BLOGI

Elliptilised kurvid @ CENTR Tech 35

23. oktoobril leidis Madriidis aset 35s CENTRi tehnilise kogukonna kohtumine. Seekordne päevakava koosnes teemadest nagu registripidajate poolne registrisüsteemi kuritarvitamine ja selle vastu võitlemine Hispaania registri näitel; mis saab siis kui riik otsustab oma riigitunnusega tippdomeeni halduri kohale korraldada riigihanke Šveitsi registri näitel; mis asi on DNS-OARC; kuidas teha ise WHOISi liikluse piiramise lahendust Poola registri näitel; kuidas Saksa register vahetas HSMe ning peateema - elliptilised kurvid DNSSECis.

Mõned mõtted erinevatest esitlustest. Hispaanlaste pull portselani poes oli üks registripidaja, kes ujutas registri päringutega üle, eesmärgiga põhimõtteliselt skaneerida tsooni ja tuvastada kustumiste aegu. Hispaania registril on sarnaselt meiega 4 IP-aadressi piirang registripidaja kohta, lubatud 3 paralleelset seanssi. Registripidaja ujutas registri üle sessiooni loomise katsetega. Et rääkimine tulemust ei andnud, võttis register kasutusele fail2ban lahenduse ning peatas registripidajale 2 minutiks igasuguse ligipääsu kui sessiooni loomiskatsetel tekkivate limiiti ületamist tähistavate vigade arv ületas 100 vea piiri minutis. Lahendus toimis. Meil sarnaseid probleeme veel olnud pole, aga tuleviku tarbeks tasub meelde jätta.

Šveitslaste ettekanne riigihankest suubus sinna kuhu ikka paljud riigihanked jõuavad - hankes esitatud nõudmised olid suhteliselt üks ühele maha kirjutatud Šveitsi registri praktikast. Et Switch - Šveitsi tippdomeeni register - täidab ka kohaliku CERTi rolli, siis oli hankes sees ka punkt interneti turvalisuse tagamise kohta, mis päeva lõpuks oligi ilmselt määrav, et Switch ka järgmised 5-10 aastat võib rahulikult oma seniseid funktsioone edasi täita.

Poola register tutvustas oma loodud lahendust WHOISi liiklusele piirangute seadmiseks. Tegemist message queue põhise lahendusega, mis tagab selle, et mitme WHOIS serveriga lahenduse puhul kehtivad pärijale ühtsed piirangud, olenemata sellest missuguse WHOIS serveri poole ta parasjagu pöördub. Siin on ka meie registril veel arenguruumi nii WHOISi kui ka EPP põhiste piirangute kontrollimisel.

Et järgnev jutt väga segaseks ei jääks, teen siia vahele väikese vahesissejuhatuse. Kui juba tead, mis on DNSSEC ja elliptilised kurvid, siis võid selle lõigu siin vahele jätta. Infot selle kohta, mis on DNSSEC, leiab internetis palju, ka EISi lehel ja siin blogis on ühtteist harivat. Olgu siis selgituseks lühidalt öeldud, et DNSSEC kaitseb eelkõige internetikasutajat talle vale info esitamise ja andmete õngitsemise eest, mistõttu on tundlikke andmeid haldavate võrgulehtede omanike jaoks eriti oluline mõelda httpsi kõrval ka DNSSECi juurutamisele. DNSSECi probleem on suured krüptograafilised võtmed, mille abil tagatakse internetikasutajale kindlus ja teadmine, et temani jõuab õigest allikast teave muutmata kujul. Elliptilistel kurvidel põhinevad algortimid (ECC) tagavad tugevama tulemuse oluliselt väiksema andmemahu juures võrreldes näiteks RSA võtmetega. Lühidalt - väiksemad võtmed, mis tagavad suurema turvalisuse, ja see on DNSi juures, mis peab toimima ülikiiresti ja täiesti kindlalt, väga oluline.

Põnevaim ja olulisim teema oli sel korral elliptiliste kurvide (ECC) kasutuselevõtt DNSSECi allkirjastamise algoritmina. Oma kogemusi ja mõtteid sel teemal jagasid nii tšehhid, šveitslased, kui sakslased ning kommentaaridena ka paljud teised kohale tulnuist. Küsimus, nagu ikka DNSSECi ja seda täiendava DANE kohta, on tarkvara tugi - eelkõige lahendavate nimeserverite osa. Kuigi praktiliselt kõik uusimad versioonid enamlevinud nimeserveri lahendustest toetavad elliptilistel kurvidel põhinevaid algoritme, siis nagu teada on inimlik lükata igasugused tarkvara versioonide uuendamised aega, kus olemasolev reaalselt midagi segama hakkab. Elliptiliste kurvide (ECC) toe puudumine antud juhul selline segaja pole. Küll aga tõdesid nii tšehhid kui šveitslased, et tegelikkuses pole lugu sugugi halb, nende testide põhjal on ECC tugi puudu vähem kui 10% testitud juhtudest. Ja nii on nemad, aga ka üks suurimaid rahvusvahelisi nimeserveri teenuse pakkujaid Cloudflare, juba oma klientidele vastava võimaluse nii toe kui ka reaalse allkirjastamise näol loonud ning seni märkimisväärsete tagasilöökideta. Suurima takistusena on aga ootamatult antud teele ilmunud IANA, kes veel ei võta domeeniregistritelt vastu ECC algoritmil baseeruvate võtmete põhjal loodud DS kirjeid. 

Ka ühises arutelus jõuti järeldusele, et registrid peaksid olema siin eestvedajad, kasutama ja populariseerima ECC algortimide kasutust. Nii tekib ka neile viimastele interneti ja nimeserveri teenuste pakkujatele piisav põhjus oma tarkvara uuendada.

Lõppu veel mõned lühiuudised - Saksa register tegeleb andmehoiu (data escrow) teenuse arendamisega. Sellise teenuse kasutamist nõuab ICANN kõigilt uutelt gTLD-delt, kuid täna on ICANNi poolt selleks tunnustatud teenuse pakkujad eranditult USA-s. Loomulikult tekib siin kohe konflikt erinevas lähenemises Euroopa ja USA isikuandmekaitsele ja jälgimise praktikale. Protsess ei lähe lihtsalt, sest ICANN nõuab eelnevat praktikat ja ajalugu vastava teenusega. Läbirääkimised käivad ja esimesed domeeniäri välised kliendid on ka juba leitud.

Portugali register arendab uut registrisüsteemi ning ka prantslastel on mõtteid oluliselt oma süsteemi kohendada - püüame teha koostööd. Austerlased teevad jätkuvalt kõvasti tööd, et oma uut avaliku pilve põhist taristut välja töötada.

Vaheaegadel räägitust järgmises postituses!

Uus kommentaar

Email again:

© 2017 Eesti Interneti Sihtasutus  | Paldiski mnt 80, 10617 Tallinn | Registrikood: 90010019