Uudised, sündmused ja blogi

CENTR Tech49 - NIS2 meeltel ja keeltel

Saksa register jagas näiteks suure uhkusega oma tegevusi seoses postiaadresside kontrolliga. Tekib kohe küsimus - miks? Miks üldse on vaja postiaadresse koguda ja siis panustada suuri ressursse ambitsioonika süsteemi üles ehitamiseks, mis oleks võimeline valideerima postiaadresse üle kogu maailma. Nõue andmeid kontrollida tuleb muidugi jõustuvast EU direktiivist. .de registri peamine kasutuslugu postiaadresside taga on pahatahtlike registreeringute tuvastamine - see on nende üks olulisemaid sisendeid. Valeaadressid indikeerivad soovi jääda anonüümseks ja on justkui häirekell jälgimaks, mis vastava domeeni taga toimub. Siit aga jätkuküsimus: kas postiaadresside korrastamine ei tühista seda signaali - pahalased kasutavad edaspidi eksisteerivaid aadresse väljamõeldute asemel? Sellele ma head vastust ei saanudki…

Eraldi põhjaliku aruteluna võtsime ette eesmärgi proovida defineerida standardne tehniline lahendus registreerija andmete kontrolliks domeeni registreerimisel vältimaks iga registri unikaalset lähenemist. See aitab vältida olukorda, kus registripidajad peavad omakorda juurutama igaühe jaoks uue erilise lahenduse. Idee on küll õilis, kuid kaugelt mitte uus. Olen osalenud juba enam kui aasta samalaadse statuudiga töögrupis, mis läheneb asjale rohkem küll protsesside poole pealt. Aga ka siin jõudsime üsna pea tõdemuseni, et ülesanne võib olla lahendamatu - lähtekohad on liiga erinevad ning oluliseks mõjutajaks on kohalikud regulatsioonid - pole ju lõpuni selge, missugune versioon direktiivist igas riigis jõustub. Kirve nurka viskamise asemel leidsime, et tark mõte on kokku koondada lahendused, mis juba erinevates registrites eksisteerivad, et registrid, kes alles alustavad küsimusega tegelemist, saaksid “tööriistakohvrist” valida omale kõige sobivama. Minu huvi selles teema osas on peamiselt .ee kogemuse jagamine – oleme ju ainsa registrina maailmas tegelenud registreerijate tugeva tuvastamise ning andmete kontrolliga asutamisest saadik ehk juba 13 aastat. Püüan tuua aruteludesse kainet mõistust ja küsida olulisi küsimusi nagu “miks postiaadressid”, sest iga teekond kvaliteetsema andmestiku poole peaks algama ebavajalike andmete kõrvale heitmisest ja nende kogumise lõpetamisest.

Hoolimata suurimast kogemuste pagasist, ei saa siiski ka meie öelda, et kõik on valmis. Probleem on välismaiste registreeringutega - eriti nendega, mis tehakse väljastpoolt Euroopa Liitu. .ee puhul on enim välisregistreeringuid Hiinast ja USAst. Töötame ise täna koostöös Veriffiga videotuvastust rakendava lahenduse kallal, kuid tänu NISile on nüüd kerkinud lõpuks ka teiste registrite lauale mõte registritevahelisest koostööst, mida oleme üritanud mitmeid kordi varem välja pakkuda. On ju kohalikul registril parim ligipääs riigi andmekogudele nii äri- kui eraisikute andmete kontrolliks ja enamasti võib olla kindel, et kui sakslane registreerib .ee domeeni, siis on tal registreeritud ka nimi või mitu .de registris. Miks mitte kontrollida siis laekunud andmeid vastava riigi registriga koostöös? Saksa register igatahes tõstatas selle küsimuse. Näis, kas õnnestub siit lõpuks ka mingi lahenduseni jõuda.

Aga siiski oli teemasid ka väljastpoolt isiku- ja kontaktandmete kontrolli. Näiteks Hollandi register tutvustas oma töötulemusi masinõppe rakendamisel DNS andmete analüüsis. Kasutades Word2Vec algoritmi, tuvastati üsna edukalt avatud lahendavaid nimeservereid (resolver) - näiteks Google ja Cloudflare nimeserverid tuvastati 96% täpsusega. Küll oli ka erandeid, kus täpsus jäi alla 70%, aga potentsiaali sellel lahendusel kindlasti on.

Hollandlased teevad koostöös Belgia registriga tööd ka masinõppe rakendamises pahatahtlike registreeringute tuvastamisel. Osa andmestikust suunatakse mudelite treenimiseks, rakendades siis seda teise osa peal probleemide tuvastamiseks. Potentsiaalselt probleemsed registreeringud suunatakse edasisele registreerija andmete uurimisele. Domeene ei võeta tsoonist maha juba ainuüksi sel põhjusel, et mitte kaotada treeninginfot. Töö on alles üsna algusjärgus.

Prantsuse register Afnic uuris missuguseid võimalusi ja väljakutseid pakub plokiahel DNS kontekstis. Võtsid aluseks Ethereumi nime teenuse ENS (Ethereum Name Service). Leidsid, et süsteem toimib ja lahendus on väga sarnane traditsioonilise DNSiga. Detsentraliseerituse idee pakub teatavat täiendavat eelist registreerija vaates - keegi ei saa registreeringut kaaperdada või piirata sellele ligipääsu. Ka mitmed DNSi painavad turvaprobleemid ei ole seal küsimus. Kuid reaalsus on tegelikult midagi muud. Ethereum tegi suure sammu detsentraliseeritusest eemale kui võttis kasutusele proof-of-stake konsensuse saavutamise mehhanismi, andes kontrolli suurematele ethereumi omanikele. Lisaks on ENSi taristust enam kui 51% majutatud Amazoni pilveserverites, mis tähendab, et vähemalt teoreetiliselt omab Amazon üksi täielikku kontrolli selle üle, mis ENSis toimub. ENSil on ka olulisi puuduseid võrreldes DNSiga - kasutajasõbralikkus, ligipääsetavus, aga ka puuduv kaubamärgi kaitse ning kulutõhusus. Teemat on varem teisteski registrites uuritud - näiteks Portugalis, Hollandis koostöös Amsterdami Ülikooliga, Verisignis ja isegi ICANNis ning jõutud on üsna sarnaste tulemusteni. Päeva lõpus võib öelda, et kuni nimede lahendamise mudel plokiahelas on sarnane DNSiga, ei ole siit näha ohtu DNSile ja pigem võiks need kaks süsteemi teineteisele läheneda ja integreerudagi.

DNSSEC-i osas tegelevad mitmed registrid küsimusega kuidas tagada mitme erineva allkirjastajaga samasugune lõpptulemus, et tagada suurem süsteemi töökindlus. Rootslased pakkusid välja oma multi-signer lahenduse (MUSIC). See küll pole enam midagi uut, aga selle varjus uurisin lähemalt nende tsooni uuendamise protsesside kohta - aastaid tagasi oli .se registril mõttes reaalajas tsooni uuendamine, kuid tänaseks ollakse endiselt kord tunnis toimuvate uuenduste juures, mille eeliseks on ajavaru kõikvõimalike tsooni kvaliteedi kontrollimise meetodite rakendamiseks, sealhulgas ka lahenduste nagu MUSIC jaoks. Samal põhjusel on näiteks Sakslastel, kes uuendavad tsooni praktiliselt reaalajas, seda väga raske rakendada. Huvitava detailina selgus, et põhjuseks miks .de otsustas rakendada ligi-reaalajas tsooni uuendust, oli nende suurim registripidaja, kes seda nõudis, et turundada oma veebimajutuse lahendust: minimaalse ajaga domeeni registreerimisest toimiva kodulehe ja eposti teenuseni.

Registrid otsivad üha rohkem alternatiive tänasele XML-i põhilisele EPP protokollile. On meilgi välja arendatud RESTful tehnoloogial põhinev alternatiiv, mis kogub registripidajate hulgas üha enam populaarsust. Kuid nagu kontaktandmete kontrolli puhul, valitseb siingi oht, et ühtse standardi puudumise tõttu lõpetame loendamatute erinevate lahendustega, mis teevad registripidajate elu põrguks. Taas on meie eesmärgiks tutvustada oma kogemust ja tehtud tööd, et ühelt poolt aidata neid, kes teekonna alguses, samas hoolitsedes, et kui läheb standardiseerimiseks, siis ei oleks lõpptulemus väga erinev sellest, mis meil juba loodud.

Kas nüüd nii jääbki, et tehniliste teemade jaoks jääb järgi üks töögrupp? Turvalisuse töögrupp kuulutas ka just oma toimetamised lõppenuks ja selle valdkonna arutelud ja töö liikus CENTRist eraldiseisvasse EUR TLD ISAC organisatsiooni. Muutus on raskesti mõistetav - inimesed, sealhulgas ka töögrupi eestvedajad, on samad. Kuid tech ja R&D kogukondade liitmist siiski plaanis pole - tech jääb registri igapäevaste tehniliste küsimustega tegelevaks ning R&D on nn unistajate grupiks, kes vaatab ettepoole.