Puolustusvoimien ja poliisin käyttämän Virve-verkon salaus julkaistaan kenen tahansa tutkittavaksi
Suomen viranomaisten käyttämä Virve-verkko pohjautuu maailmanlaajuisesti käytössä olevaan TETRA-radioverkkoteknologiaan. TETRAsta paljastettiin elokuussa 2023 viisi erittäin vakavaa haavoittuvuutta, joiden arvioidaan vaarantaneen verkon tietoturvaa koko sen käyttöiän ajan.
Suomi oli maailman ensimmäinen maa, jossa TETRA-pohjainen viranomaisverkko otettiin käyttöön, vuonna 2002. Verkkoa käyttävät tietoturvalliseen viestintään mm. poliisi ja Puolustusvoimat. Suomessa verkkoa hallinnoiva Suomen Erillisverkot vakuutti kuitenkin kesällä tiedotteessaan, että Suomessa tietoturva ei ole vaarantunut.
TETRA-verkon suurin ongelmallisuus on ollut se, että sen käyttämää salausta ei ole koskaan julkistettu, vaan sen tietoturvaa on rakennettu ns. "tietoturvaa tietoja pimittämällä" -periaatteella. Eli TETRAa kehittävät tahot ovat luottaneet siihen, että järjestelmän tietoturva on kunnossa - ja että jos siinä onkin aukkoja, niistä ei kukaan tiedä, koska salauksen algoritmit eivät ole julkisesti tiedossa. Eli yksikään tietoturva-alan ammattilainen ei voi puolueettomasti testata salauksen vahvuutta. Hollantilainen tutkijaryhmä onnistui kuitenkin löytämään TETRAsta viisi haavoittuvuutta, joiden jälkimainingeissa alkoi valtava kohu. Tapausta kutsutaan tietoturva-alalla TETRA:BURST -nimellä.
Nyt TETRAa hallinnoiva European Telecommunications Standards Institute (ETSI) on päättänyt julkistaa kaikki TETRAn käyttämät salauskerrokset julkisesti saatavana (public domain, ei siis avoin lähdekoodi). Julkaistavien algoritmien piiriin kuuluvat alkuperäiset TETRAn salaustasot (1-4) sekä uudet, ns. salausmaailmanloppua varten kehitetyt, kvanttilaskennan kestävät uudet salausalgoritmit.
Kun salausteknologiat avataan, pääsevät tietoturva-asiantuntijat ja tutkijat testaamaan salausten vahvuutta käytännössä ja laillisin keinoin. Näin voidaan taata se, että salaustekniikoista ei löydy enää uusia yllätyksiä, jotka voisivat vaarantaa viranomaisviestinnän tietoturvaa.
TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT