PGP-salaus on menetelmä säh­kö­pos­ti­vies­tien ja tie­dos­to­jen tur­val­li­seen sa­laa­mi­seen ja di­gi­taa­li­seen al­le­kir­joit­ta­mi­seen, joka perustuu epä­sym­met­ri­sen salauksen pe­ri­aat­tee­seen. Yri­tyk­sil­le, jotka viestivät pää­asias­sa säh­kö­pos­tit­se, tällainen menetelmä on erityisen tärkeä sen var­mis­ta­mi­sek­si, etteivät lu­vat­to­mat henkilöt pääse lukemaan säh­kö­pos­ti­vies­te­jä. Näytämme sinulle, kuinka voit salata säh­kö­pos­ti­vies­ti­si PGP:llä.

Mitä PGP-salaus on ja miten se toimii?

PGP-salaus on erin­omai­nen tapa suojata tietoja ja salata säh­kö­pos­ti­vies­te­jä. Phil Zim­mer­mann kehitti PGP:n (Pretty Good Privacy) alun perin vuonna 1991 säh­kö­pos­ti­vies­tien sa­laa­mi­seen tar­koi­te­tuk­si oh­jel­mis­tok­si. Vuosien mittaan PGP on va­kiin­tu­nut tämän sa­laus­me­ne­tel­män nimeksi.

PGP-salaus perustuu julkisen avaimen pro­to­kol­laan. Kyseessä on epä­sym­met­ri­sen salauksen muoto. Viestien sa­laa­mi­seen ja salauksen pur­ka­mi­seen käytetään avain­pa­ria (julkista ja yk­si­tyis­tä avainta). Julkinen avain on saa­ta­vil­la mah­dol­li­sil­le säh­kö­pos­ti­kon­tak­teil­le, ja se siir­re­tään suoraan tai ladataan ul­koi­sel­le avain­pal­ve­li­mel­le. Tämän avaimen avulla kon­tak­ti­si voivat salata sinulle lä­het­tä­män­sä säh­kö­pos­tit. Yk­si­tyi­nen avain on yk­si­no­maan sinun hal­lus­sa­si, ja sen avulla voit purkaa salauksen vas­taa­no­te­tuis­ta säh­kö­pos­teis­ta, jotka on aiemmin salattu jul­ki­sel­la PGP-avaimella. Jotta voit kom­mu­ni­koi­da tur­val­li­ses­ti tällä tavalla, myös vies­tin­tä­kump­pa­ni­si on käy­tet­tä­vä PGP:tä ja jaettava julkinen avaimensa sinulle.

Aiemmin PGP-salauksen käyt­töön­ot­to oli varsin mo­ni­mut­kais­ta. Tar­vit­ta­vat vaiheet estivät usein vähemmän tek­niik­kaan pe­reh­ty­nei­tä käyttäjiä hyö­dyn­tä­mäs­tä tällaista säh­kö­pos­ti­sa­laus­ta. Viime vuosina on kuitenkin kehitetty laa­jen­nuk­sia, jotka ovat tuoneet PGP-salauksen laajemman käyt­tä­jä­kun­nan ulot­tu­vil­le. Kaksi tällaista laa­jen­nus­ta ovat FlowCrypt ja Mail­ve­lo­pe. Monet va­kiin­tu­neet säh­kö­pos­ti­pal­ve­lun­tar­joa­jat ovat nyt ke­hit­tä­neet omia PGP-laa­jen­nuk­si­aan ja asen­nus­oh­jei­taan, jotka on in­tegroi­tu niiden omiin säh­kö­pos­ti­pal­ve­lui­hin.

Mihin PGP-salausta voidaan käyttää?

PGP:n kaltaiset epä­sym­met­ri­set sa­laus­me­ne­tel­mät eivät ole mitään uutta IT-alalla, ja niitä käy­te­tään­kin jo monilla eri aloilla. Alla on lueteltu alat, joilla PGP:tä käytetään ylei­sim­min.

  1. Luot­ta­muk­sel­lis­ten viestien salaus: Säh­kö­pos­tien ja muiden viestien salaus on yksi PGP:n tär­keim­mis­tä käyt­tö­ta­vois­ta.
  2. Tie­dos­to­jen ja tie­dos­to­jär­jes­tel­mien salaus: Viestien sa­laa­mi­sen lisäksi PGP:tä voidaan käyttää myös pai­kal­li­sil­le tal­len­nus­lait­teil­le tai pal­ve­li­mel­le tal­len­net­tu­jen tie­dos­to­jen sa­laa­mi­seen.
  3. Di­gi­taa­li­set al­le­kir­joi­tuk­set: PGP:tä käytetään usein myös viestin tai tiedoston aitouden tar­kis­ta­mi­seen. PGP-al­le­kir­joi­tuk­sen avulla voit selvittää, onko viesti todella peräisin sen lä­het­tä­jäl­tä. Lisäksi voit tarkistaa, onko viesti siepattu ja mah­dol­li­ses­ti muutettu lä­he­tys­mat­kan aikana. PGP-al­le­kir­joi­tuk­sia voidaan käyttää myös tie­dos­to­jen (esi­mer­kik­si ohjelmien) aitouden tar­kis­ta­mi­seen.

PGP-salauksen mää­rit­tä­mi­nen

Monissa säh­kö­pos­tioh­jel­mis­sa on nykyään mukana PGP-sa­laus­pa­ket­ti, johon sisältyy help­po­ta­jui­set asen­nus­oh­jeet. Jos säh­kö­pos­ti­pal­ve­lun­tar­joa­ja­si ei kui­ten­kaan ole toi­mit­ta­nut ohjeita PGP:n asen­nuk­seen, voit noudattaa alla olevia ohjeita. Seuraava PGP-opas on yleinen ohje PGP-salauksen asen­nuk­seen.

PGP-salaus oh­jel­mis­tol­la

Vaihe 1: Asenna oh­jel­mis­to

En­sin­nä­kin on etsittävä sopiva PGP-oh­jel­mis­to, jonka on oltava yh­teen­so­pi­va sekä käyt­tö­jär­jes­tel­män että käy­tet­tä­vän säh­kö­pos­tioh­jel­man kanssa. Linux-käyt­tä­jil­le sopiva valinta on vuonna 1997 julkaistu avoimen läh­de­koo­din ratkaisu GnuPG (GNU Privacy Guard). Oh­jel­mis­to on jo valmiiksi asen­net­tu­na moniin jär­jes­tel­miin ole­tuk­se­na; uusimman version voi ladata vi­ral­li­sil­ta verk­ko­si­vuil­ta.

Myös Windows- tai OS X -käyt­tö­jär­jes­tel­mien käyttäjät löytävät sieltä asen­nus­tie­dos­tot, joiden avulla he voivat asentaa GnuPG:hen pe­rus­tu­vat, käyt­tö­jär­jes­tel­mä­koh­tai­set Gpg4win- ja GPGTools-oh­jel­mis­tot.

Vaihe 2: Luo avainpari

Kun PGP-ohjelma on asennettu, avainpari voidaan luoda. Linuxissa avaa ko­men­to­ri­vi ja käytä ohjelman käyt­tö­op­paas­sa annettua avai­men­luon­ti­ko­men­toa. Tämä esimerkki koskee GnuPG:tä:

sudo gpg --gen-key
bash

Valitse sitten sa­laus­me­ne­tel­mä ja poiketa ole­tus­a­se­tuk­ses­ta (”RSA ja RSA”) vain, jos sinulla on tar­vit­ta­va taus­ta­tie­to. Syötä seu­raa­vak­si avaimen pituus bitteinä. Mitä suurempi arvo, sitä tur­val­li­sem­pia avaimet ovat, mutta sitä hitaammin ne toimivat. RSA-avaimille suo­si­tel­laan yleensä vähintään 3 000 bitin pituutta vahvan suojan ta­kaa­mi­sek­si. Määritä tämän jälkeen avainten voi­mas­sao­loai­ka ja anna sitten nimesi ja säh­kö­pos­tio­soit­tee­si, joille avainpari tulee voimassa. Määritä lopuksi tur­val­li­nen salasana yk­si­tyi­sel­le avai­mel­le­si. Tarvitset tätä myöhemmin säh­köis­ten viestiesi sa­laa­mi­seen tai salauksen pur­ka­mi­seen.

Win­dow­sis­sa ja Mac OS X:ssä avaimen luominen käyn­nis­te­tään graa­fis­ten ohjelmien avulla. Käy­te­tys­tä PGP-oh­jel­mis­tos­ta ja alustasta riip­pu­mat­ta käyttäjää pyydetään usein tukemaan avaimen luomista sa­tun­nai­sil­la näp­päin­pai­nal­luk­sil­la tai hiiren liik­keil­lä.

Vaihe 3: Jaa julkinen avain yh­teys­hen­ki­löil­le­si

Voit hallita luotuja avaimia Linuxissa joko ko­men­to­ri­vil­tä tai Seahorse-so­vel­luk­sel­la (Gnome/Unity) tai KGpg-graa­fi­sel­la käyt­tö­liit­ty­mäl­lä (KDE). GnuPG:n yk­si­tyi­sen avaimen ko­men­to­ri­vi­ko­men­to on:

sudo gpg --list-secret-keys
sudo -K
bash

ja julkisen avaimen osalta:

sudo gpg --list-keys
sudo -K
bash

Sen lisäksi, että voit tar­kas­tel­la avainten luetteloa, voit myös viedä ne suoraan. Luotu .asc-tiedosto voidaan lähettää lii­te­tie­dos­to­na yh­teys­hen­ki­löil­le­si säh­kö­pos­tit­se tai ladata var­men­ne­pal­ve­li­mel­le. Jos yh­teys­hen­ki­lö on vas­taa­not­ta­nut julkisen avaimesi ja hänellä on avain­hal­lin­taoh­jel­ma, hän voi lähettää sinulle salattuja viestejä. Jos haluat lähettää salattuja säh­kö­pos­te­ja samalle yh­teys­hen­ki­löl­le, tarvitset hänen julkisen avaimensa.

PGP-salaus verkossa

Sen sijaan, että käyt­täi­sit omalle tie­to­ko­neel­le­si asen­net­ta­via ohjelmia, voit myös käyttää verk­ko­poh­jai­sia PGP-työkaluja avain­pa­rien luomiseen, säh­kö­pos­ti­vies­tien sa­laa­mi­seen tai vas­taa­no­tet­tu­jen viestien salauksen pur­ka­mi­seen. Seu­raa­vak­si tar­kas­te­lem­me PGP Key Generator-verk­ko­pal­ve­lua.

PGP Key Generator on Ja­vaSc­ript-ohjelma, jolla voi luoda avain­pa­re­ja ja jota voi käyttää useim­mis­sa se­lai­mis­sa. Voit käyttää tätä avoimen läh­de­koo­din palvelua il­mai­sek­si ilman re­kis­te­röi­ty­mis­tä.

Syötä ensin avaimille tar­vit­ta­vat tiedot Asetukset-lo­mak­kee­seen. Napsauta sitten Luo avaimet -pai­ni­ket­ta käyn­nis­tääk­se­si avainten luomisen. Kun prosessi on valmis, voit tar­kas­tel­la julkista avainta ja omaa yk­si­tyis­tä avainta.

Kuva: Screenshot of the PGP Key Generator
PGP Key Generator; Source: https://pgpkeygen.com/

Koska tämä verk­ko­pal­ve­lu on avoimen läh­de­koo­din tuote, asian­tun­ti­jat voivat tar­kas­tel­la sen läh­de­koo­dia milloin tahansa. Tämä tar­koit­taa, että he voivat jat­ku­vas­ti arvioida, kuinka tur­val­li­nen ja luo­tet­ta­va ge­ne­raat­to­ri on. Koska kyseessä on kuitenkin Ja­vaSc­ript-sovellus, myös ky­ber­ri­kol­li­suu­teen liittyy riskejä. Jos ri­kol­li­set on­nis­tu­vat löytämään verk­ko­pal­ve­lun tie­to­tur­va-aukkoja, näitä aukkoja voidaan hyödyntää jär­jes­tel­män­ne hyök­käyk­seen ja ar­ka­luon­tois­ten tietojen hank­ki­mi­seen.

PGP-salaus säh­kö­pos­tioh­jel­mil­le

Jos käytät mie­luum­min verk­ko­poh­jai­sia säh­kö­pos­ti­pal­ve­lui­ta, kuten Gmailia, Yahooa tai Outlook.comia, Mail­ve­lo­pe-se­lain­laa­jen­nus on juuri sinulle sopiva. Lisäosa perustuu OpenPGP.js:ään ja on saa­ta­vil­la Google Chromelle, Microsoft Edgelle ja Mozilla Fi­re­foxil­le. Kun olet asentanut laa­jen­nuk­sen, Mail­ve­lo­pe-kuvake ilmestyy selaimesi työ­ka­lu­ri­vil­le, josta pääset käyt­tö­liit­ty­mään. Täällä voit luoda, tuoda ja hallita avaimiasi sekä yh­teys­tie­si julkisia avaimia tai ladata luomasi julkiset avaimet julkisen avaimen pal­ve­li­mel­le.

Kuva: Screenshot of the Mailvelope extension in Firefox
Sc­reens­hot of the Mail­ve­lo­pe extension, Source: Mail­ve­lo­pe extension for Firefox.

Jos Mail­ve­lo­pe on asennettu ja käytät verk­ko­pos­ti­laa­tik­koa­si se­lai­mel­la, laajennus etsii siitä PGP-viestejä. Näin se voi näyttää tar­vit­ta­vat toiminnot säh­kö­pos­tin sa­laa­mi­seen tai salauksen pur­ka­mi­seen. Ase­tuk­sis­sa voit ottaa PGP-salauksen käyttöön tai poistaa sen käytöstä Gmailissa, Out­loo­kis­sa ja muissa pal­ve­luis­sa.

PGP-salaus mo­bii­li­lait­teis­sa

Jotta voit käyttää PGP-salausta iOS- ja Android-lait­teil­la, tarvitset säh­kö­pos­tioh­jel­man, joka tukee avain­hal­lin­taoh­jel­mis­toa ja PGP-salausta. Olemme valinneet sekä iOS:lle että Androi­dil­le avain­hal­lin­ta­so­vel­luk­sen, jonka avulla voit tallentaa ja hallita yh­teys­hen­ki­löi­de­si PGP-avaimia.

iOS – Helppo PGP

Easy PGP on käyt­tä­jäys­tä­väl­li­nen ja tur­val­li­nen iOS-sovellus, joka tuo PGP-salauksen te­hok­kuu­den mo­bii­li­lait­tee­see­si. EasyPGP:n avulla voit luoda, tuoda ja viedä PGP-avain­pa­re­ja vies­tin­tä­si suo­jaa­mi­sek­si. Sovellus suorittaa kaikki toiminnot pai­kal­li­ses­ti lait­teel­la­si, mikä varmistaa, että tietosi eivät koskaan poistu pu­he­li­mes­ta­si, ja takaa parhaan mah­dol­li­sen yk­si­tyi­syy­den. Moderni ja in­tui­tii­vi­nen käyt­tö­liit­ty­mä tekee PGP-sa­lauk­ses­ta helposti kaikkien saa­ta­vil­la olevan. Tär­keim­piä omi­nai­suuk­sia ovat uusien PGP-avain­pa­rien helppo luominen ja muo­kat­ta­vat sa­laus­a­se­tuk­set.

Kuva: Screenshot of the Easy PGP user interface on iOS
Sc­reens­hot of the Easy PGP user interface on iOS, Source: Easy PGP App under iOS

Android – Open­Keyc­hain: Helppo PGP

Android-käyt­tä­jil­le on saa­ta­vil­la sovellus ”Open­Keyc­hain: Easy PGP”, joka on myös avoimen läh­de­koo­din sovellus ja perustuu OpenPGP-stan­dar­diin.

So­vel­luk­sen asen­ta­mi­sen jälkeen voit tar­kas­tel­la, tuoda ja hallita yk­si­tyi­siä ja julkisia avaimiasi kohdassa ”Avaimet”. Kohdassa ”Salaus/Salauksen purku” voit salata tai purkaa viestejä ja tie­dos­to­ja näillä avaimilla.

Kuva: Screenshot of the Android app Easy PGP
Open­Keyc­hain: Easy PGP user interface; Source: Ma­nu­fac­tu­rer image in the Google Play Store

Salattu sisältö vs. salatut yhteydet

Monet käyttäjät luulevat, että he jo vaihtavat salattuja säh­kö­pos­te­ja yh­teys­hen­ki­löi­den­sä kanssa SSL- tai TLS-var­men­tei­den avulla. Se on kuitenkin vain puoli totuutta. SSL/TLS-var­men­tei­den käyttö nimittäin salaa säh­kö­pos­ti­vies­tien siir­to­rei­tin vain pos­ti­pal­ve­lin­ten välillä. Hait­ta­puo­le­na on, että kolmannet osapuolet voivat siepata viestit ja lukea ne sel­vä­kie­li­se­nä niiden lä­he­tys­vai­hees­sa pal­ve­li­mel­le.

Lisäksi, toisin kuin PGP, SSL/TLS ei al­le­kir­joi­ta säh­kö­pos­ti­vies­tiä eikä siten takaa sen aitoutta. Toisaalta SSL/TLS-var­men­teet mah­dol­lis­ta­vat sel­lais­ten säh­kö­pos­tin osien salauksen, jotka jäävät PGP:n avulla sa­laa­mat­ta, kuten lä­het­tä­jää, vas­taa­not­ta­jaa tai aihetta koskevat tiedot.

PGP-salauksen ja SSL/TLS-salauksen yh­dis­tel­mä on siis käy­tän­nös­sä paras ratkaisu säh­kö­pos­ti­vies­tien sisällön suo­jaa­mi­seen. Li­sä­tie­to­ja salatusta tie­don­siir­ros­ta löydät ar­tik­ke­lis­tam­me”Säh­kö­pos­tin sa­laa­mi­nen SSL/TLS:llä”.

Siirry pää­va­lik­koon