Salauksen purku. Kun vastaanottaja saa salatun viestin, hänen yksityinen avaimensa purkaa salauksen ja tekee viestistä luettavan.

Miten päästä päähän -salaus eroaa muista salausmenetelmistä?

Erilaisia salaustyyppejä käytetään erilaisiin tarkoituksiin. Katsotaan seuraavaksi yleisiä salausmetodeja ja niiden eroja päästä päähän -salaukseen verrattuna:

• E2EE vs. data-at-rest-salaus (DARE). E2EE salaa matkalla olevan viestin siihen asti, että se saavuttaa päämääränsä. DARE puolestaan salaa tietoa, joka on tallennettu monille laitteille ja palvelimille. DARE auttaa varmistamaan, että vaikka laite varastetaan tai palvelimelle murtaudutaan, kukaan ei pääse käsiksi tallennettuihin tietoihin.
• E2EE vs. linkkisalaus. E2EE salaa tiedot lähettäjän päässä ja purkaa salauksen vasta päätepisteessä. Linkkisalausta käytetään tyypillisesti tietynlaisilla tietoreiteillä, kuten satelliitti- ja tietoliikenneyhteyksissä. Tällöin lähtöpisteessä salatun tiedon salaus puretaan ja uusitaan jokaisessa yhteyspisteessä.
• E2EE vs. Transport Layer Security (TLS). Kun käytetään E2EE-salausta, vain viestin vastaanottaja voi purkaa viestin salauksen, sillä viestin välittämisestä vastaavalla internet-palveluntarjoajalla ei ole yksityistä avainta viestin purkamista varten. TLS-salauksen kanssa näin ei ole. Koska TLS salaa viestinnän verkkoselainten ja verkkosivustojen välillä, palveluntarjoaja näkee tekstimuodossa tallennetun tiedon verkkosivuston palvelimen päätepisteessä.
• E2EE vs. point-to-point-salaus (P2PE). E2EE salaa ja purkaa salauksen vain kerran. P2PE sen sijaan mahdollistaa sen, että tietojen salaus puretaan päätepisteessä ja salataan sen jälkeen uudelleen toista päätepistettä lähettämistä varten.

Ensisilmäyksellä E2EE voi muistuttaa VPN-verkkoa, joka myös salaa liikenteessä olevat tiedot. Näitä välineitä käytetään kuitenkin eri tarkoituksiin. Päästä päähän -salaus varmistaa, että kahden tahon keskustellessa verkossa vain nämä kaksi osapuolta saavat pääsyn jaettuihin tietoihin. VPN taas suojaa tiedot, jotka liikkuvat käyttäjän laitteen ja VPN-palvelimen välillä.

Siinä missä E2EE keskittyy kahden päätepisteen välillä lähetetyn viestin salaamiseen, VPN-palvelu käyttää seuraavan sukupolven salausta tarjotakseen kattavamman suojauksen salaamalla kaiken käyttäjän verkkoliikenteen ja metatiedot sekä tarjoamalla suojatun tunnelin, jota pitkin tiedot liikkuvat.

Miten päästä päähän -salausta käytetään?

E2EE:llä on tärkeä rooli pikaviestisovellusten suojaamisessa. Esimerkiksi WhatsApp ja Signal käyttävät E2EE:tä kaikkien viestien ja puheluiden salaamiseen oletusasetuksena. Telegram, Facebook Messenger ja Instagram tarjoavat päästä päähän -salauksen ominaisuutena, jonka voi ottaa käyttöön manuaalisesti. Alla on ohjeet E2EE:n käyttöön kaikilla näillä alustoilla.

Näin otat E2EE:n käyttöön Telegramissa:

1. Napauta kolmea pistettä, jotka näkyvät profiilikuvasi alla.
2. Valitse “Aloita salainen keskustelu”.

Instagramissa päästä päähän -salaus käynnistetään näin:

1. Napauta syötesivun oikean yläkulman nuolta.
2. Napauta oikean yläkulman kirjoituskuvaketta.
3. Napauta lukkokuvaketta kohdan “Päästä päähän -salaus” vierestä.
4. Valitse henkilöt, joiden kanssa haluat aloittaa E2EE-chatin tai käytä hakupalkkia ylhäältä heidän nimiensä etsimiseen.
5. Napauta “Luo keskustelu” näytön alaosasta.

Seuraa näitä askelia käyttääksesi päästä päähän -salausta Messengerissä:

1. Avaa keskustelut ja paina kirjoituskuvaketta oikeassa yläkulmassa.
2. Napauta lukkokuvaketta ottaaksesi päästä päähän -salaustilan käyttöön.
3. Valitse henkilöt, joiden kanssa haluat aloittaa E2EE-chatin tai käytä hakupalkkia ylhäältä heidän nimiensä etsimiseen.

E2EE:tä voidaan käyttää myös sähköpostiviestinnän tai tiedostojen jakamisen suojaamiseen, jolloin vain käyttäjillä on pääsy liikkeessä olevaan tietoon – ei internet-palveluntarjoajalla tai sähköpostipalvelulla.

Päästä päähän -salauksen hyödyt

E2EE voi parantaa verkkoviestintäsi turvallisuutta ja yksityisyyttä. Katsotaan, miltä kaikelta päästä päähän -salaus voi käyttäjiä tarkalleen ottaen suojata:

1. Luvattomat viestien sieppaukset. Päästä päähän -salausta käytettäessä vain lähettäjä ja vastaanottaja voivat purkaa lähetetyn tiedon salauksen. Vaikka viesti päätyisikin ulkopuolisille, sen lukeminen olisi salauksen vuoksi mahdotonta.
2. Tietovuodot. Vaikka vierailemasi verkkosivuston palvelimilta vuotaisi dataa tietovuodon vuoksi, hakkerit eivät pystyisi lukemaan E2EE-salauksen suojaamia tietoja. Tämä johtuu siitä, että internet-palveluntarjoajalla ei ole pääsyä salausavaimiin, joita tarvitaan salauksen purkamiseen.
3. Salakuuntelu. Koska salattu data ilman salausavaimia on silkkaa siansaksaa, päästä päähän -salaus voi suojata monenlaisilta tietojen sieppauksilta ja väliintulohyökkäyksiltä – varastettua salattua tietoa ei ole mahdollista lukea.

Päästä päähän -salauksen huonot puolet

Päästä päähän -salauksella, kuten muillakin verkkoyksityisyysvälineillä, on heikotkin kohtansa. Katso tästä E2EE-salauksen merkittävimmät huonot puolet:

• Menetetyt salatut tiedot. Jos käyttäjä kadottaa parin salausavaimia esimerkiksi hukkaamalla tai rikkomalla laitteen, joille ne on tallennettu, samalla katoaa pääsy salattuun tietoon.
• Mutkikas käyttöönotto. E2EE voi olla vaikea väline ottaa käyttöön, jos käyttäjän tarvitsee hallita salausavaimia tai muokata E2EE-salauksen asetukset manuaalisesti.
• Mahdollinen viive. Päästä päähän salatut viestit voivat liikkua hitaammin kuin salaamattomat viestit, sillä salaaminen ja salauksen purkaminen vievät aikansa.

E2EE ei ole myöskään tarjoa täydellistä turvaa kaikilta uhilta verkossa. Mitä vastaan päästä päähän -suojauksesta ei ole apua?

1. Päätepisteen haavoittuvuudet. Päästä päähän -salaus suojaa vain liikenteessä olevaa dataa. Kun viesti saavuttaa vastaanottajan, vastaanottajan laitteelle ujutetut haittaohjelmat tai hakkerit voivat kaapata tiedon, jonka salaus on jo purettu.
2. Metatiedon paljastuminen. E2EE salaa ainoastaan tiedot, jonka viesti sisältää, mutta se ei salaa metatietoja, jotka sisältävät muun muassa lähettäjän ja vastaanottajan IP-osoitteet. Paljastuneet metatiedot voivat auttaa hakkereita selvittämään käyttäjän käytösmalleja ja hyödyntämään niitä käyttäjää vastaan.
3. Verkkourkinta ja sosiaalinen manipulointi. E2EE ei auta suojaamaan käyttäjiä phishing-huijauksilta tai manipuloinnilta, joilla hakkerit tavoittelevat heidän yksityisiä tietojaan, kuten salasanoja, pankkitietoja, henkilötietoja tai jopa salausavaimia. Kun hakkerit saavat salausavaimet käsiinsä, E2EE on hyödytön.

Miten päästä päähän -salaus toteutetaan?

E2EE-salauksen toteuttaminen on melko monimutkaista, mutta sen voi tehdä itse, jos tuntee salauksen periaatteet ja hallitsee teknologian.

Useimmiten päästä päähän -salaus kuitenkin on jo integroitu virtuaalista viestintää käyttäviin sovelluksiin, joten käyttäjän tarvitsee vain varmistaa, että se on otettu käyttöön.