Mikä on TEMPEST

TEMPEST on lyhenne sanoista Telecommunications Electronics Material Protected from Emanating Spurious Transmissions. Siihen kuuluvat tekniset turvatoimet, standardit ja välineistö, joilla estetään tai minimoidaan haavoittuvien tietoliikennelaitteiden tekninen valvonta tai salakuuntelu.

Sähkömagneettiset kentät

Kaikki mikrosirulliset laitteet kehittävät sähkömagneettisen kentän, jota tietoturva-asiantuntijat usein kutsuvat "paljastavaksi vuodoksi". Kunnollisilla valvontalaitteilla näitä vuotoja voidaan siepata ja signaali voidaan rekonstruoida ja analysoida. Suojaamattomat laitteet voivat itse asiassa lähettää samanlaisen signaalin kuin radioasema - ja kukaan ei varmasti halua vaarantaa omaa työpaikkaansa ja paljoa muuta lähettämällä valtion salaisuuksia tai liikesalaisuuksia väärille ihmisille.

Haavoittuvat laitteet

Eräitä kaikkein haavoittuvimpia laitteita ovat kaiutinpuhelimet, tulostimet, faksilaitteet, skannerit, ulkoiset levyasemat sekä muut nopeat, suuren kaistaleveyden oheislaitteet. Laitteesi signaalit voidaan kaapata useiden kymmenien metrien päähän, jos nuuskija käyttää korkealaatuista salakuuntelulaitetta.

Esimerkki

Todennäköisesti yksi kaikkein haavoittuvimmista laitteista on analoginen VGA-näyttö. Jos vakooja haluaa troijalaisen järjestelmääsi, hän voi seurata ja tallentaa päivän aikana käytetyt näppäinpainallukset ja salasanat. Kun järjestelmä ei ole öisin käytössä, vakooja voi pulssittaa VGA-näytön harmaasävykuvilla, joilla on vahva signaali tietyillä taajuuksilla. VGA käyttää SCSI-signalointia (yksi johdin), jolla on yhteismuodon häiriönpäästötaso ilman kaapelisuojausta. Näitä signaaleja on mahdollista seurata suojatun alueen ulkopuolelta radiovastaanottimella. Lähellä sijaitseva kehittynyt vastaanotin poimii ja katsoo VGA-näytön sisällön ilman troijalaistakin.

Kansallinen turvallisuusvirasto

Viimeisten 40 vuoden aikana Yhdysvaltain Kansallinen turvallisuusvirasto (NSA) on kehittänyt ja vahvistanut useita alan mittastandardeja. Nämä tehostetut kriteerit tunnetaan yleisesti TEMPEST-standardeina (NSA kutsuu niitä myös EMSEC-standardeiksi, joka on lyhenne sanoista "emissions security" emissioturvallisuus).  TEMPEST-tavoitteisiin kuuluvat piirielementtien suunnittelu rajoittamaan hajasäteilyä ja tarkoituksenmukaisen suojauksen, maadoituksen ja liitännän käyttö.

Common Criteria

Common Criteria on kansainväliseen käyttöön kehitetty yhdenmukaistettu prosessi tietotekniikan turvallisuuden arvioimiseksi, kelpuuttamiseksi ja sertifioimiseksi. Yhdysvaltain Kansallinen turvallisuusvirasto tukee Common Criteria -järjestelmää NIAP-hankkeen kautta (National Information Assurance Program).

EAL4+: turvaa suunnittelusta jakeluun

Joukko testejä, joiden tarkoituksena on IT-tuotteen toimitusketjun turvallisuuden arvioiminen suunnittelusta valmistukseen ja jakeluun. Arviointitesti testaa uusien tietoturvatuotteiden suunnittelu-, testaus-, vahvistus- ja toimitusprosessin. Asiakkaat puolestaan voivat luottaa siihen, miten tuote on suunniteltu, testattu, rakennettu ja toimitettu. Tämä tarkoittaa sitä, että näiden kytkinten matala säteilytasoprofiili täyttää sähkömagneettiselle säteilylle asetetut vaatimukset.

Toimialue

Sotilaalliset järjestöt vaativat TEMPEST-standardia. Turvastandardina siihen kuuluvat tekniset turvatoimet, standardit ja välineistö, joilla estetään tai minimoidaan haavoittuvien tietoliikennelaitteiden tekninen valvonta tai salakuuntelu.