”Otimme Internet-säätiön tavoitteeksi kehittää turvallisempi verkkotunnusjärjestelmä, joka pystyisi pysäyttämään manipulaatiot kryptografisten avainten avulla. Pystyimme järjestelmällisen työn jälkeen v. 2005 tarjoamaan ensimmäisinä maailmassa DNS:ssä verkkotunnusten allekirjoituksen, joka tunnetaan myös nimillä SecureDNS tai DNSSEC”, Anne-Marie kertoo.
Seuraavana askeleena oli saada Internetin ns. juuritasosta globaalisti vastaava ICANN vakuuttuneeksi DNSSEC-allekirjoituksen tarpeellisuudesta. USA:n kauppaministeriö oli v. 1998 perustanut ICANNin (Internet Corporation for Assigned Names and Numbers), ja järjestö oli pitkään kiistanalainen Yhdysvaltain kytköksensä vuoksi.
”Koko Internet-yhteisön kannalta on keskeistä, että kaikki voivat luottaa siihen, etteivät kansalliset ja poliittiset seikat vaikuta niiden omaan juuritasoon. Internethän oli alusta lähtien amerikkalainen luomus, ja ICANNin toimisto oli Kaliforniassa”, Anne-Marie sanoo.
Lokakuussa 2016 Yhdysvallat irrotti lopulta otteensa ja ICANN sai juridisen aseman vapaana ei-kaupallisena järjestönä ns. multistake-holder -mallin mukaan. Donald Trump valittiin pian sen jälkeen presidentiksi. ”Olisikohan Trump America first -politiikallaan hyväksynyt ICANNin itsenäistä asemaa”, Anne-Marie kysyy.
DNSSEC:ssä Anne-Marie pääsi kollegoineen tavoitteeseen kuusi vuotta aiemmin, 2010, kun ICANN päätti alkaa käyttää juuritason salausprotokollaa. Sen seurauksena Anne-Marie nimettiin kryptovirkailijaksi, yhdeksi 14:stä koko maailmassa, joiden tehtävänä on tiukasti toteutetuissa ”avainseremonioissa” päivittää juuritason DNSSEC-avaimet.
Kryptovirkailijoiden on vaatimuslistan mukaan oltava tunnettuja ja rehellisiä, avomielisiä, hyvämaineisia ja erittäin luotettavia.
”Internet on pohjimmiltaan ruohonjuuritason liike, ja kryptovirkailijat edustavat Internetin käyttäjiä. He takaavat, että avainten luomisprosessi tehdään oikein”, selittää Anne-Marie, joka on avaimenhaltijoiden joukossa ainut nainen.
Juuritason allekirjoitus v. 2010 vauhditti DNSSEC:n leviämistä. Koska juuritaso on DNS-hierarkian huipulla, salaus on helppo sisällyttää sen alapuolisiin verkkotunnuksiin. Kun ICANN v. 2013 hyväksyi suuren joukon uusia lopputunnuksia, DNSSEC-allekirjoitus oli pakollisena vaatimuksena.
Internetin juurijärjestelmän avaimet kiehtovat ihmisiä. Esimerkkinä siitä jokunen vuosi sitten julkaistiin jännityskirja, Åsa Schwarzin De sju nycklarna, jossa pahat voimat tekevät kaikkensa tappaakseen päähenkilön, Rebeckan (esikuvana Anne-Marie) ja kuusi muuta avaintenhaltijaa.
Miten jännittävä avainseremonia oikeasti on? Anne-Marie nauraa makeasti.
”Seremoniat ovat pitkällisiä tilaisuuksia, joissa noudatetaan äärettömän yksityiskohtaista kaavaa. Se striimataan Internetiin, mutta en usko, että monikaan jaksaa seurata lähetystä haukottelematta loppuun”, hän sanoo.
Seremonia tapahtuu neljästi vuodessa, kahdesti Amerikan itärannikon datakeskuksessa, kahdesti länsirannikon datakeskuksessa. Kumpaankin paikkaan on valittu 7 kryptovirkailijaa, joista
vähintään kolmen on oltava paikalla. Tarkoituksena on näissä tilaisuuksissa luoda uudet avaimet juuritason allekirjoitukseen DNSSEC:llä.
Anne-Marie kuuluu kryptovirkailijoiden ”itäryhmään”, joten hän matkustaa kahdesti vuodessa Culpeperin pikkukaupunkiin tunnin ajomatkan päähän Washington DC:stä. Siellä on Terramarkin tiukasti vartioitu datakeskus ja turvalokero, johon Anne-Marien avain sopii, monikerroksisen fyysisen suojauksen sisällä. ICANN-henkilökunnan on päästäkseen sisään läpäistävä silmäskanneri, ja Anne-Mariella ja muilla kryptovirkailijoilla on koko ajan saattajat seuranaan.
Häkissä on kaksi kassakaappia, toisessa on erilaisia lokeroita, joissa kussakin on kaksi lukkoa. Anne-Marien avain sopii siis yhteen lokeroon, joka avautuu, jos ”seremoniamestari” käyttää samaan aikaan omaa avaintaan lokeron toisessa lukossa. Lokerossa on sinetöity muovitasku ja siinä ensimmäisessä seremoniassa luotu älykortti, jota tarvitaan allekirjoitukseen.
Salauskone – jota ohjaavassa tietokoneessa ei ole kiintolevyä, akkua tai verkkomahdollisuutta ja johon ajetaan käyttöjärjestelmä CD:ltä – luo verkkotunnusjärjestelmälle uudet digitaaliset avaimet. Sen jälkeen älykortti laitetaan uudessa sinetöidyssä muovitaskussa lokeroon säilytettäväksi seuraavaa salausseremoniaa varten.
Se tapahtuu Culperissä 16. toukokuuta ja halukkaat voivat siis seurata sitä reaaliajassa verkossa.
Onko Internet nyt siis turvallinen ja varma?
Ei, Anne-Marie vastaa, vain hiukan epävarmemmin.
”DNSSEC ei pysäytä kaikentyyppisiä petoksia. Toiminto on rakennettu estämään hyökkäyksiä, joissa manipuloidaan DNS-kysymysten vastauksia. Mutta Internetissä on muita turvallisuuspuutteita ja ongelmia, joita DNSSEC ei ratkaise, esim. ylikuormitushyökkäykset.”
Verkkourkinnassa, pfishingissä (sivut muistuttavat tai ovat identtisiä alkuperäisen kanssa) ja ns. pharming-tapauksissa (DNS-kyselyn ohjaaminen väärään tietokoneeseen) ja muissa vastaavissa DNS:ään kohdistuvissa hyökkäyksissä DNSSEC tarjoaa tietyn suojan. Mutta DNSSEC ei suojaa IP- tai verkkotason hyökkäyksiltä.
Anne-Marien rakkaus Internetiä kohtaan ei ole kadonnut, mutta hän haluaa samalla varoittaa vaaroista. Ja esineiden Internet, Internet of Things, tuo ongelmiin aivan uuden ulottuvuuden.
”Kaikki, minkä voi yhdistää Internetiin, on hämärien tyyppien ulottuvissa. Leivänpaahdin tai kahvinkeitin, jossa on suojaamaton verkkoyhteys, riittää, vie vain sekunteja ennen kuin ne ovat hyökkäyksen kohteena ja tarjoavat ehkä pääsyn kaikkeen muuhun, mitä verkossa on. Sama kuin veisi miinan kotiinsa.”
Hän tarjoaa esimerkiksi sydämentahdistimet ja riskit, jos ne kaapataan ja ohjelmoidaan uusiksi. Hiljattain yksi suurista valmistajista veti tästä syystä markkinoilta puoli miljoonaa laitetta.
Anne-Marie varoittaa myös sovelluksista, jotka eivät ole niin viattomia kuin miltä ne voivat vaikuttaa. Hän varoittaa myös terveyssovelluksista ja niiden keräämästä tiedosta.
”Kannattaa muistaa, että näiden verkkoon kytkettävien laitteiden valmistajat eivät kaikki ehkä ymmärrä ongelmaa tai edes pidä sitä heidän ratkaistavanaan asiana. Usein muut tekijät ohjaavat toimintaa, esim. time to market, tavarat on yksinkertaisesti kiire saada myyntiin.”
”Ihmiset haluavat ansaita rahaa, ei se sen kummempaa ole”, Anne-Marie sanoo ja pitää riskiryhmänä myös yrittäjiä, jotka ajavat tulisieluisesti asiaansa, ”he näkevät vain valon”.
”Internet on muuttanut maailmaa tavalla, jota tulevaisuustutkijat tai edes science fiction -kirjailijat eivät ole ennakoineet. Mukana on seurannut uskomattoman paljon hyvää, mutta pahantahtoiset voimat saavat samalla jatkuvasti uusia työkaluja. Taistelu turvallisen Internetin puolesta ei lopu koskaan”, Anne-Marie Eklund Löwinder sanoo.
