BLOGI

CENTR Jamboree 14: arenduse töörühm

Kolmas päev seekordsel Jamboreel oli 6nda arenduse ja 44nda õiguse töörühmade päralt. Kaks päeva ja ööd konverentsi oli jätnud oma jälje, keskenduda oli raske ja ootused polnud suured. Kuid ootamatult kujunes arenduse töötoast seekordse Jamboree kõige huvitavam päev.

Päeva peaesinejaks oli Cisco Fellow Mark Townsley, kes rääkis IPv6 marsruutimisest koduses võrgus. IPv6 on kohal, asjade internetil on ka juba üks jalg uksvahelt sees. On eelviimane aeg ennast valmis seada. IPv6 pakub lisaks "lõputule" hulgale kordumatutele aadressidele rida lahedaid eeliseid vana, 4 versiooni, ees. Lihtsam haldus, paremad ja lühemad rajad suhtlevate punktide vahel. Selle kodukasutajale kättesaadavamaks muutmiseks on ellu kutsutud IETFi töögrupp Homenet, millesse kõik huvilised on oodatud panustama.

Üks parimaid esitlusi minu jaoks oli päeva teine. Mitte just kuigi tihti ei tule ette, et kuuled kedagi esitlemas justkui oma mõtteid. Teemaks Namecoin ja provotseerivaks pealkirjaks "kuidas me kõik tänu namecoinile varsti töötud oleme." Teema püstitus suunatud siis DNSi valdkonna tegijatele. Alustuseks tuletame meelde, et DNSi puhul on tegemist lihtsa registriga, kus viiakse kokku domeeninimed ja IP-aadressid, kust neid leida. See on hierarhiline ja tsentraliseeritud süsteem. Nii näiteks haldab kogu .ee domeenide andmebaasi EIS. Sellisel kesksel haldusel põhineva süsteemi üheks probleemiks on näiteks võimuorganite küsitavalt põhjendatud nõuded domeenide registrist eemaldamiseks või blokeerimiseks. Eesti on seadusriik ja mingit võimude poolset kuritarvitamist meil siin seni karta pole olnud põhjust, kuid siiski tegeletakse ka meil internetikasiinode lehekülgedele ligipääsu tõkestamisel DNS andmete võltsimisega. Sellise praktika tõttu on otsitud ka juba pikalt alternatiive DNSile. Variante on aja jooksul pakutud mitmeid, kuid mitte ühtegi tõsiselt võetavat lahendust, kuni tuli Bitcoin. Kuidas puutub "krüptoraha" võrgustik DNSi? Otseselt ei puutugi, kuid Bitcoin pakkus välja hästi toimiva detsentraliseeritud registrilahenduse. Ja sellele ideele on rajatud Bitcoini algoritmil põhinev Namecoin võrgustik. Namecoin töötab identselt Bitcoiniga. Kaevandatud Namecoinide eest saab registreerida vabu domeeninimesid. Kui ei ole ise soovi või võimalust kaevandada, saab Namecoine osta päris raha eest vastavalt börsilt ja nii lihtne see ongi. Kõik blokid on igavesed ja neid ei ole võimalik kustutada. Blokid on krüptoallkirjastatud ning kirjed on avalikud. Seega on olemas ka ajalugu, puuduvad mustad, valged, reserveeritud, blokeeritud ja muud nimekirjad. Keegi ei saa kasutajalt lihtsalt domeeni ära võtta, puudub otsene vajadus vahendava registripidaja järele. Namecoin tegutseb täna ülddomeeni .bit all. Kõik ei ole küll tegelikkuses nii roosiline kui esmalt tunduda võib - tarkvara on veel toores, keeruline on tagada oma salajase krüptovõtme turvalisus. Võtit pole võimalik taastada ja koos sellega kaob ka kontroll registreeritud domeeni üle. Ei esitleja Stéphane Bortzmeyeri ega ka minu mõte pole kuulutada DNSi lõppu, vaid rõhutada, milleni võib ülereguleerimine, DNS andmete süstemaatiline võltsimine ja liigne bürokraatia viia. Registrina on meie ülesanne koostöös registripidajatega tagada oma DNSi tsooni usaldusväärsus, domeenide kättesaadavus ja registreerimise lihtsus. Kipume unustama, et teeme seda kõike registreerijate jaoks ja huvides.

Tšehhide Turrisest ei hakka rohkem kirjutama. Selle kohta leiab infot varasematest postitustest. Seekordsel esitlusel keskenduti monitooringu võimalustele, mida juba jälgitakse ja mida on plaanis jälgima hakata.

Seejärel tõstatas Afnic taaskord probleemi nime kokkupõrgetest DNS süsteemis. Ka siin pole midagi uut - seoses uute ülddomeenide massilise tulekuga, on sellest räägitud pikalt. Suhteliselt standardne on kasutada sisevõrkudes domeenilaiendeid nagu .local, .internal või .home. Neile ja paljudele teistele tippdomeeni nimedele on rida avaldusi soovijatelt, kes tahavad sellise domeeni alt hakata üle interneti teenust pakkuma. Need konkreetsed nimed pole veel delegeeritud ja ilmselt seda ka ei tehta, kuid .globalit kasutatakse erinevate uuringute järgi päris palju ka näiteks rahvusvaheliste ettevõtete sisevõrkudes. Probleem on tegelikkuses siis selles, et otsimootorid, sirvikud, mobiili- ja nutirakendused ei saa aru, kas kasutaja mõtles oma päringuga 'hotel paris' suvalisi hotelle Pariisis või soovib pöörduda konkreetse aadressi hotel.paris poole. Mure on mitmene - kasutaja võib sattuda välisele lehele, soovides tegelikkuses pöörduda sisemise süsteemi poole või vastupidi, kasutajal ei ole võimalik pöörduda välise lahenduse poole sisevõrgus oleva nimekonflikti tõttu. Probleem tekib lisaks sisemiseks kasutuseks välja antud TLS sertifikaatidega. Ka suurtelt CAdelt on võimalik osta sertifikaate domeeninimedele mida pole (veel) olemas. Head ühest lahendust sellele endiselt pole ning küsivad pilgud on suunatud ICANNi poole.

Belgia register võttis hiljuti suhtluses registripidajatega kasutusele kahe tegurilise autentimise (2FA). Põhjus ka selge - ainuüksi 2013. aastal oli üle maailma umbes 30 teadaolevat registrite ja registripidajate vastu suunatud ründe juhtumit. Valik langesTOTP ehk time-based one-time password protokolli põhisele lahendusele - seda kasutab ka näiteks Google Authenticator. 2FA muutus aprillist kohustuslikuks kõigile .be registripidajatele igal süsteemi sisselogimisel. Üleminek uuele süsteemile läks üle ootuste sujuvalt. Teema on ka EISis laual päris mitmest lähtepunktist - nii registripidajatele registri poole pöördumiseks kui ka välismaistele registreerijateleregistreerija portaali ligipääsu võimaldamiseks.

Prantsuse Interneti kindluse jälgimise keskus (French Internet Resilience Observatory) tutvustas oma organisatsiooni ja PGP-alast uuringut Prantsusmaa ettevõtete hulgas. Siin midagi Eestiga seonduvat välja tuua ei olegi. Kuid Marco Davids Hollandi registri arendusosakonnast (SIDN labs) rääkis nende katsetustest lahendavate nimeserverite reputatsiooni süsteemiga (ResRep), mille eesmärk on vähendada nimeserverite kuritarvitamist. Töö on alles pooleli ja vastust küsimusele, kas sellisest nimeserverite indekseerimisest võiks olla kasu kvaliteetsema interneti tagamiseks. Seniste katsetuste ja uuringute käigus on suudetud tuvastada suur hulk erinevate probleemide käes vaevlevaid nimeservereid - kuritahtlikke, kaaperdatud, lihtsalt vananenud ja/või halvasti seadistatud. Esmane projekti käigus tehtud järeldus on, et sellisel nimeserveri "sõrmejälje" sarnaste parameetrite uurimisel on potentsiaali probleemide tuvastamisel. Töö jätkub.

Päeva lõppu jäi aga uut moodi katse konverentsile värvi lisada - nn unconference(mittekonverents?) tüüpi konverents. See tähendab definitsiooni järgi pigem vestluseid ja arutelusid publikus tõstatatud teemadel. Kõigil, kellel mingi teema mõtteis, paluti esitada oma probleemi püstitus kirjalikult eestvedajatele. Mittekonverentsi esimese sammuna loeti teemad ette ning iga üks sai anda oma hääle missugustest arutelu teemadest ta huvitatud on. Häälte põhjal valiti välja 3 populaarsemat. Ka mina esitasin aruteluks oma ühe südamelähedasema probleemi: "Kuidas viia registri andmekvaliteet uuele tasemele - kas on võimalik tagada, et iga registris olev isik ja ettevõte on ka reaalselt olemas." Hääletusel jäi teema 1 häälega alla enim hääli saanud DarkNETi ehk hämarate tippdomeenide teemale. Et teised edasi pääsenud ideed olid justkui jätkuks eelmise päeva esitlustele - botnetid ja dnschecki tugi, mis midagi uut esile ei tõstnud, siis nendel ei peatukski.

EIS on rakendab täna endiselt ühena vähestest .ee domeeni registreeringutelkohalikkuse nõuet ning nõuab ka lisaks paljude olulisemate toimingute juurde allkirjastatud registreerija või tema esindaja sooviavaldust. Tänu digi-ID taristule saame suure kindlusega öelda, et vähemalt üks kontakt iga .ee domeeni küljes on reaalne.Oleme ses osas ülejäänud maailmast oluliselt paremas seisus. Sellegipoolest on ka meie registris nö kuult pärilt nipitirisid. Tegutsedes nö JSJV (jama-sisse-jama-välja või garbage-in-garbage-out) süsteemis, on minu põhimõtteline seisukoht, mille kergelt provokatiivse küsimusena esitasin ka publikule: "kui me ei saa usaldada andmeid, mida kogume, milleks neid siis üldse koguda?" Ootamatult vaatasid publikust sellepeale, aga vastu ainult kaasa noogutavad näod. Selge märk, et olen oma mõtetega õigel teel ja registrid pole siiski nii ükskõiksed oma suhteliselt kehva kvaliteediga andmete suhtes. Osad registrid astuvad siiski ka samme kvaliteedi parandamiseks. Sarnaselt meile viiakse läbi kontrolle vastu kohalikke äri- ja rahvastikuregistri tüüpi andmebaase, kui sellised on olemas ja neid saab kasutada. Tšehhi register tegeleb registris korduvate andmete vähendamisega ja püüab registreerijatele muuta mugavaks oma domeenidega seotud kontaktandmetest ülevaate saamise ja paranduste tegemise. Kõik need meetmed tegelevad kehva kvaliteediga andmetega, mis on juba baasis. Tagant järgi millegi parandamine on aga teatavasti ka oluliselt kulukam. Missugused oleksid võimalused vähendada selliste andmete sattumist registrisse juba registreerimisel? Esmane loogiline ja reaalsest elust (mitte tehnilise lahenduse lihtsusest) lähtuv võimalus oleks olukord, kus iga ettevõte ja eraisik oleks sarnaselt reaalsele elule ka andmebaasis unikaalne ja ühekordne. Tänased tehnilised lahendused jätavad võimaluse luua minu nime ja isikukoodiga kontakti objekte andmebaasi piiramatult. Vead nimes ja kontaktandmetes on kerged tekkima ja kui reigstreerimiseks ei kasuta elektroonilist ID-d pole ka kindlust, et isikukood on õige. Välismaiste registreerijate puhul, kus tihti puudubki riiklik unikaalne äriregistri või isikukood, on olukord veel vigade altim. See tähendab, et sisuliselt pole ka võimalik ühel registreerijal, kes omab mitut domeeni, oma andmeid lihtsalt hallata, mis omakorda tähendab, et mida vanemaks saavad domeeni andmed, seda kehvemaks jääb nende kvaliteet. Idee leidis publikus ka toetust, kuid selle saavutamiseks hea tehnilise lahenduse leidmine vajab veel tööd. Võimalik on teostada ka kontrolle registreerimisel või tagantjärele vastu teiste riikide andmebaase ja näiteksEU Stork andmebaasi, mille tõstis esile Nominet (.uk). Samuti on võimalus registrite vaheliseks koostööks, kus kohalike ettevõtete ja eraisikute andmete kontrolliga tegeleb kohalik register, aga kui näiteks .ee-d tuleb registreerima keegi Tšehhist, siis saaksime esitatavaid andmeid kontrollida vastu Tšehhi domeeniregistrit. Võib ju suhteliselt kindel olla, et kui välismaalane registreerib .ee, siis on tal olemas ka domeen mõnes teises registris. Kontaktandmete kvaliteet ja valideerimine on päevakorras ka ICANNis, seega mingeid muudatusi domeenivaldkonnas on tulemas nii kui nii, miks mitte siis tegutseda juba täna, kui alustasime just uue süsteemi arendust. Häid lahendusi küll arutelu käigus ei sündinud, kuid teema on jätkuvalt päevakorras ja CENTRi kogukonna silmad kiikavad nüüd ka ootusärvalt meie poole. Siit ka üleskutse meie partneritele, registripidajatele, avaldada julgelt ka omi mõtteid ja ettepanekuid sellel teemal.

Uus kommentaar

Email again:

© 2017 Eesti Interneti Sihtasutus  | Paldiski mnt 80, 10617 Tallinn | Registrikood: 90010019