Uudised, sündmused ja blogi

DNS - tulevikuga või tulevikuta?

Internetist on saanud vaata et põhiõigus. Selle loomisel aga ei mõeldud veel isikuandmete kaitsele ja privaatsusele. Domeeninimede süsteem on tsentraliseeritud ning selle juurtaset haldab 2016 aasta oktoobrist ICANN (Ameerikas baseeruv mittetulunduslik sidusrühmade põhine organisatsioon, kuhu kuuluvad teiste hulgas pea kõik maaima tippdomeeni registrid ning kus löövad kaasa enamike riikide valitsuste esindajad). Tsentraliseeritus aga tähendab, et DNS on haavatav manipuleeringutele ja nii on see üks peamisi viise interneti sisu tsenseerimiseks. Ka Eesti Maksu- ja Tolliamet kasutab seda interneti kasutajate ligipääsu raskendamiseks nö mitte-maksukuulekatele hasartmängu teenusepakkujaile.

DNS ei ole krüpteeritud ja üks sagedasti kasutatav viis internetikasutajate järgi nuhkimiseks. Ülesehituse iseärasuste tõttu kasutatakse DNSi ka nn võimendusrünnetel, kus tekitatakse suures mahus andmeliiklust sihtmärgiks valitud teenuse suunal. Nõrkuseid on üritatud aastate jooksul vähendada lisades muuhulgas tehnoloogiaid nagu DNSSEC ja DANE. Privaatsuse tagamiseks on välja pakutud erinevaid DNS liikluse krüpteerimise tehnoloogiaid nagu DoH, DoT ja DoQ. Nendega kaasnevast nimeruumi fragmenteerumise ohust oli juttu hiljutises postituses.

Pikalt on otsitud alternatiivi, nö DNS2, mis lahendaks kõik tänase DNSi mured. Blokiahela tehnoloogia ilmnedes üritati seda rakendada kõikvõimalikesse ülesannetesse, muuhulgas ka nimelahenduse de-tsentraliseerimiseks. Ilmusid projektid nagu NameCoin, Ethereum Name Service, Blockchain-DNS või kitsama fookusega Unstoppable Domains. Blokiahel küll lahendab tsentraliseerituse probleemi, kuid toob lauale detsentrailseerimise olulisima probleemi - väga suure ressursinõudlikkuse. Iga kasutaja talletab enda juures kogu interneti domeeninimede registrit. Iga muudatus nimede registris tähendab meeletut andmeliiklust, sest kõikide osaliste kontoraamatud vajavad uuendamist. Ja minu tagasihoidlikul hinnangul ei õigusta selline ebatõhusus ennast antud kasutusjuhu puhul.

Otsingud jätkuvad ning juuli lõpus esitleti IETF108 SecDispatch töögrupi kohtumisel uut alternatiivi kavandit - GNU nimede süsteem (GNU Name System). See põhineb hajutatud räsi tabelil (DHT - ditributed hash table), mille tuntuimaks näiteks on BitTorrenti võrgustik. Tagatud on päringute privaatsus (Private Information Retrieval (PIR)) nii, et isegi teenindav server ei tea, mis kirjet kasutaja küsis. Kõigil ei pea olema terviklikku koopiat globaalsest domeenide andmebaasist. Igaüks saab oma tabelit ise hallates tekitades olukorra, kus ei ole enam nö üht globaalset tõde. Facebook minu tabelis ei pruugi tähendada sama mis Facebook kellegi teise omas ning see on selle tehnoloogia üks suurimaid puuduseid. Tänane DNS oma tsentraliseeritud hierarhilise struktuuriga tagab tõhusalt domeeninimede unikaalsuse. DNSi sisuga manipuleerimine toimub peamiselt lahendavate nimeserverite tasemel ja seega kui kellelegi ei meeldi kuidas maksuamet DNSis susib, võib kasutada oma internetiteenuse pakkuja nimeteenuse asemel mõnd globaalset (8.8.8.8) või panna enda teenus püsti.

Gruppe ja projekte, kes tegelevad DNSi kaasajastamisega on veel, näiteks Handshake. Kuid suures pildis võib öelda, et DNS toimib suurepäraselt sellena milleks see on loodud - see on väga hea “haamer domeeninimede toksimiseks”. Probleem on pigem seda ümbritsevas keskkonnas ning tänapäevastest väärtustest tulenevates ootustes - see ei varja lähedalseisjate eest missugust “naela” parasjagu toksitakse ning võimaldab ka võõrasse “planku” kiiresti palju naelu taguda...

Teema on oluline, probleemid tuntavad, kuid seni pole veel näha seda ühte ja õiget, mis päästaks maailma ning vanameister rapsib edasi.