Salattu viestintä sotilaskenttäkäyttöön

Sotilaskenttäviestinnällä on uhkamalli, johon kuluttajien viestisovelluksia ei ole suunniteltu. Kadonneen laitteen ei saa vaarantaa aiempia viestejä. Vaarantuneen palvelimen ei saa paljastaa viestisisältöjä. Verkon tarkkailijan ei saa pystyä selvittämään kuka viestii kenen kanssa. Operaatioiden on jatkuttava kun palvelin ei ole tavoitettavissa. Ja laitteen, joka joutuu vihollisen käsiin, ei saa paljastaa viestihistoriaansa tai kryptografisia avaimiaan.

Nämä vaatimukset — päästä päähän -salaus (E2EE), täydellinen eteenpäin-salaisuus (PFS), offline-toiminta, monilaitesynkronointi, etäpyyhintä ja peukalointikestävyys — määrittelevät sotilaskenttäviestinnän teknisen arkkitehtuurin. Sen ymmärtäminen, mitkä kryptografiset protokollat vastaavat näihin vaatimuksiin, ja miten ne vuorovaikuttavat kenttäkäyttöönoton operatiivisten rajoitteiden kanssa, on olennaista kenelle tahansa, joka rakentaa tai arvioi taktisia viestintäjärjestelmiä.

Perusvaatimukset: E2EE, PFS ja offline-toiminta

Päästä päähän -salaus tarkoittaa, että viestisisältö salataan lähettäjän laitteessa ja se voidaan purkaa vain vastaanottajan laitteessa. Viestejä välittävä palvelin — synkronointiinfrastruktuuri — pitää vain salatekstiä eikä pääse selkotekstiin. Tämä on perusvaatimus; mitään järjestelmää, joka ei voi taata E2EE:tä, ei pidä käyttää arkaluonteiseen sotilasviestintään.

Täydellinen eteenpäin-salaisuus tarkoittaa, että osallistujan pitkäaikaisen identiteettiavaimen vaarantuminen ei salli aiempien viestien salauksen purkamista. PFS saavutetaan käyttämällä kertakäyttöisiä istuntoavaimia — avaimia, jotka generoidaan uudelleen jokaiselle keskustelulle (tai jokaiselle viestille) ja hylätään käytön jälkeen. Jos vastustaja ottaa laitteen haltuun ja poimii pitkäaikaisen avaimen, he voivat esiintyä käyttäjänä jatkossa, mutta eivät pysty purkamaan jo hylättyillä kertakäyttöisillä avaimilla salattuja historiallisia viestejä.

Offline-toiminta tarkoittaa, että viestisovelluksen on toimittava, kun palvelin ei ole tavoitettavissa. Tämä vaatii viestijonon paikallisen tallennuksen, paikallisen kryptografisen avainmateriaalin ja synkronointimekanismin, joka toimittaa jonossa olevat viestit yhteyden palautuessa. Avainmateriaalin paikallinen tallennus tuo mukanaan laitteen takavarikointiongelman: jos laite otetaan haltuun, sillä oleva avainmateriaali voi sallia tallennettujen viestien salauksen purkamisen. Turvalliset laitteistoenklaavet (Android Keystore StrongBox-varmenteella, iOS Secure Enclave) lieventävät tätä tallentamalla avaimet peukalointikestävään laitteistoon, josta niitä ei voida poimia edes fyysisellä käytöllä.

Signal-protokolla: Double Ratchet sotilasanalyysiin

Signal-protokolla on laajimmin analysoitu ja käyttöönotettu E2EE-viestiprotokolla. Sen kaksi ydinkompponenttia ovat X3DH (Extended Triple Diffie-Hellman) istunnon muodostamiseen ja Double Ratchet jatkuvaan viestisalaukseen.

X3DH-avainvaihto antaa kahden osapuolen muodostaa jaetun salaisuuden käyttäen esiladattua avainmateriaalia — erityisesti jokainen käyttäjä julkaisee joukon allekirjoitettuja esijainoavaimia palvelimelle. Kun käyttäjä A haluaa aloittaa keskustelun käyttäjän B kanssa, A lataa yhden B:n esijainoavaimista ja suorittaa X3DH-laskennan offline-tilassa tarvitsematta B:n olevan online. Tämä ominaisuus — asynkroninen istunnon muodostaminen esiladatulla avainmateriaalilla — on erityisen arvokas sotilaskäytössä, jossa verkon saatavuus on ajoittainen.

Double Ratchet tarjoaa viestikohtaisen avainjohdatuksen, joka saavuttaa sekä PFS:n että murto-palautumisen (tunnetaan myös tulevaisuuden salaisuutena tai kompromissin jälkeisen turvallisuutena). "Double" viittaa kahteen samanaikaisesti toimivaan räikkään: Diffie-Hellman-räikká (joka etenee kun osapuolet vaihtavat uusia DH-julkisia avaimia) ja symmetrinen avainräikká (joka etenee jokaisen viestin kohdalla). Kummankin räikän jokainen edistys johtaa uuden viestiavaimen ja tekee edellisestä palaamattoman. Jos hyökkääjä saa viestiavaimen, he voivat purkaa kyseisen viestin salauksen mutta eivät tulevia viestejä kun räikka on edennyt.

Sotilaskäyttöönotoissa Signal-protokollan ominaisuudet vastaavat hyvin uhkamallia: PFS suojaa laitteen takavarikoinnilta, asynkroninen istunnon muodostaminen toimii ajoittaisessa yhteydessä, ja protokolla on läpikäynyt muodollisen kryptografisen analyysin ja laajan julkisen tarkastuksen. Rajoitus on, että viiteimplementointi on suunniteltu keskitetylle palvelinarkkitehtuurille pysyvine käyttäjätileinen — sen sovittaminen täysin hajautettuun tai palvelimettomaan toimintaan vaatii protokollatason muutoksia.

Matrix/Element: federoitu vs. Signal sotilaskäyttöönotoissa

Matrix on avoin federoitu viestintäprotokolla, joka tukee E2EE:tä (Megolm/Olm-protokollien kautta, jotka itse perustuvat Double Ratchetiin). Element on ensisijainen Matrix-asiakas. Kriittinen arkkitehtuuriero Signaliin verrattuna on federaatio: yksittäisen keskitetyn palvelimen sijaan Matrix sallii useita itsenäisesti toimivia kotipalvelimia, jotka kommunikoivat keskenään. Sotilaskäyttöönotoissa tämä tarkoittaa, että jokainen organisaatio voi ajaa omaa Matrix-kotipalvelintaan omassa infrastruktuurissaan ilman riippuvuutta ulkoisiin palveluihin.

Matrixin ryhmäviestisalaus (Megolm) käyttää eri avainrakennetta kuin Signalin ryhmäviestintä: parikohtaisten Double Ratchet -ketjujen sijaan jokaisen osallistujaparin välillä Megolm käyttää yhtä lähtevää räikkää lähettäjää ja huonetta kohden, jaettuna kaikkien huoneen jäsenten kanssa. Tämä on laskennallisesti paljon tehokkaampi suurille ryhmille (huone, jossa on 100 jäsentä Signal-tyylisellä parikohtaisella salauksella vaatisi 99 salausoperaatiota viestille; Megolm vaatii yhden). Kompromissi on heikommat turvallisuusominaisuudet: Megolm ei tarjoa murto-palautumista samalla tavalla kuin Double Ratchet.

Sotilastaktisessa viestinnässä — tyypillisesti pienissä ryhmissä (joukkue-komppaniataso) korkean turvallisuuden vaatimuksilla — Signal-protokollan vahvemmat viestikohtaiset turvallisuusominaisuudet ovat parempia. Suuremmissa koordinaatiokonteksteissa (pataljoonataso ja yli) Megolmin tehokkuusetu tulee operatiivisesti merkittäväksi.

Avainten hallinta katkaistuja operaatioita varten

Signal-protokollan X3DH esijainoavaimen mekanismi käsittelee tapauksen, jossa käyttäjä on tilapäisesti offline: heidän esijainoavaimensa ladataan palvelimelle etukäteen, ja keskusteluja voidaan aloittaa asynkronisesti. Mutta tämä arkkitehtuuri olettaa palvelimen saatavuuden esijainoavainten jakelulle. Täysin ilmaväli- tai katkaistuja operaatioissa — joissa palvelinta ei ole lainkaan — esijainoavainten jakelu on tapahduttava vaihtoehtoisen mekanismin kautta.

Vakiomalli esiladatulle avainmateriaalille katkaistuja operaatioissa on kaistanulkopuolinen avainjakelu: laiteadministraattori generoi ja jakaa avainpaketit (sisältäen X3DH-julkiset avaimet jokaiselle osallistujalle) ennen käyttöönottoa, luotettavan offline-kanavan kautta kuten turvallinen laitteenhallintajärjestelmä, USB kryptografisella varmennetulla siirrolla tai suora laite-laite-avainvaihto kun laitteet ovat fyysisesti samassa paikassa ennen operaatiota.

Laitteen turvallisuus: suojattu enklaavi ja etäpyyhintä

Android Keystoreen (StrongBox-varmennetun suojatun elementin tukemana) tai iOS Secure Enclaveen tallennettu avainmateriaali ei voi olla poistettavissa laitteesta edes hyökkääjältä fyysisellä käytöllä ja root-tason käyttöjärjestelmäkäytöllä. Avainoperaatiot (salaus, allekirjoitus) tapahtuvat suojatun elementin sisällä; avaintavuja ei koskaan päädy sovellustilaan. Tämä on laitteistopohja sekä peukalointikestävyydelle että etäpyyhinnälle: etäpyyhinkomento, toimitettu laitteen saadessa yhteyden, poistaa suojattuun elementtiin perustuvat avaimet, tehden kaikki tallennetut salatut viestit pysyvästi palaamattomiksi.

Etäpyyhinnan tehokkuus riippuu laitteen yhteyden palauttamisesta. Yhteydenottoa edeltävälle ajanjaksolle — laitteen takavarikoinnin ja pyyhintäkomennon toimittamisen väliselle ajalle — ainoa suoja on suojatun enklavin avainten poistamattomuus. Salatekstinä laitteen tiedostojärjestelmässä tallennettaville viesteille, joiden avaimet ovat suojatussa enklaavissa, tämä suoja on tehokas laitteistotason hyökkäyksiä vastaan. Se ei ole tehokas hyökkääjää vastaan, joka on ottanut haltuun jo käynnissä olevan, lukitsemattoman laitteen ennen pyyhintäkomennon saapumista.