Selge tekst (cleartext) – määratlus, turvariskid ja erinevus lihttekstiga

Telekommunikatsioonis on selge tekst sõnumi või andmete vorm, mis on inimesele ilma täiendava töötlemiseta koheselt arusaadav. Eelkõige tähendab see, et see sõnum saadetakse või salvestatakse ilma krüptograafilise kaitseta. Väljendid "in clear", "en clair" ja "in the clear" on samad.

See on lähedane, kuid mitte täielikult sama, mis mõiste "lihtkirju". Formaalselt on lihttekst teave, mis sisestatakse kodeerimisprotsessi, samas kui salatekst on see, mis selle protsessi tulemusena saadakse. Lihttekst võidakse enne salatekstiks muundamist kokku suruda, kodeerida või muul viisil muuta, nii et üsna sageli leidub lihtteksti, mis ei ole selge tekst.

Ebaturvalist HTTP-d kasutavate veebisaitide puhul kasutatakse selge tekst, kusjuures kõik esitatud andmed (sealhulgas kasutajanimed ja paroolid) saadetakse kasutaja arvutist interneti kaudu selge tekstiga. Igaüks, kellel on juurdepääs andmete edastamiseks kasutatavale andmekandjale (ruuterid, arvutid, telekommunikatsiooniseadmed, traadita ülekanded jne), võib lugeda salasõna, kasutajanime ja kõike muud veebisaidile saadetud teavet.

Selge teksti näited ja selgitus

Selge tekst võib esineda mitmel kujul: lihttekstidokumendid (.txt), e-kirjade sisu, veebivormide edastus ilma TLS-ita, FTP- või Telnet-sessioonid ning mitmed vanemad võrguprotokollid (näiteks SNMP v1). Kui andmed on selge tekstina edastatud või salvestatud, siis pole nende lugemiseks vaja krüptograafilist võtit ega erilist tarkvara – piisab tavalistest tööriistadest.

Turvariskid

• Pealtkuulamine (eavesdropping): ründaja, kellel on ligipääs võrguühendusele või seadmetele, võib hõlpsasti lugeda selges tekstis liiguvat teavet (nt kasutajanimed, paroolid, isikuandmed).
• Man-in-the-middle (MITM): ründaja võib sekkuda sidekanalisse, muuta või kaaperdada sõnumeid ning esineda osapoolena, kui side ei ole krüpteeritud ja autentitud.
• Istungi ülevõtmine ja reprodutseerimine: kuna autenditud andmed (nt sessiooni identifikaatorid) võivad olla selges tekstis, võimaldab see ründajal kasutaja seanssi üle võtta või sessiooni uuesti esitada.
• Andmete lekkimine: selges tekstis salvestatud paroolid ja tundlikud andmed ohustavad kasutajaid ja organisatsiooni, kui salvestuskohad kompromiteeruvad.
• Õiguslikud ja regulatiivsed tagajärjed: isikuandmete või finantsteabe edastamine ja säilitamine selges tekstis võib rikkuda privaatsusnõudeid (nt GDPR) ja põhjustada sanktsioone.

Erinevus lihttekstiga (lihtkirju) ja krüptograafia roll

Kõnekeeles räägitakse tihti “lihttekstist” ja “selgest tekstist” sünonüümidena, kuid täpselt vaadates on need erinevad mõisted: lihttekst on andmete algne vorm enne krüpteerimist, samas kui salatekst on pärast krüpteerimist saadud andmevahemik. Ka siis, kui lihttekst on teisendatud (nt kokku surutud või kodeeritud), ei pruugi tulemus olla inimesele kohe loetav – seega kõik lihttekstid pole automaatselt selge tekst. Krüptograafia eesmärk on muuta lihttekst selliseks salatekstiks, mida ilma sobiva võtmeta ei saa mõista.

Kuidas kaitsta selges tekstis liiguvat või salvestatud teavet

• Kasuta krüpteeritud ühendusi: veebilehtedel kasuta HTTPS/TLS; e-kirjade edastamisel otsi algtasandil turvalisi protokolle (IMAPS/SMTPS/POP3S) ja lõpetuseks võimalusel lõpp-punktide krüpteerimist (end-to-end).
• Krüpteeri andmed puhkel: tundlikud andmed salvestada krüptitud kujul (näiteks andmebaasi või failide krüpteerimine).
• Tugev autentimine: ära tugine üksnes paroolidele — lisa mitmeastmeline autentimine (MFA) ja säilita paroolid turvaliselt (soovitavalt ainult räsitud ja soolatud kujul).
• Turvalised protokollid: asenda vanad, mitteturvalised protokollid (Telnet, FTP, SNMP v1) uute või turvaliste alternatiividega (SSH, SFTP, SNMP v3).
• Võrgukaitse: kasuta võrgutasemel krüpteerimist (VPN) avalikes või ebaturvalistes võrkudes; rakenda võrgu segmenteerimist ja ligipääsukontrolli.
• Turvapõhimõtted arendajatele: ära saada tundlikku infot URL-is, logi andmeid turvaliselt (anoneeri või peida tundlikud väljad) ja klassifitseeri andmeid, et teada, mis peab olema krüpteeritud.
• Turvaseaded brauseri ja serveri tasemel: kasuta HSTS-i, turvalisi küpsiste atribuute (Secure, HttpOnly, SameSite) ning uuenda TLS-konfiguratsiooni ja krüptograafilisi raamistikke.

Kuidas tuvastada ja kontrollida selget teksti

Võrguliikluse analüüs (näiteks paki-kogumine) võib paljastada selge tekstina edastatud andmed. Testides arenduskeskkondi ja tootmist, kontrolli, kas andmed liiguvad üle krüpteeritud kanalite, vaata HTTP→HTTPS ümbersuunamisi, kontrolli TLS-sertifikaate ja konfiguratsiooni ning otsi rakenduse logidest võimalikku tundliku info lekkimist. Regulaarne turvaaudit ja pen-test aitavad avastada selget teksti kasutavaid kohti.

Soovitused kasutajale ja organisatsioonile

• Kasutajana: eelistage HTTPS-ga veebilehti, ärge logige sisse avalikus WiFi-s ilma VPN-ita ja lubage kaheastmeline autentimine, kus võimalik.
• Organisatsioonina: kujundage andmete kaitse poliitika, krüpteerige tundlikud andmed, koolitage töötajaid privaatsuse ja turvapraktikate osas ning pidage tarkvara ja sertifikaate ajakohasena.

Kokkuvõte

Selge tekst tähendab andmeid, mida saab ilma täiendava krüpteerimise või dešifreerimiseta lugeda. See on mugav, kuid turvariskidega — eriti kui tegu on tundlike isiku- või autentimisteabega. Parim tava on vältida selge teksti kasutamist tundlike andmete edastamisel ja salvestamisel, rakendada kaasaegseid krüptograafilisi lahendusi ning järgida turvapõhimõtteid nii tehniliselt kui protseduuriliselt.

Küsimused ja vastused

K: Mis on selge tekst?

K: Mida tähendab mõiste "in clear"?

K: Kuidas erineb selge tekst selge tekstist?

K: Kas lihttekst võib erineda selge tekstist?

K: Millist tüüpi sidepidamisviis saadab andmeid selge tekstina?

K: Millist tüüpi andmed on tundlikud, kui neid edastatakse selge tekstiga?

K: Milline on oht, kui tundliku teabe edastamiseks kasutatakse selge tekstiga teavet?

Otsing