Den europeiske union kan snart ha sin egen DNS-løser (Domain Name System). «DNS4EU»-initiativet har som mål å skape en «europeisk infrastruktur for DNS-oppløsningstjenester for å betjene EU-baserte internettbrukere som trenger personvernvennlig og sikker DNS-oppløsning for å få tilgang til nettressurser».

For å velge en operatør for denne fremtidige tjenesten publiserte EU-kommisjonen en utlysning i januar, hvis frist ble forlenget til 20. april. Den valgte leverandøren vil bli avslørt i andre halvdel av 2022. DNS4EU-initiativet ble først omtalt av EU i 2020, med kunngjøringen av den europeiske cybersikkerhetsstrategien. Fremskyndelsen av prosjektet kommer på et tidspunkt da Europa tar skritt for å øke sin digitale suverenitet og redusere sin avhengighet av utenlandske aktører. Frankrike har bekreftet dette målet innenfor rammen av sitt europeiske presidentskap, og plasserer suverenitet og digital regulering blant sine toppprioriteringer.

Hvorfor en europeisk offentlig løser?

Hvorfor ønsker EU-kommisjonen å bygge sin egen løser, i stedet for bare å endre sin politikk eller regler? En slik endring i politikken vil sannsynligvis være for komplisert, siden Internett ikke har noen grenser. Selv om EF hadde som mål å anvende regler for Europa, ville det ende opp med å målrette alle DNS-tjenester i verden. Videre, hvis det forsøkte å bruke reglene på alle selskaper basert i EU, ville de ikke gjelde for de største kommersielle aktørene i verden som Google og Cloudflare, eller til og med Quad9, basert i Sveits.

Ved å kreve en liste over sikkerhets- og personvernfunksjoner, har EU som mål å beskytte brukerne av den fremtidige løseren. I denne forstand skiller DNS4EU seg fra kommersielle parter og Internett-leverandører. Ta for eksempel Googles offentlige DNS-tjeneste, som hevder å gjøre lite for å beskytte brukere og hevder å være en nøytral kanal. Dette er forskjellig fra kommersielle DNS-løsere, som ofte er rettet mot store bedrifter.

De gjør mye for å beskytte brukere mot skadelig programvare og phishing-nettsteder. Offentlige beslutningstakere holder seg ofte unna det. Internett-leverandører har samme holdning når det kommer til DNS-løsere de bruker eller administrerer selv. Selv om de er kommersielle selskaper, liker de også å tenke på seg selv som en slags nyttefunksjon som sikrer nøytral overføring av informasjon. Det er en måte å beskytte deg selv mot rettslige skritt.

Mens folk kan velge å bruke Googles DNS-løser, har Google fortsatt muligheten til å gjøre hva den vil med den. Google tilbyr det ikke gratis av godhet i hjertet; tilbyr denne tjenesten for å innhente data. Internett-leverandører kan derfor dra nytte av en ny offentlig DNS-tjeneste de kan stole på.

Hva er kravene til den nye resolveren og hvem kan oppfylle dem?

I løpet av de kommende ukene bør du vite hvilke selskaper som er kvalifisert til å bygge resolveren. Det blir neppe en liten oppstart med store ambisjoner. Samtidig er beløpet som Europa er villig til å sette av til prosjektet ganske lite. I følge kunngjøringen er en enkelt sum på 14 millioner euro tilgjengelig for å gjennomføre prosjektet.

EU har utarbeidet en liste over krav til prosjektet:

Suverenitet og privatliv

Digital suverenitet, et velkjent tema i det franske teknologilandskapet, er integrert i EU-planen. Alle data og metadata knyttet til DNS-oppløsning skal behandles i EU. Utlysningen av forslag nevner imidlertid ikke nasjonaliteten til den potensielle leverandøren, noe som betyr at mens datasentrene som er involvert i behandlingen av disse dataene må være i Europa, kan det valgte selskapets hovedkontor være hvor som helst i verden.

Selvfølgelig må DNS4EU-løseren være GDPR-kompatibel. Der det er aktuelt, må den også overholde de nasjonale databeskyttelses- og personvernlovene i de forskjellige landene. I Frankrike inkluderer disse databeskyttelsesloven.

Infrastruktur

For å møte kravene til bred geografisk dekning, høy pålitelighet og lav ventetid, vil leverandøren trenge et betydelig antall servere for å kunne konkurrere med en tjeneste som Google eller Cloudflare når det gjelder ytelse og kapasitet. Selvfølgelig skal serverne bare dekke Europa. Prosjektet vil imidlertid kreve servere for Frankrike, for Benelux, for Skandinavia, for Spania … Dette er hovedsakelig på grunn av latens; en bruker i Norge som bruker en server i Spania vil raskt lide av en treg tilkobling. Stabilitet og redundans er også viktig. Ved å sikre dem vil det være mulig å ta servere offline for vedlikehold uten å forårsake driftsstans. Derfor er det kun et selskap som allerede har en omfattende DNS-infrastruktur som kan dekke dette behovet.

En DNS-løser trenger flere andre teknikker som krever mye vedlikehold. For eksempel må leverandøren ha en god Anycast-infrastruktur, slik at brukerne alltid kan bruke samme IP-adresse. Evnen til å skalere horisontalt er også viktig.

IT-sikkerhet

EC understreket behovet for at den valgte infrastrukturen oppfyller alle de nyeste sikkerhets- og personvernstandardene. For eksempel må den overholde de nyeste sikkerhetsstandardene som HTTPS, DNSSEC og DNS-krypteringsprotokoller som DNS over TLS (DoT) og DNS over HTTPS (DoH). Prosjektet må også være fullt kompatibelt med IPv6, den nyeste versjonen av kommunikasjonsprotokollen.

Prosjektet skal også gi bransjeledende beskyttelse mot skadelig programvare, phishing og andre trusler. For å gjøre dette, må leverandøren analysere sin egen trusselintelligens og informasjon fra pålitelige partnere som Cyber ​​​​Emergency Response Teams (CERTs). Disse ekspertgruppene analyserer trusler, varsler publikum om nye trusler og koordinerer reaksjoner på nettangrep.

For eksempel publiserer den franske regjeringens CERT, CERT-FR, regelmessig varsler om sårbarheter, trusler, sikkerhetshendelser, kompromissindikatorer og sikkerhetsanbefalinger. Den fremtidige DNS4EU-operatøren vil jobbe med offentlige og private CERT-er, som vil sende ham DNS-oppføringer over skadevarens kommando- og kontrollservere. Dette vil tillate leverandøren å blokkere skadelig programvare på DNS-nivå, som er et gunstig tiltak for brukere.

Innholdsfiltre

Et av kriteriene i EU-utlysningen er behovet for å filtrere nettadresser som lenker til ulovlig innhold. Men det er en stor gråsone rundt hvilket innhold som anses som «lovlig» eller «ulovlig». Selvfølgelig, når det kommer til kommando- og kontrollservere, er det klart at alle har en interesse i å blokkere disse sidene, bortsett fra noen få sikkerhetsforskere. Men utover det kommer motivet raskt inn i denne tvetydige sonen.

Hva om noen legger ut en manual om hvordan man lager en bombe på nettet? Og de brennende tekstene? Pornografi? Gamblinginnhold? Av denne grunn er det viktig at bruken av eventuelle resolvere er frivillig, slik det foreløpig er forutsatt i planen. I tillegg er det nødvendig med sterke definisjoner av hva et slikt filter betyr, slik at policyen er klar på forhånd.

Faktisk er den valgfrie karakteren til løseren nøkkelen til initiativet. Men det gjenstår å se hvor mye den fremtidige europeiske resolveren vil bli brukt. Stéphane Bortzmeyer, informatiker ved Afnic, stiller spørsmål ved bruken av brukere av den fremtidige DNS4EU-løseren i et intervju med det tyske mediet Heise. Han påpeker at mange brukere fortsatt bruker sin egen DNS-resolver eller den til sin ISP, og påpeker den relative sikkerheten til mer desentraliserte og lokale resolvere. De lange refleksjonene rundt digitale spørsmål innen de europeiske institusjonene tar form av initiativer.

Mens digital markedslovgivning (DMA) utvikler seg raskt, ser det ut til at EU forsøker å bekrefte, for sine bestanddeler, en annen visjon om den digitale økonomien og datavernet (GDPR) enn det som hadde rådet til da. DNS4EU-initiativet er en del av denne viljen til å gi de som ønsker det en essensiell tjeneste som matcher denne visjonen, samtidig som den gir EU et verktøy for å styrke sin digitale suverenitet og cybersikkerhet.