Uudised, sündmused ja blogi

Registripidajate identifitseerimine ja autentimine

Aastate jooksul on erinevad domeeniregistrid üle maailma langenud rünnete ohvriks, ka EIS pole sellest pääsenud. Kõiki neid ründeid ühendab aga üks ühine tunnus - ära on kasutatud veebiliideste nõrkuseid ja sealt kaudu saadud ligipääs, kas siis registrpidaja süsteemile ja andmetele või halvemal juhul tervele domeeniregistrile. Registrid üle maailma on seda probleemi asunud lahendama, aga nagu ikka, igaüks oma moodi. See on probleem registripidajate jaoks, kes teevad koostööd paljude erinevate registritega ja arenduskulud kipuvad sellises olukorras kiiresti kasvama. Mõni väiksem domeen võib aga nii üldse teenindamata jääda, sest registripidaja joaks ei tasu vajalik arendus ennast ära. Standardiseerituma ja harmoniseerituma lahenduse leidmiseks nüüd kokku tuldigi.

.ee näitel on täna registripidajatele domeeniregistrisüstemiga suhlemiseks avatud kaks kanalit - EPP ja registripidaja portaal. EPP on standardne protokoll, mis on loodud just domeenide haldust silmas pidades. Seda kasutavad valdav enamus domeeniregistreid üle maailma. Eesti puhul kasutavad registripidajad EPP protokolli puhul kas oma arendatud infosüsteeme või EISi poolt pakutavat klienti. Ligipääs üle EPP on piiratud IP põhiselt, kasutajanime ja parooli ning EISi väljastatava sertifikaadiga. Selline lahendus toimib hästi, kuid  üllatusega tuleb tõdeda, et paljud registrid on piirdunud siin vaid kasutajanime ja parooliga või paremal juhul lisanud nn IP valge nimekirja. Täiendavat sertifikaati kasutavad aga vähesed.

Registripidaja portaali puhul kasutab EIS ära Eesti ID-kaardi võimalusi ning registripidajate autoriseeritud kasutajad on kindlalt tuvastatud. Küll aga pole sellist võimalust välismaiste registripidajate puhul. Välismaistele registripidajatele väljastab EIS sarnaselt EPP lahendusele sertifikaate. See pole küll võrreldav tase ID-kaardi põhise lahendusega, kuid siiski samm edasi tavapärasest kasutajanime/parooli lahendusest. Erinevalt EPPst on registripidaja portaali liides maailmale avatud ehk oluliselt haavatavam, kuid selle kaudu tehtavad operatsioonid on piiratud. Seega võib öelda, et EISi poolt vaadatuna on seis rahuldav.

Sarnased portaalid on paljudel registritel. On ka neid, kes ainult sellist liidest oma registripidajatele pakuvadki. Kuid valdav ligipääsuskeem on ka siin kasutajanime ja parooli kombinatsioon. Enamik registreid siiski piirab sellise lahenduse puhul portaali/liidese funktsionaalsust, hoides seda kas ainult infokanalina, kust ei saagi midagi muuta, või lubades vaid vähemkriitilisi toiminguid. Veidi üllatav on, et ka riikides, kus on olemas Eestiga sarnane e-ID lahendus, ei kasutata selle pakutavaid võimalusi. Valdavalt tundub see olema kinni usalduses oma riigi vastu. Siit taaskord palju räägitud mõte meie asjameestele - meie e-ID lahendus peaks olema avatud lähtekoodiga, et skeptikud ja huvilised saaksid olla kindlad, et süsteem teeb ainult seda milleks see on loodud.

On siiski mõned registrid, kus tegeletakse või ka juba kasutatakse täiendavaid turvalahendusi portaalide ja veebiliideste kaitseks. Lahendusi on PGP-st, ühekordsete paroolide, tarkvaraliste ja riistvaraliste võtmete/tonglite/lubade (token) ja mobiilsete rakendusteni välja. Ühine märksõna on kahetasemeline autentimine. Nagu ütles Hollandi registri turbejuht, kus muuseas veel ei kasutata mitmetasemelist lahendust: “password is dead, passphrase is dieing, we need something better and quickly”.

Oma lahendusest käis rääkimas ka IANA (Internet Assigned Numbers Authority) esindaja, kus kõik toimingud töötatakse läbi käsitsi. IANA on domeeniregistrite register kelle jaoks kõik rahvuslikud ja üldised tippdomeenid on registripidajad. Täna on neid kokku 480 ja selle halduse suudavad nad muude tegevuste kõrvalt kolme inimesega ära katta. Taotluseid saab saata otse e-postiga või läbi internetiportaali. Need vaadatakse läbi, kui kõik paistab korrektne, saadetakse taotlus vastava domeeni registri haldus- ja tehnilistele kontaktidele ning kui mõlemalt tuleb kinnitus, viiakse vastav muudatus sisse. Kahjuks ei saa sellist lähenemist kasutada aga kümnetest tuhandetest kuni kümnete miljonite domeenidega tegelevate registrite puhul.

Fredrik Ljunggren, Rootsi infoturbe konsultatsiooni firmast Kirei, millega ka Rootsi register on pikalt koostööd teinud, pakkus välja omapoolse idee - federated identity ehk keskse isikutuvastuse lahenduse kasutuselevõtu. Seda kuuldes tekkis kerge kahtlus hinge, aga sellest hiljem. Idee seisneb lihtsustatult selles, et iga registripidaja tuvastab läbi mingi väga põhjaliku skeemi enda ühe töötaja ehk esindaja ühendatud identiteedi teenuse keskkonnas. See isik vastutab vastava registripidaja tegevuse eest ja haldab oma organisatsiooni sees teisi kasutajaid, kes tegelevad domeenidega. Kasutaja tuvastamine registris toimuks läbi selle keskse süsteemi. Kuid, kes seda keskset süsteemi majandab? Kuidas katta seadusandlusest tulenevad erinevused erinevates riikides? Küsimusi tekkis ja jäi ka õhku päris mitmeid, kuigi ideena kõlab see päris hästi.

Seejärel asus Rootsi registri arendaja tutvustama nende tööd registripidajate kindlama tuvastamise ja autoriseerimise vallas. Esmalt aga kiire põige päeva algusesse - enne ürituse algust vestlesin Patrick Wallströmiga, kes tegeles aastaid Rootsi registri tehniliste lahendustega, kuid täna on peamiselt hõivatud OpenDNSSECi ja DNSSECi teemadega üldisemalt. Muu jutu sees rääkis ta ka Rootsi registri poolt arendatud ja hallatavast kesksest isikutuvastuse lahendusest, mida kasutavad põhiliselt Rootsi ülikoolid ja teadusasutused. See on SAML standardil põhinev teenus, mis vabastab erinevate süsteemide kasutajaid igale poole eraldi kasutajakonto loomise vajadusest.

Rootsi registri prakitliselt valmis lahendusest kuuldes, sai mulle selgeks, et välja kuulutatud ideede õhkupaiskamise ja nende hulgast valikute tegemise asemel on eesmärgiks oma lahenduse propageerimine. Ükskõik, mida teised registrid otsustavad, läheb Rootsi edasi oma lahendusega. Neil on olemas lahendus ja kogemus nn federated identity lahendusega ning kaheastmeline YubiKey riistvaralisel pääsuloal põhinev süsteem on viimastes testimise faasides. Kuidas siis tekiks ühtne süsteem, kui teised registrid sellise lahendusega nõus ei ole?

Kui vaadata otsa konkreetselt YubiKey-le, siis nimetaksin seda pigem 1,5 tasemeliseks lahenduseks. YubiKey on väike USB porti käiv mälupulga laadne vidin, mis genereerib sellel oleva nupu vajutamise peale parooli, mis sisestatakse automaatselt osundatud lahtrile ekraanil. Küll aga on disain tehtud minimalistlik, et seda ei peaks koguaeg masinast välja võtma. On olemas ka eriti pisike versioon, mida ongi raske kätte saada. See tähendab, et eemalt masinasse häkkides ei saa seda pulka küll kasutada ja paroole genereerida, kuid füüsiliselt masina üle kontrolli saades on ikka kõik ligipääsud valla.

Rootslaste lahendusele ei järgnenud vaimustuse hüüdeid. Järgnes arvamusterohke arutelu. Minu jaoks jäid enim kandma mõtted, et kas erinevad lahendused on ikkagi probleem? Et kui me eraelus kasutame üht võtit koju sisenemiseks, teist autosse, kolmandat tööjuurde pääsemiseks, siis miks peaks olema nö universaalne lahendus kõikidesse registritesse pääsemiseks - kas lahenduste varieeruvus siin hoopis täiendavat turvalisust ei tähenda? Olen selle mõttega põhimõtteliselt ka päri, aga probleemipüstituses toodud suured arenduskulud tekivad siis, kui need lahendused on väga erinevad - kui vahe on vaid tongli/tokeni tüübis, mille register registripidajale eraldab, siis polegi häda. Kõlas ka väide, et registripidajad ei ole nõus midagi turvalisuse nimel tegema, mis teiselt poolt nende igapäevatööd potentsiaalselt ebamugavamaks ja aeglasemaks muudab. Siin jäin kõhkeljate leeri, sest on ju ka meil Eestis registripidajaid, kes turvalisust väga tõsiselt võtavad.

Kohtumise lõpuks oli üldine hoiak, et turbe suurendamiseks on kaks põhilist moodust - riiklikud elektroonise ID lahendused ja registrite enda poolt pakutavad kahetasemelise isikutuvastuse moodused, kusjuures valik riistvaralise, tarkvaralise või Google Authenticatori (TOTP standardi üks implementatsioonidest) sarnaste mobiiltelefoni põhiste lahenduste vahel jäägu registritele otsustada. Lisaks, võiks välja pakkuda ka turvatasemed, kus näiteks kasutajanime ja parooli kasutades saab ligi vaid infole, muudatusi teha ei saa. Samm edasi oleks IP valge nimekiri ning kriitilisemate funktsioonide jaoks peab kasutama täiendavat turvataset mingi tokeni näol.

Reaalsete lahenduste ja kokkulepeteni ei jõutud - oleks ilmselt olnud liiga palju oodatagi. Küll langes otsus koostada registripidajate hulgas küsitlus, et selgitada välja missuguseid autentimise meetodeid juba kasutatakse ja missuguseid lahendusi registripidajad eelistavad kasutada.

Kogu arutelu keerles seega registrite endi veebiliideste turvalisuse ümber, kuid välja jäid vajadused ja võimalused seoses registripidajate liidestega, mis on suurema kasutatavusega ja valdav osa ründeid registrite pihta on tulnud sealt. Ma ei väida, et probleem on kõigi või isegi suure osaga registripidajatest. Nagu öeldud on ka Eestis registripidajaid, kes võtavad oma süsteemi turvalisust väga tõsiselt, kuid probleemiks piisab vaid ühest nõrgast lülist. Väga palju siin teha ei saa, kohustus regulaarselt mingil tasemel penetration teste oma süsteemide pihta tellida käib väiksematele üle jõu, ka väiksematele registritele pole jõukohane endaga seotud registripidajaid auditeerida. Ehk on siin üks võimalik lahendus kuskil vahepeal - väiksematele registripidajatele pakub register välja oma portaali, need kes tahavad aga enda iseteenindusportaale ja automaatsüsteeme kasutada, peavad teatud regulaarsusega läbima kõigi registrite poolt tunnustatud turvatestimise. Enne selleni jõudmist peavad aga registrid siiski oma “kapid” korda tegema.