Ajantasaisten kryptografisten menetelmien käytön merkityksestä
Eloniemi, Axel (2025)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202504096058
https://urn.fi/URN:NBN:fi:amk-202504096058
Tiivistelmä
Työn toimeksiantajana toimi Centria-ammattikorkeakoulu. Kyseessä on toiminnallinen opinnäytetyö, jossa tutkittiin käytännönläheisesti tilannetta, jossa yksittäinen hyökkääjä rajoitetuin resurssein on saanut käyttäjätunnuksia ja salasanoja sisältävän tietokannan haltuunsa. Näistä salasanat olivat työssä suojattava tieto. Työssä tutkittiin kolmea erilaista suojaustasoa, joiden suoma suoja perustui erilaisten kryptografisten algoritmien käyttöön. Tutkittiin, miten suojaustasolta seuraavalle siirtyminen vaikutti onnistuneen brute force -hyökkäyksen toteuttamiseen tarvittavaan aikaan, ja toisaalta pyrittiin muodostamaan arvio “riittävästä suojaustasosta”, eli käytännössä selvittämään, millainen kryptografisin menetelmin toteutettava suojaus aiheuttaisi sen, että hyökkääjän näkökulmasta hyökkäystä ei ole enää mielekästä toteuttaa, sillä siihen kuluva aika on liian pitkä.
Pohjan opinnäytetyön tietoperustalle muodostivat oleellisimmilta osin alan kirjallisuus sekä erilaiset artikkelit. Tietoperustassa pyrittiin ensin luomaan hyvä yleiskuva työssä käsiteltävistä aiheista, jonka jälkeen siirryttiin juuri tässä työssä käytettävien menetelmien yksityiskohtaisempaan tarkasteluun. Työn varsin rajatun pituuden vuoksi ei kuitenkaan pyritty perusteelliseen selvitykseen menetelmien perimmäisestä toiminnasta tai niiden käytännön toteutuksesta.
Työn toiminnallisessa osuudessa käytettiin erästä tietoturvatestaukseen tarkoitettua työkalua kahden ensimmäisen demonstraation toteutuksessa. Viimeinen demonstraatio oli enimmäkseen teoreettista tarkastelua, ja siinä arvioiden pohjana käytettiin itse kirjoitetun koodin avulla saatua dataa.
Saatujen tulosten perusteella todettiin, että työssä tutkitun MD5-algoritmin käyttö ei sovellu lyhyiden salasanojen suojaukseen, mutta se voisi antaa teoriassa kohtuullisen suojan pidempiä salasanoja käytettäessä, jos pyritään suojautumaan ainoastaan brute force -hyökkäyksiltä. Tosiasiassa tulee kuitenkin ottaa huomioon myös muut mahdolliset hyökkäystyypit sekä se, ettei MD5-algoritmin käyttöä enää suositella, joten päädyttiin johtopäätökseen, ettei kyseistä algoritmia tule käyttää, jos sen käytön voi välttää. Työssä tutkittujen, Argon2id- ja Advanced Encryption Standard -algoritmien käytön sen sijaan todettiin antavan erittäin hyvän suojan myös lyhyitä salasanoja suojattaessa, ja niinpä niiden käytön todettiin olevan suositeltavaa MD5-algoritmin käytön sijaan.
Pohjan opinnäytetyön tietoperustalle muodostivat oleellisimmilta osin alan kirjallisuus sekä erilaiset artikkelit. Tietoperustassa pyrittiin ensin luomaan hyvä yleiskuva työssä käsiteltävistä aiheista, jonka jälkeen siirryttiin juuri tässä työssä käytettävien menetelmien yksityiskohtaisempaan tarkasteluun. Työn varsin rajatun pituuden vuoksi ei kuitenkaan pyritty perusteelliseen selvitykseen menetelmien perimmäisestä toiminnasta tai niiden käytännön toteutuksesta.
Työn toiminnallisessa osuudessa käytettiin erästä tietoturvatestaukseen tarkoitettua työkalua kahden ensimmäisen demonstraation toteutuksessa. Viimeinen demonstraatio oli enimmäkseen teoreettista tarkastelua, ja siinä arvioiden pohjana käytettiin itse kirjoitetun koodin avulla saatua dataa.
Saatujen tulosten perusteella todettiin, että työssä tutkitun MD5-algoritmin käyttö ei sovellu lyhyiden salasanojen suojaukseen, mutta se voisi antaa teoriassa kohtuullisen suojan pidempiä salasanoja käytettäessä, jos pyritään suojautumaan ainoastaan brute force -hyökkäyksiltä. Tosiasiassa tulee kuitenkin ottaa huomioon myös muut mahdolliset hyökkäystyypit sekä se, ettei MD5-algoritmin käyttöä enää suositella, joten päädyttiin johtopäätökseen, ettei kyseistä algoritmia tule käyttää, jos sen käytön voi välttää. Työssä tutkittujen, Argon2id- ja Advanced Encryption Standard -algoritmien käytön sen sijaan todettiin antavan erittäin hyvän suojan myös lyhyitä salasanoja suojattaessa, ja niinpä niiden käytön todettiin olevan suositeltavaa MD5-algoritmin käytön sijaan.