Uudised, sündmused ja blogi

CENTR Jamboree: NIS2, RestEPP ja pilv

Roheliikumine on üks kummaline lemmikteema paljude suurte registrite jaoks. Läbi selle on lihtne näidata hoolivust. EISis oleme alati lähenenud teemale pragmaatiliselt - kohad, kus on mõistlik midagi teha, oleme seda alati teinud, sõltumata sellest, kas see on parasjagu moes või mitte. Prindi nii vähe kui võimalik, sorteeri prügi, lülita kuvar ja seadmed töökohalt lahkudes välja või veel parem, ühenda vooluvõrgust lahti. Aga süsinikujalajälge me fiktiivselt ei mõõda ning lennutransporti ei boikoteeri.

Nagu ikka, on sellistel üritustel suurim väärtus peidus omavahelistes vestlustes ja nii ongi enamus järgnevatest mõtetest pärit just sellistest jutuajamistest.

Šveits ei muretse NIS2 pärast üldse, kuna nad pole EUs, aga andmekvaliteedi ja isikuandmetega tegelevad sellele vaatamata. Kontroll toimub registri poolt pisteliselt käsitööna. Umbes 1% registreeringutest suunatakse täiendavasse kontrolli. Teemaga tegeleb kaks inimest. Domeen eemaldatakse tsoonist kui omanikuga ei saa ühendust või ta ei reageeri.

Austria register kurtis seoses Ukraina sõjaga oluliselt kasvanud rünnete osas süsteemide, taristu ja avalike teenuste pihta. Austria ettevõtted ja organisatsioonid otsivad kaitset ja registri anycast teenus on osutunud siin tõhusaks abinõuks. Oleme ka ise oma anycast teenuse peale mõelnud, kuid pole täna selle kasuks veel otsustanud - teenus nõuab palju ressurssi ja valikut on turul piisavalt. Küll saame aga vahendada oma partneritele ja .ee registreerijatele turul pakutavaid teenused. Seega, kui kellelgi on selle vastu huvi, antagu märku!

Irooniline infokild anycastiga seoses tuli aga rootslastelt, kes lõpetasid ära anycast teenuse pakkumise kohalikele ettevõtetele ja eraisikutele. Põhjuseks teenuse suhteliselt kõrge hind ja madal huvi. Teadmine tõmbas entusiasmi natuke maha, aga isepäiste eestlastena usume, et me saame paremini hakkama ja mõte on jätkuvalt laual.

Igihaljas NIS2 pakkus oodatult palju jutuainet. Oma mõju sellel näib aga juba olevat ka gTLDdele, kes on samuti isikuandmete teema ette võtnud. Ülddomeenide registrid on aga lahendanud selle küsimuse omamoodi, rakendades õhukese registri poliitikat - registris isikuandmeid pole, on vaid viide vastutavale registripidajale, kelle ülesanne on tuvastada isik, kontrollida ja hallata andmeid. Huvitav, kas selline lahendus toimiks ka Euroopa ccTLDde jaoks?

Kuidas iganes aga NIS2le läheneda, mõjutab see kõiki registripidajaid, kes EU turul tegutsevad. Registripidajad ootavad, nagu ikka, eelkõige registrite vahelist koostööd: kui registripidaja on tuvastanud .ee registreerija isiku, siis sama tulemus sobiks ka näiteks .fr domeeni registreerimiseks. Selline koostöö ei ole lihtne tekkima, kuid püüame oma eeID lahendusega teha samme selle suunas.

Taani .dk register on oma isikutuvastamise protsessi muutmas. Praeguseni tegi seda register - kõik uued registreerijad suunati registrisse, kus pärast edukat identimist lisati neile kontakti objekt, mida siis registripidaja sai kasutada domeeni registreerimiseks. Nüüd soovitakse anda võimalus ka registripidajale. Register väljastab nõuded, mis dokumente küsida, kuidas aadressi andmeid kontrollida jne; EPP protokolli täiendatakse parameetriga, kus registripidaja märgib, kas isikutuvastus on juba tehtud või peaks register selle veel tegema.

Isikuandmete kontrolliga on seotud ka EU eIDAS2 projekt ehk EU digikukkur. EU digikukkur on uus katse teha riiklikud e-identiteedid kasutatavaks üleliiduliselt. Tegemist on rakenduspõhise digilahendusega, mis oma kasutusloogika poolest on sarnane SmartIDga ehk sisuliselt virtuaalne ID kaart. Kukrusse saaks muidugi panna ka muud - juhiload, kliendikaardid jne, kuid see on pigem boonus.

Isikutuvastuse kontekstis mõned faktid või eesmärgid seoses eIDAS2-ga: isikutuvastuse tasemeks on eIDAS standardi mõistes keskmine (substantial) - ID-kaart ja Mobiil-ID näiteks on kõrge tasemega, sest tunnistusega on seotud riistvaraline komponent, mis rakenduse puhul puudub.

Digiidentiteet talletatakse mdoc formaadis offline toimingute ning sd-jwt formaadis online toimingute puhul. Identiteedi edastamiseks kasutatakse OpenIDv4 protokolli. Kontrollimiseks tekitatakse eraldi EU usaldusnimekirjad (EU trusted lists).

Käivad veel arutelud selle osas, kas isikutuvastuse kontrolli taset õnnestub tõsta kõrge peale - see vajaks aga riistvaralist komponenti. Seda võib olla võimalik saavutada NFC võimekusega ID kaardi abil, kuid sellisel juhul oleks füüsiline ID kaart jätkuvalt vajalik ja kukru asemel oleks meil ID-kaardi lugeja kasutajasõbralikumas vormis.

On olemas ka esimesed demod - näiteks demo.wwwallet.org. Kukur ei ole piiratud mobiili-, aga ka  veebi- või töölaua rakendusena.

RestfulEPP on muutunud huvipakkuvaks teemaks nii mõnelegi registrile. Ühe põhjusena toodi välja, et EPP ei võimalda piirata päringute taset (ratelimiting), kuid see pole tõsi. Meie loeme rakenduse tasemel EPP seansse, määrame registripidajatele üle lubatud IP aadresside päringute arvu piirangud ja kõik toimib.

Alustasime Resti põhise EPP alternatiivi juurutamist juba 2014 aastal. Tänaseks on sellest saanud oluliselt funktsionaalsem alternatiiv XML põhisele EPP standardile. Ka registripidajad võtavad üha meelsamini kasutusele meie RestEPP liidest. Peamine võlu seisneb selles, et EPP on kinnine valdkonnapõhine standard, mida valdavad vähesed, Rest API liidesed seevastu on aga laialt tuntud. Kuid RestEPP ei ole standardiseeritud ja seetõttu soovitakse nüüd kehtestada standard, et vältida väga erinäoliste lahenduste tekkimist.

Oleme taasalustanud pilve kolimise projekti. Riigipilve kolimise katse kukkus läbi, nüüd suundume suure tõenäosusega Amazoni AWSi. Belgia register, kui selle suuna OG, tõi välja pilve eelised - fookus väärtusel, konf koodis, paindlikkus, kasutuslihtsus, skaleeritavus, turvalisus (näite võimekus seista vastu väga suurtele ddos rünnetele), hallatud teenused, innovatsioon. Ning lisaks mõned kogemusel põhinevad nõuanded: ehitada süsteemid silmas pidada võimalikke tõrkeid (design for failure); talletatud kui liikumises olevate andmete krüpteerimine; õpikõveraga arvestamine (infrastruktuur koodina, õiguste haldus, kuidas teenused reageerivad); olla teadlik tarnija lukustuse riskist (vendor lock in).

Ka Hollandi register valis AWSi oma pilve platvormiks. See oli raske otsus, sest eelistatud oli kohalik pakkuja, kuid võrdväärset teenusepakkujat ei leitud. Said valiku eest suure avaliku kriitika mitmetelt asutustelt - kohalik pilvekonsortsium, valitsus, oportunistlikud internetiettevõtted. Kommunikatsioon on võti - SIDN tegi seda LinkedInis, mis oli viga - see on avalik ja kõik näevad kõigi kommentaare (kriitika genereerib kriitikat). Olukorda aitas lahendada otsesuhtlus seotud osapooltega.

Lisaks meile ja Hollandlastele tegelevad pilve migreerimisega ka Austria ja Portugali registrid.

Tšehhid andsid teada, et kaaluvad FRED as a Service lahendust. Igati väärt mõte, millega meiegi oleme pilve kolimise kontekstis mänginud.