Riik nõuab tegelikult turvaauku ka e-posti

Vaid kõige pühendunumale puhkajale võis mõne nädala eest jääda märkamata põgus “torm”, mis järgnes ajakirjanduse tähelepanekule, et siseministeerium soovib elektroonilise side seaduse sõnumsidet puudutavatesse nõudmiste hulka sokutada riiklikku turvaauku.

See kohustaks justkui Skype’i ja WhatsApp’i sarnaseid teenusepakkujaid varustama oma rakendusi tagauksega (loe: turvaauguga), mis laseks kriminaalmenetluse raames korrakaitseorganid ligi nende kasutajate omavahelise krüpteeritud sõnumite vabatekstile (Eesti Rahvusringhääling: ”Siseministeerium soovib krüpteeritud sõnumirakendustesse tagaust”).

E-post

Infotehnoloogia-, side- ja õigusspetsialistide reaktsioon on pea sajaprotsendiliselt olnud mõttelt sarnane – selline tagauks ei ole ühestki aspektist hea mõte (ERR: “Peeter P. Mõtsküla: tagauksega krüptoside — rumal ja õigusvastane idee”, “Rainer Ratnik: neli põhjust, miks tagaukse lubamine pole mõistlik”, Kaimar Karu: küberturbeteatri kordusetendus).

Nendele spetsialistide poolt juba esitatud seisukohtadele on raske midagi uut ja väärtust loovat lisada, kuid mulle jäi eelnõu seletuskirja ja algset Euroopa Komisjoni direktiivi lugedes siiski silma üks asjaolu, millele keegi seni konkreetset tähelepanu veel juhtinud ei ole:

see seaduseelnõu puudutab oma tänases sõnastuses ka e-posti.

Nimelt sedastab Eesti seaduseelnõu seletuskiri järgmist:

“ESS §-i 2 täiendatakse punktiga 91, kus sätestatakse isikutevahelise side teenuse mõiste, mis tuleneb sidedirektiivi artikli 2 punktist 5. Isikutevahelise side teenus on teenus, mis võimaldab isikutevahelist teabevahetust ja see jaguneb omakorda kaheks:

1) numbripõhine isikutevahelise side teenus –tavapärane häälkõne kahe isiku vahel (nt telefoni-, mobiiltelefoniteenus, Skype kõne);

2) numbrivaba isikutevahelise side teenus –igat liiki e-kirjad, sõnumiteenused ja grupivestlused (nt FB Messenger, Skype messenger jt).”

See tähendab, et tagauste loomist puudutavad nõudmised, ei puuduta mitte ainult “eksootiliste nimedega” rakendusi, mille loetlemine paneb seni suure osa ühiskonnast õlgu kehitama, vaid ühiskonna kõige populaarsemat isikutevahelise side teenust: e-posti.

Tõsi, e-post on vana ja robustne tehnoloogia, mille standardite esialgsetes versioonides ei pööratud turvalisusele kuigipalju tähelepanu, kuid aastate jooksul on neid täiustatud paljude funktsionaalsusetaga, mis on seda olukorda paljuski parandanud ja nüüd on krüptograafia muutunud e-posti pea lahutamatuks osaks. Seda kindlasti nendes teenuse osades, mida haldavad teenusepakkujad. On tõsi, et suur osa lõppkasutajatest ei ole e-posti turvalisusele seni väga suurt tähelepanu pööranud.

Ka Zone on arendanud omal väiksel kombel e-posti kui platvormi arengut ja turvalisust, panustades näiteks sellistesse platvormidesse nagu ZoneMTA (https://github.com/zone-eu/zone-mta ja Wildduck IMAP (https://github.com/nodemailer/wildduck). Mõlemad on valminud e-posti võluri Andris Reinmani taktikepi all ja demonstreerivad innovatsiooni, mida ka Eestis on võimalik selles väga spetsiifilises valdkonnas teostada.

Meie plaanides on kindlasti jätkata panustamist arendustesse, mis ühel hetkel võiks ju kulmineeruda sellega, et e-post oleks vaikimisi palju konfidentsiaalsem tehnoloogia, kui ta on seda täna, tänu sõnumite läbivale vaikimisi krüpteerimisele.

Kasutajatel on täna selleks endapoolne võimalus olemas, näiteks läbi PGP juurutamise, kuid selle kasutuselevõtu künnis on nii kõrge, et selle murrangut massidesse me vaevalt kunagi näeme, kui teenusepakkujad seda kõvasti allapoole ei too.

Mõte sellest, et peaksime siis nõudma arendajatelt ja uuendajatelt oma loomingu määrimist kohustuslike turvaaukudega, on pehmelt öeldes vastik.

Tõenäosus, et selline arendus toimub just mõne meiesuguse väikese kontori juures, on seejuures ebaproportsionaalselt suur. Nimelt erinevalt hiiglaslikest teenusepakkujatest, kes teenivad kasumit oma klientide kirjade sisu nägemisest (suunates nende baasil reklaame või koostades kasutajate kohta profiile), meid see absoluutselt ei huvita.

Aus tõdemus on, et minu käsi tõrguks arendajaile ette kirjutamast, et selliste projektide terviklus ja usaldusväärsu tuleks kompromiteerida, sest keegi on riigis teinud rumalaid otsuseid. Tõenäolisem on, et see osa innovatsiooni jääks siis kas üldse tegemata või tehtaks seda siis väljaspool Eestit. Millest oleks kahju.

.EE domeenide registreerimise uus kord

EE DomeenEesti Interneti Sihtasutus (EIS) avalikustas täna, kõigest mõni hetk tagasi, oma pressikonverentsil Eesti tippdomeenis (.EE) domeenide registreerimise uue korra. Olulisimad muudatused uues korras on järgmised:

  • Teise astme domeeninimesid saavad registreerima hakata kõik registreerijad, kaasa arvatud eraisikud
  • Ühele registreerijale registreeritakse mitu domeeninime
  • Registreerimise protsess muutub kaheastmeliseks. Kui seni oli domeene võimalik registreerida registris (EENetis) otse, siis peagi hakkavad kõik registreerimised käima läbi Eesti Interneti Sihtasutuse poolt akrediteeritud registripidajate. Registripidajateks hakkavad ilmselt eelkõige internetiühendusepakkujad, hosting-teenuse pakkujad jms valdkonnaga seotud ettevõtted/organisatsioonid.
  • Domeenide registreerimine muutub tasuliseks (aastamaksu kujul). EIS määrab teenustasu registripidajatele ja selle suurusjärguks usub EIS jäävat 300 EEK ringi.  Seda millise hinna määravad registripidajad registreerijatele ehk lõppkasutajatele, EIS ei fikseeri, sellel hinnal lastakse kujuneda vabaturu tingimustes.
  • Domeeninimede registreerimise võimalus avaneb ka välismaistele isikutele
  • Uute reeglite alusel tahab EIS hakata taotluseid vastu võtma 1. veebruarist 2010.
  • Kõik senised domeeninime registreerijad peavad leidma endale registripidaja, kes aitaks neid tulevikus domeeninime registreerimise ja haldamisega seotud küsimustes. Registripidaja leidmiseks on aega tõenäoliselt kuni 30. juulini 2010.

Tippdomeeni uued reeglid paneb EIS internetikogukonnale ülevaatamiseks üles oma koduleheküljel, aadressil http://www.eestiinternet.ee/domeenireeglid/domeenireeglite-eelnou ning nende kohta on kõigil võimalik sellel lehel avaldada oma arvamust. Arvamusi reeglistiku kohta oodatakse 22. oktoobrist kuni 22. novembrini.

Postitame antud teemas täiendusi täna veel jooksvalt juurde. Stay tuned.

Update 1! Lisame ka pildi Jaak Lippmaa presentatsioonist, mis selgitab lahti uuele reeglistikule ülemineku ajakava:

Jaak.010

.EE domeeni reformi kohta infot Visioonist Lahendusteni messilt

EE DomeenEesti tippdomeeni reformi kohta saab värsket informatsiooni Visioonist Lahendusteni messilt, mis toimub 30. oktoobril Tallinnas Meriton Conference & Spa hotellis. Messil esineb temaatilise ettekandega Avo Ots Tallinna Tehnikaülikoolist, kelle ettekande pealkirjaks on “Uus .ee domeeni korraldus”. Avo Ots on ühtlasi ka EE tippdomeeni reformimiseks ja tulevaseks haldamiseks moodustatud Eesti Interneti Sihtasutuse nõukogu liige.