Salaamalla turvallisuutta Inter-
net tiedonsiirtoon

Jussi Mki, TKK:n atk-keskus

Internetiss on alkuvuonna paljastunut vakava 
murtautumisyritys, jossa tunkeutujat ovat hankki-
neet kyttjtunnuksia ja salasanoja kuuntele-
malla verkkoliikennett. Tllaisten tapausten 
estmiseksi verkkoliikenne pitisi salata. Teknilli-
sen korkeakoulun atk-keskuksen suunnittelija 
Jussi Mki esitt seuraavassa ehdotuksen verkko-
turvallisuuden parantamiseksi kyttmll liiken-
teen salaamista.

Menetelm perustuu pieneen apuohjelmistopaket-
tiin (tcpsecure), jota voidaan kytt muuntamaan 
kahden turvallisen tietokoneen vlill epluotettavassa 
verkossa kulkeva liikenne salakieliseksi. 

Salakielist yhteytt voidaan kytt esimerkiksi, 
kun siirretn arvokasta tai yksityist tietoa kuten hen-
kilkohtaisia salasanoja tai palkkatietoja. Jrjestely 
tarvitaan , jos on syyt epill verkon luotettavuutta ja 
on mahdollista, ett ulkopuolinen tunkeilija voi kuun-
nella verkkoliikennett. Kun liikenne salataan, tunkei-
lija ei voi muuntaa saamaansa tietoa hydylliseen 
muotoon.

Tcpsecure-paketissa on kaksi unix tausta-ohjelmaa. 
Palvelin-taustaa suoritetaan kohdekoneessa eli siin, 
jossa tavallisesti suoritetaan mys kytettv sovel-
lusohjelmaa. Asiakas-taustaa suoritetaan paikallisessa 
koneessa eli siin, johon kyttjll on pteistunto.

Palvelin ja asiakas-ohjelmat kommunikoivat keske-
nn tcp/ip-yhteydell, miss tietopaketit salataan 
kyttmll vapaasti saatavilla olevaa DES CBC 
salausalgoritmia. CBC:t kyttmll sama avain tuot-
taa eri tietolohkoihin sovellettuna erilaisen salaustu-
loksen.

Salausavain voidaan valita seuraavilla tavoilla:

 Diffie-Hellman avainvaihtomenetelm (publickey)
 Muunnettu D-H, miss asiakkaan avain kerrotaan 
palvelimelle etukteen muilla tavoin (savedkey)
 kyttj antaa avaimen istunnon alussa (userkey)
 avain luodaan automaattisesti (internal)

Tss Diffie-Hellmanin menetelmss kytetn 
320 bitin mittaista alkulukua salaisen ja julkisen avai-
men kantalukuna. 

Kumpikin yhteyden osapuoli muodostaa satunnai-
sesti oman salaisen avaimen Sa ja Sb. Sen jlkeen las-
ketaan niist julkiset avaimet Pa ja Pb. Julkisia 
avaimia vaihdetaan siten, ett A:lla on tiedossaan Sa, 
Pa ja Pb ja B:ll tiedossaan Sb, Pa ja Pb.

Yhteinen salainen avain Kab lasketaan toisen osa-
puolen P:n sek oman S:n ja N:n avulla. Palvelin A luo 
satunnaisen istuntoavaimen Ks:n ja lhett sen salat-
tuna B:lle kyttmll Kab:sta muodostettua DES 
avainta.

Kab lasketaan seuraavalla algoritmilla:
	Pa = g ^ Sa mod N
	Pb = g ^ Sb mod N
	Kab = Pa ^ Sb mod N = Pb ^ Sa mod N, miss
	g on pieni alkuluku.
	N on iso alkuluku
	P on julkinen avain
	S on salainen avain
	Sa ja Sb ovat satunnaislukuja 1:n ja N-1:n vlilt.

															Apuohjelmat

Eric Youngin DES salausohjelmisto on 
ftp.funet.fi:ss pub/unix/security/crypt/libdes.tar.92-
10-13.Z

Henrik Johanssonin bignum ohjelmisto 
ftp.funet.fi:ss pub/sci/math/multiplePrecision/
simple-bignum.tar.Z

Konfigurointiesimerkki

Tcpsecure-ohjelmien konfigurointi ja automaattinen kynnistys saadaan aikaan 
seuraavilla toimenpiteill:

/etc/services tiedostoon listn seuraavat rivit

#tcpsecure based services

tcpsecure		2345/tcp	# tcpsecure programs default port

tcpsecured		2346/tcp	# tcpsecured programs default port

s_leka			2350/tcp	# tcpsecure to leka

vipunen 		2351/tcp	# tcpsecure to vipunen

Vastaava konfiguraatio tiedostossa /etc/inetd.conf voisi olla

# tcpsecure based services

s_leka \x11\x11stream tcp nowait daemon /alt/bin/tcpsecure tcpsecure -i -p 
s_leka leka.hut.fi

vipunen \x11stream tcp nowait daemon /alt/bintcpsecure tcpsecure -i -p 
vipunen vipunen.hut.fi

Palvelimen /etc/inetd.conf tiedostossa voisi olla seuraava rivi:

tcpsecured stream tcp nowait daemon /alt/bin/tcpsecured tcpsecured -i

Tcpsecuren yhteydess voidaan kytt seuraavia tiedostoja:

psynvalvonta

#<allow|deny> <host|net|addr|name><publickey|savedkey|userkey|internal>
#deny 	ALL 		# oletusarvo
allow 	130 		# avainlaji voidaan jtt pois, jolloin kaikki 
			# kelpaavat
allow	vipunen.hut.fi	publickey

vierasavaimen tallennus

#<ipaddr> 	<hostname> 	<updatetime> 	<foreign publickey>

130.233.224.22	 leka.hut.fi 	19940306-22:34:38	 2492F19F709A....

130.233.224.18 	veivi.hut.fi 	19940307-09:35:44 	4663FB24C73F.....



Tllin yhteys esimerkiksi vipuseen saadaan antamalla asiakaskoneessa komento:

telnet localhost vipunen



Listietoja:

Jussi Mki

Internet: jmaki@hut.fi

Phone: 90-451 4317 TKK tai

Phone: 90-457 2080 CSC

