Uudised, sündmused ja blogi

ID4me Summit 2019 - eID kohtub DNSiga

Sellest samast DNSi usaldusahelana ära kasutavast lahendusest on varasemalt ka siin blogis juttu olnud (leiad need märksõnaga E-ID). ID4me lahendus toetub OpenID standardile, on avatud ja võimaldab lahus hoida kasutaja autoriseerimiseks vajalikke andmeid (nimi, saladus) kasutaja isikuandmetest andes selliselt kasutajale suurema kontrolli näiteks kaupmehele avaldatavate andmete üle.

DNS mängib süsteemis teeviida rolli (selleks see ju loodud ongi) suunates internetis teenust vahendava keskkonna kasutaja tuvastamiseks/autoriseerimiseks korrektse nö identiteediameti (Identity Authority) ning isikuandmete edastamiseks identiteedi agendi (Identity Agent) juurde. DNSSEC võimaldab samal ajal veenduda, et DNSist tulevad andmed on korrektsed.

Projekti eesmärk on pakkuda kasutajatele mugavat lahendust teenusepõhistest kasutajakontodest pääsemiseks, olles ühelt poolt alternatiiviks laialt levinud, kuid õela korporatiivkuulsusega Google, Facebooki, Microsofti ja nüüd ka Apple lahendustele. Samas loodan, et latt saab seatud siiski kõrgemale, tuues sisse tugevama isikutuvastuse, trügides nii ülepiirilise elektroonilise isikutuvastuse lahendusena eIDAS projekti kõrvale. Viimane katab ju vaid EU riikide lahendusi. Projektile lisab hoogu ICANNi üha aktiivsem tegevus domeenide ja DNSi kuritarvitamise vallas, millest üheks meetmeks on RDAP ehk uue põlvkonna WHOIS, mis võimaldab kuvada anonüümsele ja tuvastatud kasutajale erineva detailsusega teavet domeeni registreeringu kohta. See nõuab aga sobilikku lahendust isikutuvastuseks, mida saaksid kasutada näiteks erinevate riikide õiguskaitseorganid. Teine meede, millest üha rohkem räägitakse, nii ICANNi kui ka registrite tasemel, on isikutuvastus domeeni registreerimisel.

Siia aga ka kiire irooniline kõrvalepõige - .ee on tagunud juba 10 aastat tugeva isikutuvastuse trummi. Oleme juurutanud digitaalse allkirjastamise nõude, sest see võimaldab lihtsalt dokumentaalselt taasesitatavas vormis eelkõige tuvastada registreerimise avalduse esitanud isiku. Et see lähenemine erineb radikaalselt sellest, kuidas teised registrid toimetavad, siis oleme olnud pideva “turmtule” all eelkõige välismaiste registripidajate poolt see erisus eemaldada. Oleme ajanud selja sirgu ja öelnud, et tugev isikutuvastus on tulevik ja me oleme siin teenäitajad. 18. septembril avaldas GAC (riikide valitsuste esindajaid koondav ICANNi töörühm) järgmisele kohtumisele ettevaatava paberi DNSi kuritarvituste vastu võitlemise teemal, kus tõstetakse esile tugeva isikutuvastuse vallas Taani register. See muidugi on eelkõige tänu Eesti esindaja puudumisele GACis. Aga mõtlema paneb ikka - oleme eeskujud iseendale.

DNS, selle turvalisus ning kuritarvituste vähendamine on tõusnud ühtäkki teemaks ICANNis, seda on ära märgitud EU uues/planeeritavas digitaalsete teenuste direktiivis (Digital Services Act), EU digitaalse turvalisuse aktis (Digital Security Act), aga ka NTIA ja Verisigni vahelise .com haldust puudutavas kokkuleppe muudatuses 35. Üks olulisemaid meetmeid siin on just tuvastatud osapooled. Seega on oluline siin pigem olla aktiivne, et ühel hetkel ei sõidetaks ülevalt poolt sisse üle reguleerivate nõuetega. Omast kogemusest teame kui erinevad on vastavad võimalused erinevates riikides. Heast piiriülesest lahendusest oleks siin palju abi. Pinnas on väga hea sellise teenuse esilekerkimiseks.

Aga mis on meie huvi konkreetsemalt selles projektis? Näen siin kahte võimalust, kust võiks sündida .ee jaoks väärtust. Peamine neist on meie pidevad otsingud leida sobilikke lahendusi .ee tugeva isikutuvastuse jaoks, mis muudaks .ee ligipääsetavamaks ka välismaistele registreerijatele - on ju .ee parim värav eestlasteni internetis. Täna on välismaalaste jaoks .ee registreerimine pigem raske, Eesti ID-kaardi sarnase elektroonilise isikutuvastuse lahenduse puudumise tõttu. Ehk on just see lahendus midagi sellist, mis võimaldab meil tõket leevendada. See eeldab, et usaldame identiteedi agenti ja tema kasutaja tuvastamise taset, mis peaks vastama meie tugeva isikutuvastuse ootustele. Üks lahendus siin on, et oleme ise agent, viime tuvastamise protsessi läbi ja väljastame identiteedi, millega siis kasutaja saab pöörduda muu hulgas ka .ee registripidajate poole domeeninime registreerimiseks. Seda lootust, et võiksime kõiki ID4me identiteediga kasutajaid .ee’d registreerima lubada ei ole tõenäoline, sest ilmselt ei seata ID4me standardile minimaalseid isikutuvastuse nõudeid - igale kogukonna liikmele jäetakse võimalus ise otsustada identiteedi tugevuse üle, mis aga võib tähendada parajat segadust kasutaja jaoks. Kui kaupmehed ja teenusepakkujad peavad hakkama tegema valikut missuguseid identiteete, agente ja ameteid usaldatakse või peetakse piisavaks oma teenuse kasutamise võimaldamiseks, tekib olukord, kus kasutaja, kellel on ID4me sobilik identiteet ja näeb teenuses vastavat võimalust seda kasutada, saab alles pärast reaalset katset teenusesse sisenedes teada, kas tema identiteet on piisavalt tugev.

Teine väärtuse loome koht on pakkuda kõigile tuvastatud .ee registreerijatele, haldus- ja tehnilistele kontaktidele ID4me standardiga sobilikku elektroonilist identiteeti teistesse võimalikesse teenustesse sisenemiseks. See oleks lihtsalt üks täiendav lisaväärtus .ee registreerimiseks - Eesti ID-kaart/mobiil-ID ei ole, ega tõenäoliselt ka saa olema rahvusvaheliselt laialt kasutatav SSO lahendus, kuid sellel baseeruv DNSi põhine nö alias võiks seda olla küll. Oleks sellisel kujul midagi sarnast Smart-ID-le, kuid usun, et avatud kogukonna põhisel rahvusvahelisel löögirühmal on paremad võimalused kiiresti laia kasutajaskonnani jõuda. Kuid isikutuvastuse tugevuse eelis jääb tänast olukorda vaadates siiski Smart-ID-le.

Nagu öeldud, siis meie huvi on eelkõige leida siit lisavõimalus välismaiste registreerijate tuvastamiseks ideaalis läbi teiste usaldusväärsete identiteediagentide nagu Denic või veel parema näitena MojeID, sest tšehhid plaanivad ka selle liidestada ID4me võrguga. Seega soovime, et iga meie poole pöörduv kasutaja oleks teisendatav konkreetse eksisteeriva füüsilise isikuni, kes seda kontot kontrollib. See on siis see nö kaupmehe vaade. Kuid mündil on ka teine pool - kasutajana tahan ma omada paljusid identiteete - eraisik, avalik, töine, ajutine/ühekordne identiteet. Aga mulle tundub, et see on pigem funktsionaalsuse küsimus ja aluseks peaks ikkagi olema tugevalt tuvastatud isik, kes saab siis kuvada välja erinevate identidega (domeeni nimedega) seoses erinevaid kontaktandmeid, kuid isikukoodi ja nime tasemel näiteks on võimalik öelda, et selle identiteedi taga on Timo Võhmar (seda sama domeeninime/kasutajanime ei pruugi rohkem kasutada saada (ühekordne) - kuid isik on teada). Saab näha, kuhu projekt lõpuks välja jõuab.

Esimesed päriselu lahendused on aga juba olemas Wordpressi ametlikust lisast kuni reaalsete rakendusteni välja (näiteks cloudfest 2020 registreerimine). Iga huviline saab tegelikult rakendada seda võimalust kasvõi oma sisevõrgus kasutajate tuvastamiseks.

Meie sisenemine projekti oli minu hinnangul edukas. Sai loodud mitmeid väärt kontakte projektiga juba tihedalt seotud inimestega, aga ka teemast huvitatutega, registripidajatest autoriõiguse kaitse juristini välja. Loodame ainult, et meil jätkub tarkust ja jõudu teemaga sammu pidada ja mitte jääda maha sellest rongist, mis võib vabalt olla järgmine suur asi DNS vallas.