27. maaliskuuta 2019

Ainoa tapa tehdä turvallinen sähköinen äänestys

Olen kirjoittanut aiemminkin blogissani erilaisten sähköisten / elektronisten / digitaalisten äänestämisten ongelmakohdista, mutta näin vaalien alla on syytä palata taas aihepiiriin. On nimittäin olemassa yksi ja vain ja ainoastaan yksi turvallinen tapa tehdä tuollainen äänestys. Se on itse asiassa täysin turvallinen. Täysin turvallisella tarkoitan, että se on ihan oikeasti turvallinen aivan kaikkia mahdollisia hakkerointeja ja väärinkäytöksiä kohtaan nyt ja tulevaisuudessakin. Edes pahimmassa mahdollisessa skenaariossa (tyyliin kvanttitietokoneet hakkeroimassa tikettejä ja laajamittainen hakkerointi lukuisille servereille jne.) ei olisi mahdollista tehdä vaalivilppiä niin, ettei vaalivilppi paljastuisi 100% varmuudella. Siinä onkin luultavasti syy, miksei sitä haluta ottaa käyttöön: Vaalivilppi ei olisi Suomessakaan mahdollista, jos meillä olisi tuollainen systeemi käytössämme.

Systeemi on erittäin yksinkertainen ja edullinen toteuttaa.
  1. Äänestäjä tunnistetaan ja hänelle annetaan sähköinen äänestystiketti, jolla voi äänestää tasan yhden kerran. Tiketti voi olla vaikka PKI-systeemin salainen avain tai vain jonkinlainen digitaalinen tiketti, joka on allekirjoitettu luotettavan tahon toimesta siten, että siitä käy ilmi, kenelle se on annettu, ja/tai henkilö esim. mobiilivarmenteen tai pankkitunnuksen avulla lukitsee tiketin omaan henkilötunnukseensa (esim. digitaalisesti allekirjoittaa sen) tms. jne. yms. evvk, tämä kohta on oikeastaan aika merkityksetön. Tärkeää on kuitenkin, että järjestelmään merkitään, että ko. äänestäjä on nyt saanut äänestysoikeutensa, eikä hän voi enää saada toista tikettiä missään olosuhteissa millään perusteella.
  2. Äänestäjä äänestää tiketillään vaalipaikan koneella tai vaikka omalla tietokoneellaan ja saa äänestyksestä digitaalisesti allekirjoitetun tositteen, josta käy ilmi ko. äänelle nyt annettu satunnainen luku (kirjausnumero) ja äänestetty numero (ja vaalipiiri tms. missä on siis äänestetty). Kirjausnumero voidaan muodostaa esim. kaavalla sha256(äänestäjänhetu+tiketin salaisen avaimen sha256 tiiviste+äänestäjän itse valitsema salasana) ja kirjausnumero voidaan antaa/muodostaa äänestäjälle katsottavaksi jo ennen kuin äänestäjä äänestää. Jos äänestäjä epäilee, että tosite tulee väärät tiedot sisältäen ulos laitteesta, hän voi vaikka videokuvata koko äänestysprosessinsa. Jos äänestäjä epäilee, että hänen kirjausnumeronsa on jo jollakin käytössä, hän voi tarkistaa esim. vaali.fi palvelusta, ettei sitä kirjausnumeroa ole vielä kirjattu sinne (se ei ole äänestänyt). Olennaista on, että henkilö saa siis tämän tositteen, jossa on tämä satunnainen numero (kirjausnumero) ja numero, jota on äänestetty sillä kirjausnumerolla. Äänestyskoneet eivät tallena sitä, millä tiketillä on äänestetty mitäkin, koska koneet eivät käytä tikettiä tämmöiseen asiaan, tiketillä vain ja ainoastaan todetaan, että ko. tiketin käyttäjällä on oikeus antaa 1 ääni ja sillä hyvä.
  3. Äänestysvalinta laitetaan lohkoketjuun tai vaikka vaan suoraan vaalit.fi nettisivulle siten, että sieltä avautuu suoraan taulukko, jossa lukee kaikki kirjausnumerot ja mitä numeroa niillä kullakin on äänestetty ja että äänestys on tapahtunut äänestysaikana.
  4. Kun äänestysaika on mennyt umpeen, jokaiselle, joka ei ole äänestänyt, luodaan tiketti (jota ei ole voitu tietenkään vahvalla tunnistautumisella allekirjoittaa tiettyyn hetuun kuuluvaksi) ja tiketti merkitään äänestämään "epäluotettuna" vaikka numeroa 000 tms. Kaikki nämä tiketit ja niiden luomat kirjausnumerot kirjataan luonnollisesti myöskin vaikka vaalit.fi sivulle, kuten ihmisten antamat äänetkin ja näiden kohdalla merkitään, että äänestys on tapahtunut äänestysajan ulkopuolella ja epäluotettavalla tiketillä, eli äänet ovat hylättyjä.
Se on siinä. Vaalilautakunta voi sitten yksinkertaisella ohjelmalla (voisi olla vaalit.fi sivullakin) katsoa vaalit.fi sivulta, miten monta ääntä kukakin on saanut ja ketkä tulevat valituksi. Jokainen äänestäjä voi niin ikään katsoa vaalit.fi sivulta, että hänen kirjausnumeronsa antama ääni on oikeasti kirjautunut sinne oikein, eli että hänen kirjausnumeronsa on äänestänyt sitä numeroa, jonka hän on oikeasti äänestänytkin. Jokainen voi niin ikään itse laskea vaalit.fi sivun kautta, että vaalilautakunta on itsekin laskenut oikein valitut edustajat, ynnäämällä itse äänisaaliit haluamallaan tavalla yhteen jne. Jokainen voi myös laskea, ettei annettuja ääniä ole enemmän kuin äänestämään oikeutettuja. Vaalisalaisuus säilyy, koska kukaan ei tiedä, kuka on äänestänyt milläkin kirjausnumerolla.

Mutta voihan siinä tehdä vilppiä, eikös? Esim...
A) Mitä jos joku muuttaa tuolla vaalit.fi olevia tietoja toisiksi, esim. minun ääneni vääräksi?
- No, silloin voit tositteellasi todistaa, että kirjausnumerosi on äänestänyt numeroa X, eikä numeroa Y, kuten vaalit.fi lukee ja vaalivilppi paljastuu 100% varmuudella...toki voit videoida oman äänestyksesikin jos pelkäät, että tiketin voisi väärentää jotenkin, jotta voit joka tapauksessa osoittaa, että sinun kirjausnumerosi ON äänestänyt numeroaX. Toki tämmöistä vilppiä hankaloittaa jo kummasti se, että käytetään vaikkapa lohkoketjuteknologiaa tai vahvaa kryptoa, jolloin ko. ääneltä puuttuu luonnollisesti niihin kuuluvat kryptografiset vahvistukset.

B) Mitä jos joku leimaa äänestämättömien tikettejä käyttöön ja äänestää niillä itse ko. henkilöiden sijasta?
- Ei onnistu, koska äänestämättömät henkilöt voivat käydä vielä äänestämässä ja silloin vilppi paljastuu ja toisaalta, he eivät voi leimata niitä tikettejä käyttöönsä, koska äänestäjän pitää itse leimata ne esimerkiksi vahvalla tunnistautumisella (digitaalinen allekirjoitus) itselleen käyttöön.

C) Mitä jos joku estää minua äänestämästä, ei anna tikettiä minulle?
- Näin voi joku tehdä nykyäänkin teoriassa, olla antamatta sinulle äänestyslippua. Asian videointi paikanpäällä toki estää tämän tehokkaasti. Toki oikein suoritettuna tuo tiketin allekirjoitus omalla vahvalla tunnistautumisellasi ja lohkoketjuteknologia voidaan tehdä semmoiseksi, ettei siinä yksinkertaisesti ole mahdollisuutta, ettet saisi tikettiäsi ilman, etteikö siitä jäisi jo siinä tilanteessa todisteet esille.

D) Mitä jos joku vaihtaa ääneni toiseen?
- Ei ole mahdollista, koska lohkoketjutekniikka ja myös koska kohta A.

E) Mitä jos joku lukee tiedot vaalit.fi sivulta väärin, syöttää minulle väärää tietoa, jossa näkyisi, että olen äänestänyt oikein, mutta todellisuudessa vaalit.fi sivulla onkin kirjattu väärin ääneni?
- Voit mennä mille tahansa nettipäätteelle missä tahansa ja katsoa sieltä vaalit.fi sivun sisältöä. Niin myös vaalilautakunta tekisi varmistaakseen tuloksen. Mikään hyökkääjä ei voi tietää, miltä nettipäätteeltä mistä ip:stä kukakin aikoo katsoa mitäkin kirjausnumeroa ja näin ollen tarjota jokaiselle "oikealla tavalla väärennettyä" tulossivua.

F) Mutta eikös paperinen äänestys ole kuitenkin parempi kun tämmöinen viritys?
- Ei ole, koska paperiäänien osalta et voi koskaan tarkistaa ja varmistaa, että äänesi on OIKEASTI kirjaantunut tietokantoihin asianmukaisesti, etkä edes sitä, onko tietokanta ylipäätään oikea vaiko täysin tekaistu. Minun systeemissäni molemmat ovat yksinkertaisia, suorastaan automaatioita ja vaalivilppi ei ole mahdollista.

26. maaliskuuta 2019

Hyvin väkivaltaista

Ei voi kuin taas ihmetellä tätä kulttuurimarxistista mädätystä. Peliriippuvaisen kakaran pelaamisen keskeyttäminen tietokone takavarikoimalla, kun kakara ei tietenkään sitä suosiolla luovuta ja homma menee vääntämiseksi, on oikeuden mukaan "hyvin väkivaltaista". Eli siis tarkemmin sanottuna: Isokokoisen riehuvan nuoren ottaminen hallintaotteeseen ja painaminen omalle sängylleen rauhoittumaan on "hyvin väkivaltaista", johon "pitäisi olla vaihtoehtoa" ja jonka tekemisestä saa oikeudessa tuomion ja tuhansien eurojen kulut. Aha. 

Mikä se vaihtoehto on, jää tietenkin kertomatta, mikä on surkuhupaisaa sossutanttailua parhaimmillaan. Jotain muuta ilmeisesti. Huutaakkaan ei saisi, sekin kun voi olla henkistä pahoinpitelyä, eikä jäähypenkkiäkään saisi mukamas käyttää (ja mitenkäs sen kakaran sinne jäähypenkille saa ilman vääntämistä?)! Ehkä riehuvan, kiukuttelevan kakaran kanssa pitäisi keskustella aamukuuteen asti syvällisiä ja saada tämä ymmärtämään tekojensa vääryys, sekä lopettamaan pelaamisensa ja taipumaan asiassa? Jeps. Varmaan toimii ihan helvetin hyvin.

Niin ja jos lapsen pelaamista ei saisi loppumaan, voisi joutua siitä sossutanttojen pyöritykseen tai oikeuteen, kun "vaarantaa lapsen terveyden", eikä "pidä rajoja". Niinpä tietenkin. Niin tai näin, aina väärinpäin.

Naurettavaa paskaa. Täysin naurettavaa paskaa. Eikä tämä ole mitään sattumaa. Kyseessä on trendi, jossa lapsen vanhemmilta viedään kulttuurimarxismin oppien mukaisesti keinot puuttua lapsen toimintaan ja järkevästi kasvattaa tätä. Tavoitteena on, etteivät vanhemmat tosiasiallisesti voi kurittaa lapsiaan tai puuttua heidän typerään käytökseensä sitä oikeasti, tehokkasti ja suoraan korjaten. Seurauksena tietenkin kurittomia lapsia, heistä etääntyneitä vanhempia ja hyvällä tuurilla yksi sosiaali/lastensuojelupuolen asiakas lisää pompoteltavaksi ja sosiaalimenoja kasvattamaan. Suorastaan jättipotti kulttuurimarxisteille.

Heitänpä vaan kysymyksen ilmaan: Jos kerran riehuvan tyypin ottaminen hallintaotteeseen on oikeuden mukaan "hyvin väkivaltaista" ja "jotain muita keinoja pitäisi olla", niin miksi poliisi voi ottaa riehuvia tyyppejä hallintaotteeseen ja heittää maijaan ja putkaan? Eikös se ole hyvin väkivaltaista ja siitä pitäisi saada tuomio poliisille? Eikö poliisillakin pitäisi olla joku muu keino tilanteen hoitamiseksi? Poliisihan on vieläpä ammattilainen, ammattilaisen voimankäyttövälinein jne. joten heiltä pitää voida odottaa tehokkaampaa ja parempaa toimintaa kuin tavalliselta kaduntallaajalta. Ehkä poliisi voisi vaan puhua aamukuuten asti syvällisiä ja saada riehuja ymmärtämään tekojensa vääryys?

Ainiin, mutta sehän on tietysti eri asia. Eri asia jollain tapaa, jota kukaan ei pysty selittämään. Se vaan "on" eri asia, jos poliisi pistää riehujaa kuriin kun jos vanhempi pistää samankokoista riehuvaa lastansa kuriin. Aivan. Niinpä tietysti. Hohhoijaa.



25. maaliskuuta 2019

Trumpilla ei Venäjä-kytköksiä - miksei mädätysmedia häpeä väitteitään?

Vuosikausia mädätysmedia on väittänyt Trumpilla olevan jotain hämäriä Venäjä-kytköksiä ja jopa sellaista, että koko presidentinvaalit olisi Venäjän toimesta masinoitu ja manipuloitu saamaan Putinin nukke, Trump, valtaan. Kun nyt sitten, kahden vuoden pyörittelyn ja kaivamisen jälkeen, mitään todisteita moisesta ei löytynytkään, mitä tekee mädätysmedia?

Hyvä esimerkki on se, miten mädätysmedia uutisoi "Muellerin tutkinta valmis", eikä asianmukaisesti "Vuosikausien väitteet Venäjä-kytköksistä osoittautuneet valheeksi". Tietysti. Eihän mädätysmedia halua tunnustaa, että se on vuosikausia hyökännyt Trumppia vastaan kaikilla mahdollisilla keinoilla, eikä vähiten erilaisilla Venäjä-kytköksillä vihjaillen tai suoraan tosiasiana ilmaisten. Tietenkään mädätysmedian, jos se ei olisi mädätysmedia, ei olisi alunperinkään pitänyt esittää perättömiä, perusteettomia väitteitä vieraan valtion päämiehestä, vaan pitäytyä tosiasioissa. Mutta näinhän ei suomalainenkaan mädätysmedia tietenkään tehnyt, koska se ei ole oikea media, vaan valemedia, mädätysmedia, aivopesukoneisto, jonka valheellisuus ja mielipuolisuus on jälleen paljastunut.

Näitä samoja Venäjä-kytköksi on mädätysmedian toimesta masinoitu myös suomalaisia kansallismielisiä tahoja kohtaan. Jatkuvasti puhutaan ruplasalkusta, Janitskin ja de Wit Venäjä-kytköksistä ja muusta täysin naurettavasta hevonpaskasta, jonka tueksi ei tietenkään koskaan esitetä mitään todisteita. Yhä edelleen mesotaan mädätysmediassa, miten Venäjä pyrkii vaikuttamaan Suomen vaaleihin ja miten kansaa manipuloidaan valeuutisilla ja valemedian valheilla äänestämään "väärin". Enkä usko, että tämä suuntaus muuttuu mihinkään näiden tosiasioiden myötä, koska aiemminkaan tosiasioilla ei ole ollut mitään vaikutusta mädätysmedian suoltaman propagandan kanssa.

On toki totta, että suomalaisia manipuloidaan ja yritetään vaikuttaa heidän vaalikäyttäytymiseensä. Mutta vaikuttaja ei ole Venäjä. Se on suomalainen mädätysmedia, punavihersuvakkien haiseva ja mädäntänyt lauma, yhdessä nykyisen eliittimme kanssa, joka koettaa epätoivoisesti selitellä sitä, että kansa on edes hitusen alkanut heräämään ja uhkaa äänestää vaaleissa "väärin". Onhan se paljon kivampaa antaa selitykseksi Venäjän manipulointi, kun totuus: Kusipäät, valehtelevat päättäjät ja virkamiehet, sekä täysin läpimätä media, jota vastaan kansa alkaa kapinoimaan.

Toki tämä kaikki kertoo taas kerran kaiken olennaisen suomaloisista. Mitä suomaloiset tekevät, kun käy ilmi, että media on kusettanut heitä vuosikaudet ja täysin valheellisesti leimannut Trumppia? Eivät mitään. Viimeistään nyt jokaisen selkopäisen ihmisen pitäisi lopettaa Helsingin Sanomien tilaaminen ja mädätysmedian seuraaminen ja sille maksaminen. Viimeistään nyt, kun kahden vuoden valheet paljastuvat valheiksi, joita määrätietoisesti heille on syötetty, pitäisi suomaloisten herätä totuuteen omasta mediastaan. Mutta eivät he herää. Suomaloiset eivät lopeta Hyysärin tilauksiaan, eivät jätä puoli yhdeksän Ylenannon uutisia katsomatta, eivätkä julkisesti tuomitse mädätysmediaa ajojahdistaan. Suomaloiset jatkavat elämäänsä kuten ennenkin, yhä mädätysmedian valheisiin luottaen ja yhä sitä tukien.

 Sitä saa, mitä tilaa. Näin tyhmä kansa ei minusta edes ansaitse pelastua. Sitä saa, mitä tilaa.

24. maaliskuuta 2019

23. maaliskuuta 2019

Homostalkkerisuvakin epäonni

Homostalkkerisuvakkini löysi minulta yksittäisen kommentin, jonka olin sattumalta mennyt postaamaan jonnekin hornan kuuseen ja ilmiantoi tietenkin sen. Pitkän harkinnan ja uudelleenharkinnan jälkeen FB kuitenkin jostain kumman syystä käsitteli ilmiannon uudelleen ja palautti tuon julkaisun. Voivoi. Toivottavasti homostalkkerisuvakkini ei nyt taas ratkea ryyppäämään, kun häneen iski tämmöinen ikävä takaisku. :-p

PS. Muita julkaisuja ei sitten enää olekaan homostalkkerisuvakille ilmiannettavaksi, kun en käytä ko. Facebookin tiliäni mihinkään muuhun kuin vertaistukiryhmäni ylläpitoon. Voi sitä kiukkua ja itkupotkuraivaria, kun ei onnistu kiusanteko tätä kauttakaan enää.


21. maaliskuuta 2019

Ruotsi avasi juuri ovet 10 miljoonalle Kiinan uiguurille

Ruotsissa on kaikessa hiljaisuudessa päätetty, että Kiinan muslimivähemmistö, uiguurit, ovat oikeutettuja turvapaikkaan kokemansa vainon vuoksi. Kiina "vainoaa" uiguureita, koska uiguuritaustaisilla henkilöillä on ollut taipumusta tehdä kaikkea pientä keppostelua kantaväestöä kohtaan, kuten esim. puukkohippasia juna-asemilla, pommeja ja muita paniikkikohtauksia. Kiina kun ei ymmärrä, että kyseessä on vain viaton keppostelu ja paniikkikohtaukset, vaan kohtelee ko. tempauksia terrorismina ja pitää tätä muslimipoppoota potentiaalisina terroristeina.

Ei voi taas muuta kuin onnitella Ruotsia valinnastaan. Uiguureja on about 10 miljoonaa ja nyt, kun heille on kerran mahdollisuus saada turvapaikka Ruotsista, voitte olla varma, että uiguurit ryhtyvät sankoin joukoin marssimaan Ruotsiin turvapaikkaa hakemaan (ja samalla turvapaikkaturisteilemaan). Eikä siinä vielä mitään, se on vasta alkua. Katsokaas, kun Kiina haluaa päästä näistä uiguureista eroon, niin voitte olla varma, että Kiina pyrkii kaikin tavoin edesauttamaan uiguurien päätymistä Ruotsiin. Eli odotettavissa on massiivinen Kiinan valtion tukema ryntäys Ruotsiin, kun hyvässä lykyssä koko 10 miljoonaa uiguuria ryntää Ruotsiin hakemaan ja saamaan turvapaikkaa.

Onnea Ruotsi ja pitäkää hyvänänne! Olette taatusti tämänkin paskan ansainneet!

Asiasta ei ole tietenkään virallisessa mediassa puhuttu sanaakaan, arvattavista syistä.

16. maaliskuuta 2019

Homostalkkerisuvakki iski jälleen Facebookissani!

Homostalkkerisuvakki iski jälleen Facebook-profiilini kimppuun ilmiannoilla, kun häntä siihen trollasin. On surkuhupaisaa, miten helppoa tätä yhtä ihmistä on manipuloida tekemään aivan täsmälleen, mitä vain haluan hänen tekevän. Surkuhupaisaa on myös Facebookin "yhteisönormit", joiden mukaan sanat neri ja limi ovat yhteisönormien vastaisia. Ovatkohan myös nri ja lmi yhteisönormien vastaisia? Entä ni ja mi? Saako Facebookissa edes sanoa, että n ja m pitäisi laittaa uuniin? No, kohta sekin nähdään...


15. maaliskuuta 2019

Uudessa-Seelannissa sattui pottunokalle paniikkikohtaus

Uudessa-Seelannissa Christchurchin kaupungissa on valkoihoiselle, sianlihaa syövälle heteromiehelle (Brenton Tarrant) ilmeisesti sattunut paha paniikkikohtaus paikallisessa moskeijassa (jotkin lähteet sanovat, että paniikkikohtaus sattui kahdessa eri moskeijassa). Paikallinen uutistoimisto raportoi jopa kymmenistä kuolleista muslimeista ja siitä, miten tekijä - tarkoitan siis tietenkin psyykkisesti sairas yksittäistapaus - lähetti livelähetyksenä koko paniikkikohtauksensa nettiin. Ehdin onneksi ladata kyseisen paniikkikohtauksen talteen, ennen kuin se poistui pikavauhtia netistä.

Vastuullinen media ja poliitikot osaavat tietenkin nyt asettaa tämän oikeaan kontekstiin, eivätkä missään nimessä väitä kyseessä olevan jonkinlaisen poliittisesti tai uskonnollisesti motivoituneen terrori-iskun, kuten eivät muslimiterroristien iskutkaan kerran koskaan sellaisia ole vastuullisen median ja poliitikkojen mielestä. Vastuullinen media ja poliitikot nyt varmasti kertovat meille, miten tekijän motiivit ovat epäselvät ja miten tekijä on mielenterveysongelmista kärsivä yksittäistapaus. Lisäksi vastuullinen media ja poliitikot muistavat nyt tietenkin mainita, että keppostelevat ne muslimiterroristitkin joskus ihan vastaavalla tavalla, eikä tässä ole siis mitään ihmeellistä tai uutta. Sekin pieni seikka, että tekijä soitti autossaan "Serbia Strong - remove kebab" -nimeä kantavaa biisiä, on vain kumma sattuma, tietenkin, kuten myös se, että tekijän aseessa ja lippaissa luki useiden muslimien tekemien terrori-iskujen kaupunkien nimiä ja mm. Rotterdamin (matupedarijengit) nimi jne. Missään nimessä tämä teko ei siis voi mitenkään liittyä mitenkään mihinkään muslimien tekemiin terrori-iskuihin kantaväestöä vastaan, kyseessä on vain outo yhteensattuma. Niin ikään tämä hänen julkaisemansa manifesti ei voi liittyä mihinkään mitenkään.

Vai mitä veikkaatte, että asiasta tullaan sanomaan ja mitä tästä seuraa? Noudatetaanko yhdenvertaisuusperiaatetta, vaiko jotain ihan muuta?

6. maaliskuuta 2019

WebAuthn korvaa salasanat paskalla

W3C on vihdoin vahvistanut WebAuthn-systeemin käytettäväksi netissä ja tietokoneilla. Kyseessä on systeemi, jossa käyttäjän ei tarvitse muistaa, eikä käyttää lainkaan salasanoja, vaan tunnistautuminen hoidetaan käytännössä joko esim. puhelimen biometrisellä tunnistautumisella tai Yubikeyn kaltaisella tietokoneeseen laitettavalla tikulla. Tämä on periaatteessa siis "jotain, jota vain sinulla on" -tunnistautuminen. Kuulostaa kätevältä, mutta on itse asiassa hyvin pitkälti pelkkää tietoturvatonta paskaa.

Ai miksi?

Salasana perustuu "jotain, jota vain sinä tiedät" -periaatteeseen. Se on nupissasi. Sitä ei voi varastaa sieltä suoraan mitenkään, vaan pitää käyttää jotain epäsuoraa keinoa. Salasanan kaappaaminen edellyttää joko salasanan arvaamista (mahdotonta, jos salasana on vaikea), tai fyysistä pääsyä siihen laitteeseen, jolla salasanan näpyttelet (esim. näppäimistö) keyloggerin asentamista varten. Lisäksi voit muuttaa aina salasanaasi, tehden kerran varastetusta salasanasta käyttökelvottoman. Salasanaa voidaan lisäksi käyttää helposti salaamaan esimerkiksi salausavaimet ja muut arkaluontoiset tiedot muodostamalla siitä yksisuuntaisesti salausavain, eikä ole olemassa mitään vippaskonstia päästä sen läpi: Salasana pitää oikeasti tietää, jotta salauksen voi silloin purkaa. Salasanojen luomiseksi, muistamiseksi ja käyttämiseksi voi käyttää esim. LastPass-systeemiä tai vaikkapa KeePass Password Safe -ohjelmaa, jotka ovat molemmat ilmaisia.

Biometrinen tunniste sen sijaan on huijattavissa esimerkiksi yksinkertaisella valokuvalla tai muutoin syöttämällä biometriset tietosi niitä kyselevään härveliin. Et voi ikinä muuttaa omia biometrisiä tietojasi, joten kerran karkuun päässeenä tämä tunnistusmenetelmä on ikuisesti vaarantunut kohdallasi - eli käytännössä jo alunperinkin se on vaarantunut kohdallasi, koska sormenjälkiäsi jne. voi hyökkääjä napsia talteen mistä huvittaa. Biometrisellä tunnisteella ei voi luotettavasti salata yhtään mitään yllä olevista syistä johtuen: Se on helposti muidenkin saatavilla, joten myös siitä luotu salausavain on muiden saatavilla helposti.

Yubikeyn kaltainen systeemi perustuu tikussa olevaan salaiseen avaimeen ja sen aktivointiin painalluksella (turvallinen) tai viemällä se puhelimen lähelle (NFC -> epäturvallinen). Systeemi on sinällään itsessään hyvin turvallinen, sitä ei voi väärentää, ei edes kopioida käytännössä mitenkään ja se mahdollistaa helpon ja tehokkaan tunnistautumisen joka paikkaan. Siinä on vain yksi suuri vika, joka tekee siitä käytännössä käyttökelvottoman: Kuka tahansa voi käyttää sitä, saatuaan sen fyysisesti haltuunsa. Se ei vaadi pin-koodia tai muutakaan, pelkkä napin painallus riittää. Niin, sanot, mutta voihan salasanankin saada haltuunsa jos saa fyysisen pääsyn tietokoneelle, jossa se naputellaan? Niin voi, mutta on eri asia saada fyysinen pääsy kotonasi lukkojen takana olevalle tietokoneelle, kuin saada fyysinen pääsy mukanasi kanniskeltavaan avaimeen! Lisäksi, jos se varastetaan sinulta, et voi peruuttaa sitä mitenkään ja sen varastanut henkilö saa ikuisen pääsyn kaikkiin nettitileihisi, etkä voi edes sulkea häntä mitenkään niistä pois enää ikinä. Periaatteessa tämmöisen tikun salausavaimia voidaan sentään käyttää luotettavaan salaukseen, salaamalla haluttu asia satunnaisella avaimella ja salaamalla tuo salausavain tikun sisältämällä julkisella avaimella (ja säilömällä tuo saatu avain vaikkapa salattavan tiedon mukana).

WebAuthn olisi hyvä systeemi kaksivaiheiseen kirjautumiseen, mutta ei muuhun. Ja kaksivaiheinen kirjautuminenhan meillä on jo olemassa ja käytössä ennestään, joten mitä virkaa WebAuthn on? Ei mitään. Kaksivaiheiseen kirjautumiseenhan esim. Yubikeyta käytetäänkin tänä päivänäkin (U2F). Siinä salasanasi ("Jotain, jota tiedät") LISÄKSI sinun pitää todistaa, että olet sinä käyttämällä "jotain jota sinulla on" (eli se Yubikey). Toinen tehokas kaksivaiheisen tunnistautumisen menetelmä on käyttää TOTP:ia, eli esim. Google Authenticatoria, jossa tietystä salaisesta siemenluvusta luodaan kerran minuutissa, kellonajasta laskien, perustuva 6-numeroinen tunnistusluku kännykässäsi olevassa sovelluksessa. Nämä kaksivaiheiset tunnistautumismuodot suojaavat tehokkaasti tiliäsi myös siinä tapauksessa, että hyökkääjä arvaa tai muutoin saa tilisi salasanan haltuunsa, ne kannattaa ehdottomasti ottaa käyttöön.

Sen sijaan WebAuthn:sta kannattaa pysyä kaukana. Ainakin niin kauan, kunnes joku kehittää Yubikeyn kaltaisen tikun, jossa on turvapiirin kontrolloima pin-koodin syöttö tms. jolloin varastettua tikkua ei voi käyttää tunnistautumiseen sinuna. Ja tämäkin vain siinä tapauksessa, että sinulle jää aina mahdollisuus resetoida tilisi tunnistautumistiedot salasanalla, etkä ole 100%:sti tuon tikun varassa (sehän voi myös vaikkapa kadota).

5. maaliskuuta 2019

Muslimin paniikkikohtaus

Kuvassa olevien henkilöiden käsien asento
johtuu kollektiivisesta paniikkikohtauksesta.
Kun muslimi tarttuu äkkiarvaamatta matkustajia täynnä olevan, tiellä vilistävän bussin rattiin ja yrittää suistaa sen ojaan huutaen "Allahu Akbar", oikeus "pitää mahdollisena", että kyseessä on vain paniikkikohtaukseen liittynyt huutelu ja tekijä ei saa tuomiota terrori-iskun yrityksestä.

Yhdenvertaisuusperiaatetta noudattaen, jos Seppo Lehto ajaisi autolla vaikkapa erään tamperelaisen moniosaajan ylitse kadulla, samalla huutaen "Sieg Heil", kyseessä olisi vain Seppo-paran paniikkikohtauksen laukaisema huudahdus, eikä missään nimessä mikään muu. Niin ikään, jos Jussi Halla-aho ampuisi muutaman moniosaajan pimeällä kujalla huutaen "White Pride!", sekin olisi vain jonkinlainen aseen toimintahäiriön aiheuttaman paniikkikohtauksen laukaisema äännähdys, eikä missään nimessä mikään muu.

Sama pätee luonnollisestikin kaikkiin ns. käsimerkkeihin ja muihin sanattomiin viesteihin, niitä ei pidä voida tulkita miksikään, koska "on mahdollista", että ne eivät sitä ole. Esimerkiksi Jesse Torniaisen suorittama pahoinpitely ei voinut siis olla mitenkään rasistinen, koska "on mahdollista", että Jesse kuuluu Pohjoismaiseen Vastarintaliikkeeseen esimerkiksi siksi, että siellä on mukavat bridge-iltamat tms. ja pukeutuu skiniksi, koska "on mahdollista", että ne vaatteet ovat esimerkiksi vaan mukavat päällä tms. Myös mahdolliset kainalontuuletukset ennen- jälkeen ja tekohetkellä "on mahdollista" tietenkin selittää Jesse-paran paniikkihäiriöllä, eikös vaan?

Ihmettelenkin, miksei Turun terroripuukottaja Abderrahman Bouananen sanottu vain aionneen perata kalaa Turun torilla ja menneen paniikkiin, kun vahingossa sipaisi kalan perkaamisveitsellään viatonta sivullista? Siksihän hän huuteli myöskin Allahu Akbaria ja juoksenteli päättömästi ympäriinsä, vahingossa osuen vielä useisiin muihinkin viattomiin sivullisiin, eikös vaan? Bouanane olisi selvinnyt muutamalla kuolemantuottamuksella ja toisen vahingoittamiseen soveltuvan esineen hallussapidolla ja olisi jo varmaan vapaalla jalalla. Näinhän olisikin varmasti käynyt, mutta omaksi harmikseen Bouanane oli ilmeisesti sen verran tyhmä, että meni myöntämään, että huuteli Allahin ylistystään kiihdyttääkseen itseään terroriteon teossaan.

Taitaa olla nyt parempi, etten sano tästä asiasta enempää. Olen nimittäin varma, että minun kohdallani "oikeuslaitos" ei kyllä "pidä mahdollisena", vaan syyttäjän syytekirjelmässä väittämät asiat hyväksytään aina tuomion perusteeksi sellaisenaan, kuten tapana on ollut, vaikka sitten tosiasioista piittaamatta. Minun kohdallani oikeus ei varmasti pidä koskaan "mahdollisena", että jonkun sanomiseni takana ei ehkä olisikaan ollut kansanryhmää vastaan kiihottaminen tai uskonrauhan rikkominen. Tämmöistä yhdenvertaisuutta lain edessä täällä demlastanissa.