28. elokuuta 2014

Sodan uhka pahenee, mutta Suomi nukkuu

Suomen ilmatilaa on loukattu jo kolme kertaa viikon sisällä Venäjän toimesta. Samaan aikaan Venäjän panssarivaunut vyöryvät Ukrainaan ja Venäjän erikoisjoukot ovat alkaneet mellastamaan itä-Ukrainassa entistä avoimemmin. NATO puolestaan harjoittelee parhaillaan Suomessa ja Suomen NATO-yhteistyötä ollaan tuntuvasti tiivistämässä ensi viikolla! Myös Suomen ja Ruotsin sotilaallista yhteistyötä ollaan tiivistämässä. Yhdysvallat on lisäksi sijoittamassa panssarivaunuja Baltian maihin ja Norjaan. Baltian maat ovat myös halukkaita julistamaan Venäjä-mieliset "kansantasavallat" terroristijärjestöiksi. YK:n turvallisuusneuvosto on kokoontunut hätäkokoukseen Ukrainen kriisin vuoksi. Ainiin ja Helsingissä on "häiriöitä televisiolähetyksissä", sattumalta tietenkin juuri nyt.

"Does it ring a bell?"


Entä mitä Suomen Puolustusvoimat tekee? Ei mitään. Mitä puolustusvoimien uusi komentaja tekee? Ei mitään. Mitä presidentti Niinistö tekee? Ei mitään. Mitä puolustusministeri tekee? Ei mitään. Mitä eduskunta tekee? Ei mitään. Mitä kansa tekee? Shoppailee "Putin-juustoja" ja juo kaljaa.

Maanpuolustusalueiden komentajilla (ja vast.) on mahdollisuus määrätä omalla käskyllään alueella reserviläisiä palvelukseen, sekä tehostaa muutoinkin valmiutta, täysin ilman ylempien esimiesten tai poliitikkojen lupaa tai hyväksyntää. Puolustusvoimien komentajalla on mahdollisuus määrätä reserviläisiä palvelukseen ja kohottaa valmiustilaa, ilman poliitikkojen lupaa tai hyväksyntää. Presidentillä on mahdollisuus määrätä valmiustilan kohottamisesta, reserviläisten palvelukseen kutsumisesta ja vaikka poikkeustilalain käyttöönotosta ilman eduskunnan, hallituksen tai Puolustusvoimien lupaa tai hyväksyntää. Puolustusministerillä on mahdollisuus määrätä reserviläisten palvelukseen kutsumisesta tai valmiuden kohottamisesta, ilman minkään tahon lupaa tai hyväksyntää. Eduskunnalla on mahdollisuus tehdä puolestaan ihan mitä se vain haluaa, vaikka määrätä puolustustilalain säädökset käyttöön tai lisämäärärahoja Puolustusvoimille mm. kalustohankintoihin ja valmiuden nostosta aiheutuneisiin kustannuksiin.

Mutta kukaan ei tee mitään. Mikään taho Suomessa ei tee mitään. Ei, vaikka mikä tahansa näistä tahoista ja henkilöistä voisi aivan itsekseen, ilman kenenkään toisen lupaa tai kenenkään toisen kiellosta huolimatta, määrätä puolustusvalmiutta kohotettavaksi. Mutta ei niin ei. Mitään ei tehdä. Ei yhtään mitään.

Aivan kuten Baltian maat vuonna 1939. On täysin kiistämätön historiallinen tosiasia, että mikäli Suomi ei olisi Mannerheimin nimenomaisesta painostuksesta ja määräyksistä johtuen kohottanut valmiuttaan huomattavasti vuonna 1939, olisimme olleet aivan samassa tilassa kuin Baltian maat olivat vuonna 1940 ja sen jälkeen. Vain kohotettu valmius, puolustukseen ryhmitetyt joukot ja sotatalouden alkuunpaneminen pelasti Suomen Neuvostoliiton miehitykseltä. Suomessakin oli vuonna 1939 paljon poliitikkoja ja sotilaitakin, joiden mielestä valmiutta ei pidä kohottaa, koska se "provosoi Neuvostoliittoa", mutta onneksi täällä moiset soraäänet saatiin nujerrettua...Baltian maissa valmiutta ei kohotettu, jotta "ei provosoitaisi Neuvostoliittoa" ja seuraukset olivat sen mukaiset. Miehitys. Suomi on nyt samalla tiellä kuin Baltian maat olivat vuonna 1939. Täällä ei ole mitään opittu historiasta.

Suomen olisi pitänyt jo välittömästi Krimin tapahtumien johdosta nostaa valmiustasoaan "tehostetusta valmiudesta" "korotetun valmiuden" tasolle, eli kutsua nopeasti palvelukseen saatavaa kriittistä henkilöstä palvelukseen maanpuolustuskyvyn kohottamiseksi ja puolustustahdon osoittamiseksi. Venäjän armeijan nyt vyöryessä itä-Ukrainaan ja ilmatilanloukkausten lisääntyessä on minusta selvää, että valmiustasoa tulisi välittömästi kohottaa "suojajoukkovalmiuteen" saakka. Samalla määrärahoja tulisi pikaisesti nostaa ja tehdä ylimääräinen budjettierä kriittisten kalustohankintojen (kertasingot, olkapääohjukset, ilmataisteluohjukset, jne.) pikaiseksi toteuttamiseksi. Suomessa on satojatuhansia työttömiä ja etenkin nuorisotyöttömyys tuntuu olevan suurenakin päänvaivana, joten reserviläisten kutsuminen palvelukseen tuskin aiheuttaa mitään muutosta yhteiskunnan normaaliin toimintaan.

Suomella on, toisin kuin monella muulla maalla, hyvin tehdyt suunnitelmat kohotettua valmiutta ja sotatilaa varten. Lainsäädäntö mahdollistaa myös joustavan valmiuden kohottamisen. Taloudellinen tilanne ei ole paras mahdollinen, mutta kun meillä kerran on varaa jakaa miljardikaupalla rahaa etelä-Euroopan paskamaille, kehitysapuun sekä "kulttuuriamme rikastuttavien moniosaajien" elättämiseen, on vaikeaa perustella, etteikö sitä olisi laittaa myös maanpuolustukseemme. Puolustustahto on korkealla. Maanpuolustuskyky ei ole paras mahdollinen, mutta kaukana pahimmasta mahdollisesta ja maanpuolustuskyvyn puutteet liittyvät lähinnä kalustoon (jota on onneksi mahdollista hankkia vielä pikaisesti lisää).

Sotilaat ja poliitikot vain ovat täysin munattomia ja selkärangattomia, eivätkä anna mahdollisuutta puolustusvalmiuden ja puolustuskyvyn kohottamiseen. Kyseinen toiminta on minun silmissäni jo törkeän maanpetoksen tunnusmerkit täyttävää toimintaa. Vai mitä mieltä itse olette? Rikoslaki määrittelee maanpetoksen:
"Suomen kansalainen, joka Suomea koskevan sodan, aseellisen selkkauksen tai miehityksen aikana tai sellaisen välittömästi uhatessa...ryhtyy yhteistoimintaan vihollisen kanssa tai muulla vastaavalla tavalla vihollisen eduksi vahingoittaa Suomea...Maanpetoksen tekee törkeäksi se, että siinä aiheutetaan vaara valtakunnan tai sen osan joutumisesta vieraan vallan alaiseksi taikka muutoin aiheutetaan Suomelle erityisen suurta vahinkoa."

Myös esimerkiksi "Suomen itsemääräämisoikeuden vaarantaminen" saattaa rikosnimikkeenä tulla kysymykseen jo pelkästään parhaillaan menossa olevan sotilasliitto NATOn sotaharjoituksen ja tulevan NATO-yhteistyön laajentamisen vuoksi.

Toivon hartaasti, että joku tulee järkiinsä jossain ja puolustusvalmiutta ja puolustuskykyämme kohotetaan välittömästi ja tuntuvasti. Ei olisi myöskään pahitteeksi rakentaa Mannerheimin patsaan viereen hirttolava näitä maanpettureita varten, jotta kansantribunaalin tuomiot heille voidaan saattaa välittömästi täytäntöön. Samalla annettaisiin ulkomaita myöden asianmukaista signaalia siitä, mitä mieltä kansa on tämmöisestä kansankunnan turvallisuudella leikkimisestä.

10. elokuuta 2014

Miljardeja paskamaiden tukemiseen, vaikka maanpuolustus riutuu


Jälleen pistää vihaksi lukea uutisia. Suomi ottaa itse yhä lisää velkaa, jotta voimme tukea Euroopan paskavaltioita miltei 8 miljardilla eurolla. Samaan aikaan maanpuolustuksemme tilanne on heikko ja Euroopan yllä leijuvat 3. maailmansodan enteet.

Esimerkiksi yksi tukimaista, Kreikka, on itse varustautunut oikein huolella sotaan jo viimeiset 25 vuotta ja se onkin yksi syy Kreikan taloudelliseen ahdinkoon. Suomi ja suomalaiset siis tinkivät omasta puolustusvoimien kalustosta ja määrärahoista, jotta esimerkiksi Kreikka voi varustaa omaa armeijaansa kuten tähänkin asti on tehnyt. Eikö tämä ole jo maanpetoksellista toimintaa?

Mitä Suomen puolustusvoimille voisi hankkia tällä rahasummalla? Otan esimerkkiluettelon maavoimien ostoista, joita olisi syytä tehdä ja jotka voisi tuolla 8 miljardin summalla kaikki hankkia sen sijaan, että ne käytetään muiden EU-maiden tukemiseen:

      100 kpl Leopard 2A6 panssarivaunu, 800M€
      200 kpl CV9030 FIN rynnäkköpanssarivaunu, 600M€
      900 kpl AMV panssaroitu miehistönkuljetusvaunu + Protector M151 E2 torni, 900M€
      600 kpl Eurospike pst-ohjuksen laukaisulaite + useita ohjuksia, 300M€
      600 kpl Stinger it-ohjuksen laukaisulaite + useita ohjuksia, 600M€
        80 kpl ASRAD-R ilmatorjuntaohjusjärjestelmä, 840M€
  12000 kpl NLAW kertasinko/pst-ohjus, 360M€
120000 kpl M72 kertasinko, 100M€
120000 kpl Taistelijan varustus M05, 600M€
120000 kpl Pohjamiina, 120M€
500000 kpl Viuhkapanos, 120M€
        60 kpl HIMARS raketinheitin + monipuolinen ammusvalikoima, 1200M€
      180 kpl Patria Nemo kranaatinheitin + monipuolinen ammusvalikoima, 480M€

        90 kpl PzH2000 panssarikanuuna, 600M€
    1600 kpl M982 Excalibur tykistön täsmäammus, 75M€
    2400 kpl SMArt 155 tykistöammus pst-ammus, 300M€

Kuvaamillani hankinnoilla voitaisiin, olemassa oleva varustus huomioon ottaen, varustaa kaikki Suomen 3 valmiusprikaatia ja 2 mekanisoitua taisteluosastoa uusilla panssarivaunuilla (n. 40 kpl) ja uusilla rynnäkköpanssarivaunuilla (n. 60 kpl). Mekanisoidut taisteluosastot saisivat lisäksi miehistönkuljetukseen ja tiedustelukäyttöön olemassa olevat BMP-2 rynnäkköpanssarit ja MTLB-kuljetuspanssarit (n. 300 kpl), valmiusprikaatien saadessa miehistönkuljetukseen uudet AMV:t (n. 300 kpl). Jokainen valmiusprikaati ja mekanisoitu taisteluosasto saisi niin ikään 12 kpl (3 patteria) ASRAD-R ilmatorjuntaohjusjärjestelmiä, sekä kannettavat panssari- ja ilmatorjuntaohjukset komppaniatasolle. Kaikki nämä yhtymät olisivat myös varustettu huipputehokkaalla ja taistelunkestävällä tykistöllä (6 kpl HIMARS, 18 kpl PzH2000, 36 kpl Patria NEMO), johon olisi käytettävissä runsaasti ns. älyammuksia. Kaikille näiden yhtymien sotilaille saataisiin myös luotisuojaliivit, pimeänäkölaitteet ja kertasingot, sekä kosolti miinoja.

Tällä hetkellä näillä joukoilla ei ole moisia varusteita kuin nimellisesti, vaikka näiden joukkojen pitäisi nimenomaan olla sodanajan joukkojemme iskukykyisin ja parhaiten varustettu "nyrkki"! Materiaalia jäisi vielä näistä hankinnoista roppakaupalla ylimääräistäkin, annettavaksi esimerkiksi alueellisten taisteluosastojen tai paikallisjoukkojen käyttöön, joiden panssarintorjunnassa sekä lähi-ilmatorjunnassa on nykyään erittäin vakavia puutteita. Niin ikään nykyisin jo käytössä olevaa kalustoa, kuten vedettävää tykistöä ja panssaroituja miehistönkuljetusajoneuvoja vapautuisi alueellisten joukkojen ja paikallisjoukkojen käyttöön runsaasti. Lisäksi esimerkiksi vanhoja Leopard 2A4 panssarivaunuja voitaisiin käyttää koulutuskäytössä sekä lavetteina käyttöikänsä loppuun asti. Ilmatorjuntaa ja raketinheittimiä jäisi vielä lisäksi ylijohdon käyttöön enemmänkin kuin riittävästi.

Näillä hankinnoilla olisi siis merkittävää vaikutusta maavoimien taistelukykyyn. Nämä eivät ole mitään nappikauppoja, vaan olisivat huomattava parannus nykytilanteeseen. Tämän tyyppinen materiaalihankinta palvelisi suoraan kokonaismaanpuolustusta ja nimenomaan Suomen puolustusta maahyökkäystä vastaan. Tämä erotuksena kansainvälisen merirosvojahdin tai kriisinhallinta tai NATO-kiiman verrattuna, joihin nykyään rahat ja materiaalit tuhlataan. Esittämäni materiaali säilyisi käyttökelpoisena jopa kolmisenkymmentä vuotta.

Mutta ei siinä mitään, annetaan vaan mieluummin Kreikalle ja muille paskavaltioille rahaa, jotta Kreikka voi jatkaa ylisuuren armeijansa varustamista ja velkaantumista entiseen tapaan. Jyrki Katainen nauraa partaansa palkkioksi saadun kallispalkkaisen komissaarin paikalta ja muut maanpetturit yhtyvät naurukuoroon suomalaisten hyväuskoisuutta ihmetellen.

3. elokuuta 2014

On https ja sitten on https...

Olen suunnilleen vuoden välein kirjoittanut internetin tietoturvasta, liittyen erityisesti SSL/TLS salaukseen ja sen toteutukseen nettisivuilla. Yleensä siksi, että näissä on ollut ongelmia ja mokia, joita ei pitäisi yhdenkään selkopäisen tietoturvavastaavan tehdä. Kuten tapauksissa "Suomalaisissa nettipankeissa vakavia tietoturvaongelmia", "Nordean verkkopankin tietoturvaongelmat" ja "Viranomaiset eivät osaa tehdä turvallisia nettipalveluita". Positiivista oli, että sentään parannustakin saatiin aikaan jollakin sektorilla, kuten "Viranomaiset ovat parantaneet nettipalveluidensa turvallisuutta".

No nyt lienee taas aika palata samaan aihepiiriin. Apunani oli tällä kertaa Calomel SSL Validation, joka onkin erinomainen työkalu paitsi ko. salauksen vahvuuden selvittämiseen, niin myöskin ei-toivottujen paskasalausten helppoon estämiseen Firefox-selaimesta. Kyseisen apuvälineen käyttö kertoo yhdellä vilkaisulla (ikonin väri) salauksen tason missä tahansa käyttämässäsi nettipalvelussa ja sitä klikkaamalla saa helposti lisätietoja asiasta. Kyseisen apuvälineen käyttö nostaa ainakin minulla nopeasti verenpainetta, kun käy ilmi, että sivustojen ylläpitäjät ja tietoturvavastaavat viittaavat kintaalle vahvalle salaukselle ja tietoturvalle.

Esimerkiksi ja vertailun vuoksi vaikkapa Nordean nettipankki vs SSL Labsin nettisivut:


















Tämä on hyvin tyypillinen löytö, enkä jaksanut lähteä edes penkomaan muita nettipankkeja ja sivustoja vastaavien varalta. Mitä tuo kaikki sitten tarkoittaa Suomeksi? Avataan hieman käsitteitä:

Perferct Forward Secrecy (PFS) tarkoittaa yksinkertaisesti sitä, että vaikka palvelin vaarantuisi jonakin päivänä niin, että sen salausavaimet päätyisivät hakkerille, niin mikäli PFS on käytössä, tämä ei siltikään vaaranna aikaisemmin ko. palvelimelle tehtyjä yhteydenottoja eli niiden salausta. Ilman PFS:ää on mahdollista käyttää vaarantunutta salausavainta purkamaan kaikki palvelimen kanssa ikinä sillä käyty viestintä. PFS huolehtii käytössä ollessaan siitä, että jokainen yhteys palvelimelle (tarkemmin sanottuna "Key Exchange") muodostetaan "kertakäyttöisiä" epäsymmetrisiä salauksia käyttäen (DHE tai mieluiten ECDHE, "pitkäaikaisen" RSA: sijaan), jotka tuhotaan käytön jälkeen. Näin ollen niiden turvaama tieto pysyy salassa, vaikka palvelimen pääsalausavaimet joskus myöhemmin vaarantuisivatkin. Tämä on erinomainen ominaisuus, koska milloinkaan ei voi tietää, murtuuko jokin palvelin tai sen salausavain jälkikäteen. Tämän ominaisuuden käyttöönotto ei mitenkään ihmeemmin syö palvelimen resursseja tms. eli on aivan itsestään selvää, että se tulisi ehdottomasti ottaa käyttöön kaikissa https-yhteyksissä! Jostain syystä esimerkiksi Nordea ei kuitenkaan tee näin.

Ciphersuite kertoo salaussysteemipaketin, jota kyseinen nettisivusto käyttää. Salaussysteemipaketti on sarja tiettyjä valmiita ja tarkkaan määriteltyjä paketteja, joita myös selaimen asetuksista voi hienosäätää joko käyttöön tai käytöstä pois. Key Exchange kertoo, millä menetelmälllä "pääsalausavain" vaihdetaan tai luodaan palvelimen ja käyttäjän välillä. Signature kertoo puolestaan, mitä salausta palvelin käyttää todentamaan itsensä asiakkaalle digitaalisella allekirjoituksella. Bulk Cipher on se salausalgoritmi, jota siis käytetään tuolla "pääsalausavaimella" salaamaan suurinosa kaikesta tiedonsiirrosta asiakkaan koneelta palvelimelle saakka. MAC tarkoittaa kryptografista tiivistefunktiota, jolla varmistetaan viestien eheys (jottei viesti ole muuttunut matkan varrella) sekä yhdessä digitaalisen allekirjoituksen (signature) kanssa viestien todennus (että viestin on todella lähettänyt palvelin eikä joku muu).

RSA on vanhaa ja hidasta ja turvallisuudeltaan heikompaa (toki vielä aivan riittävää) käytettäväksi etenkin palvelimen tunnistamisessa, verrattuna elliptisten käyrien salaukseen (ECC), kuten ECDSA. Myös vanhempaa DSA:ta voidaan käyttää palvelimen tunnistamiseen, mutta se on sen verran heikkoa, että sen käytöstä on syytäkin ollut luopua pikkuhiljaa ECDSA:n eduksi. Avaintenvaihdossa (Key Exchange) RSA ei myöskään mahdollista PFS:ää, vaan PFS vaatii aina joko pelkän vanhamuotoisen DHE (Diffie-Hellman), tai uudemman ECDHE (elliptisten käyrien Diffie-Hellman) salauksen käytön kertakäyttöisen "pääsalausavaimen" siirtämiseksi turvallisesti käyttäjälle.  Pelkällä RSA:lla voidaan kuitenkin, laiskanmiehenversiossa, hoitaa sekä palvelimen tunnistautuminen että "pääsalausavaimen" vaihtaminen käyttäjän ja palvelimen välillä, siksipä ehkä sen käyttö siinä tarkoituksessa onkin (mm. Nordealla) houkuttelevaa. Tietoturvan kannalta se on kuitenkin todella huono ajatus. Tietoturvan kannalta luultavasti paras vaihtoehto olisi käyttää yhdistelmää ECDSA_ECDHE, joka on myös palvelinta huomattavasti vähemmän resursseja kuluttavaa, kuin vanha ja hidas RSA-salaus.

Mainitsemani "pääsalausavain" on siis salausavain, joka siis vaihdetaan/muodostetaan palvelimen ja käyttäjän välillä ja sillä salataan pääosa kaikesta tietovirrasta netin ylitse https-yhteyksissä. "Pääsalausavainta" sitten käytetään symmetrisellä salausalgoritmilla, kuten vaikkapa RC4, AES tai Camellia. RC4 on jonosalain, jonka turvallisuus lienee vähän niin ja näin (toki sitäkään ei ole "vielä murrettu", mutta väärin käytettynä ja sovellettuna se on hyvin riskialtis). AES ja etenkin sen SSL Labsissakin käytetty versio, AES_128_GCM_SHA256 puolestaan on hyvin turvallinen ja takaa myös osaltaan viestin eheyttä, eli tekee viestien muuttamisesta ja väärentämisestä vaikeampaa ja salauksesta tietyllä tapaa voinee sanoa, "vakaampaa". Periaattessa AES_256 olisi vahvempaa salausta, mutta ottaen huomioon RSA, DSA, DHE, ECDSA ja ECDHE avainten vahvuuden, joka ei yleensä ole reaalimaailmassa kuin saman verran kuin AES_128, tällä ei ole käytännön merkitystä. Camelliaa harvemmin tapaa netissä käytettävän, vaikka se ilmeisesti on yhtälailla vahva tai jopa vahvempi kuin AES-salaus on. Muitakin vaihtoehtoja symmetriseksi salausalgoritmeiksi toki on, mutta ne ovat harvinaisempia käytössä.

MAC:ssa on myöskin valinnanvaraa palvelimilla. On MD5, SHA-1 ja SHA-256/384, sekä eksoottisempi AEAD. Näistä MD5 on täysin epäturvallinen, SHA-1 turvallisuus on riittämätön, SHA-256/384 on hyvä ja luultavasti uusi AEAD on kaikkein paras. Yleisimmin käytössä on juurikin SHA-1, kuten Nordeankin tapauksessa, kenties siksi että se on "vanha ja tuttu" tiivistefunktio. SHA-256/384 tekee kuitenkin tuloaan, joskin turhaan, koska sen sijaan voisi siirtyä suoraan käyttämään AEAD:tä.

Sertifikaattiauktoriteeteista (CA) ja palvelinten avainten varmentamisesta on myös syytä puhua. Aina välillä tulee ilmi tapauksia, joissa sertifikaattiauktoriteetin avaimia on käytetty väärentämään palvelinten sertifikaatteja. Nämä ovat vaarallisia hyökkäyksiä, koska selaimet tuppaavat luottamaan sertifikaattiauktoriteetin digitaalisiin allekirjoituksiin, eli siihen, että tietyn palvelimen X avain on oikeasti sen palvelimen avain, koska tämä (CA) niin digitaalisella allekirjoituksellaan varmistaa. Tähän sudenkuoppaan on olemassa muutamia vastatoimia, kuten selaimen pitäminen päivitettynä (jolloin väärät sertifikaatit ja CA:ta on päivitetty sinnekin) tai esimerkiksi HTTPS Everywhere lisäosan käyttäminen (ja siinä SSL Observatory). Mikäli tämmöinen hyökkäys sattuu kohdistumaan nettisivulle jota käytät, millään salauksen vahvuudella tai menetelmillä ei ole luonnollisestikaan mitään suojaa eikä merkitystä. Onneksi nämä ovat kuitenkin harvinaisia hyökkäyksiä. Yleisempiä tälle sektorille sijoittuvia ongelmia ovat hyökkäykset, joissa CA puuttuu tai on väärä ja näistä selain osaa kyllä varoittaa käyttäjää normaalitilanteissa.

Avainten koosta sitten vielä muutama sananen. RSA:n, DHE:n ja DSA:n avainkoon tulisi aina olla vähintään 2048 bittiä. ECC:ssä puolestaan avainkoon tulisi olla vähintään luokkaa n. 250 bittiä, mieluusti toki yli 500 bittiä. RC4, AES ja Camellia puolestaan käyttävätkin aina 128 tai 256 bittistä salausta, joka onkin riittävää. Tiivistefunktioissa tulisi käyttää vähintään 256 bittistä vaihtoehtoa, kuten SHA-256/384 tai AEAD. Huomaa, että tiivistefunktioista SHA-1 on vain 160 bittinen ja muutenkin epäturvallinen MD5 vain 128 bittiä!

Yleensä salauksen "bittimääräisellä" vahvuudella ei ole ongelmia nettipalveluissa eikä käytännössäkään, vaan salauksen puutteet ovat aivan jossain muualla...kuten juuri PFS:n käyttämättömyydessä ja huteran RC4 käytössä, puhumattakaan murtuneen MD5 tai huteran SHA-1 tiivistefunktioiden käytössä! Mitään käytännön syytä olla käyttämättä suurikokoisia avaimia ei oikeastaan ole olemassakaan, koska nopeuserot ovat täysin mitättömät. Itse asiassa esimerkiksi ECC:n 500+ bittinen avain on jopa nopeampi käyttää kuin vaikkapa 4096 bittinen RSA.

Kuten jo totesin, mitään järkeviä syitä käyttää heikkoja avaimia tai avainkokoja ei oikein olemassakaan. Tällä sektorilla olevat puutteet, kuten tässä tapausesimerkissä Nordean suhteen, kertovat vain karua kieltään kyseisen nettipalvelun ylläpitäjän viitseliäisyydestä ja tietoturvataidoista. Asiat olisi melko helppo ja vaivatonta korjata, siten pitäen huolta siitä, että salaus ei ainakaan petä. Ei nyt, eikä tulevaisuudessakaan.