Skip to content

Eesti ja andmesuveräänsus

Kas Eesti on andmesuveräänne? Meil tõesti on oma PKI, X-tee ja selle otsas paar tuhat rakendust ning kriitilised andmed on turvalises riigis andmesaatkonnas. Selles mõttes justkui oleks kontroll oma andmete üle olemas.

Samas aga peaminister avaldab valitsuse plaane esmalt Facebookis ning alles hiljem ametlikus veebisaidis ja ajakirjanikud on harjunud neid sealt lugema. Riigikogu põhiseaduskomisjon korraldab oma koosolekuid Teams'is. Mõni maksumaksja poolt rahastatud amet või muu organisatsioon kasutab ühistöörakendusena Jira't, mõni aga Slack'i. Erinevatel valitsusasutustel on plaan oma tegevus viia Azure pilve. Huvitav, kui mitme riigiametniku telefoni on paigaldatud Yandex Taxi või Tiktoki äpp? Kui paljude Eesti ametite e-postiteenused asuvad reaalses Eesti serveris, mitte kusagil kauges pilves?

Kas peaministriproua ikka teab, et Facebook on Tiktoki järel üks privaatsusinvasiivsemaid andmekogusid ning profileerib sinu ja sinu ümbruskonna ülidetailselt. Kas see, missugune on parasjagu peaministri tervis, ikka on Facebooki asi?

Kas riigiametnikud ikka teavad, et Facebooki suhtluses ja Teams'is puudub läbiv krüptimine? Kõik info, mis seal liigub, on teenusepakkujal 100% loetav. Kõik andmed aga on kusagil pilves jumal teab mis füüsilises asukohas (ja see tõenäoliselt ei asu Eestis).

Kui mõne kriisi korral Eesti välisühendused ei toimi, siis kas ametnikud jäävad tummalt ekraani põrnitsema ja mõtlema, miks suhelda ei saa ja ajakirjanikud ootama olulisi sõnumeid Facebookist? Et valitsusel on veebisait olemas, see võib-olla on paljudel juba ununenud. Osa kasutajaid üldse ei saagi aru, et Facebook ei võrdu internet.

Kas riigiametitel on olemas sissetöötatud lahendus suhtlemiseks ja ühistööks olukorras, kus meie riigi välisühendused ei tööta? Veel parem, kas ta on ka selline, mis kriisi ajal suudab kasutada võrdõigusvõrku ega eelda tavapärase andmeside toimimist?

Kui paljud ametnikud ikka saavad aru, et nende telefonides leiduv Tiktok on Hiina luure üks suurepärasemaid infokogumisoperatsioone ning Yandex Taxi koos oma sõsarrakendustega sama asi Vene poolel?

Aga mis on lahendus? Väga lihtne, valime teenused, rakendused ja lahendused:
- mille eest sa ei maksa iseendast kauba tegemisega;
- kus on kasutusel läbiv krüptimine (E2EE - end to end encryption);
- mida sa saad ise Eestis majutada (kas kohalikus pilves või puhtal raual)
- mis on hajutatud ega sõltu sellest kuidas sinu üks teenusepakkuja oskab teenust üleval hoida;
- mis suudavad teiste sarnastega suhelda;
- mis põhinevad vabal ja avatud lähtekoodiga tarkvaral;
- mis on sisuliselt ja vormiliselt auditeeritavad.

Mis need siis oleks? Näiteks:
- Nextcloud ühistöö, failide, kontaktide jne jaoks
- Matrix sõnumite, ühistöö ja VoIP'i ja videokoosolekute jaoks (näiteks serveriks Synapse ja kliendiks Element)
- Jitsi Meet videokoosolekute jaoks

Kõiges selles osas Eesti täna ei ole andmesuverääne. Aga paljud Euroopa riigid on. Näiteks:
- Saksamaa Föderaalne infotehnoloogiakeskus (ITZBund) on kolinud märgatava koguse ministeeriume NextCloudi kasutama
- järgmisi Nextcloudi paigaldusi Saksamaal ei jõua enam kokku lugeda
- paar kuud tagasi otsustas GAIA-X (Euroopa födereeritud andmepilve projekt), et NextCloud saab alusplatvormiks
- Prantsusmaa 5 miljonit riigiametnikku toimetavad Matrix'i võrgus
- Bundeswehr on kõik oma igapäevase organisatsiooni sisemise ja väliste hankijatega suhtluse kolinud Matrixi võrku (kõik, mis on 4. riigisaladse lipuga, kangema kraami jaoks on jätkuvalt muud lahendused)
- meie TEHIK'u vaste Saksamaal kolib kõigi 80 miljoni sakslase patsiendiportaali suhtluse Matrix'i võrku
- Schleswig-Holstein'i liidumaa kolib kõik oma ametiasutuste töö mitte ainult oma rakendustesse, vaid ainult avatud lähtekoodiga tarkvaral põhinevatesse rakendustesse (märksõnad on jälle Nextcloud, Matrix ja muud sõbrad)
- paarkümmend saksa ülikooli on Matrixi võtnud kasutusele sõnumite ja ühistöö jaoks
- Matrix on kasutusel nii Austria, kui Suurbritannia valitsusasutustes

Matrixi arendus saab hoogu juurde - Element tõstab $30M

Suurim Matrixi protokolli, serverite ja klientide arendaja Element kaasas viimase aktsiaemissiooniga 30 miljonit USD ja investorite hulgas on Metaplanet ehk Jaan Tallinna investeerimisfirma.

Saame näha, kas Matrixi kasutus ka Eestis edenema hakkab.

Suhtlus- ja koostöövõrk Matrix 2021. aasta alguses

Matrix teatavasti on avatud protokollil ning vabal tarkvaral põhinev suhtlus- ja koostöövõrgustik, kus kasutajad ise määravad, kus ja kuidas nende andmeid hoitakse ning teenuseid hallatakse.

Väga tehnilises mõttes on tegemist hajutatud ja replikeeritud andmebaasiga (andmeid ja metateavet sünkroniseeritakse kõikide osapoolte vahel nii, et kõik osapooled jagavad sama olekut), mille levinuim kasutus on hetkel sõnumite saatmine, kuid see, mida teha saad, piirdub vaid sinu fantaasiaga. Praktikas on sõnumitele lisatud tava- ja videokõnesid, failide jagamist, vidinate kasutamist (vidin on olemuselt jututuppa lõimitud veebileht) ja eri sorti roboteid.

Serverid:

  • igaüks saab paigaldada oma Matrixi serveri ning kas seda teed oma serveriruumis oma raudvaral või kasutad VPS'i on eelistuste ja valikute küsimus
  • kui ise serverit hallata ei taha, siis võid oma konto(de) jaoks kasutada tasuta (näiteks app.element.io või chat.privacytools.io) või tasulist teenust (näiteks ems.element.io või matrix.zerocarbon.shop)
  • kui kasutad oma serverit, siis see on avatud suhtluseks muude Matrixi serveritega üle maailma (mingis mõttes sarnaselt e-postile), aga kui soovid, siis loomulikult saad välissuhtluse sulgeda ning kasutada vaid teda oma organisatsiooni või sõpruskonna jaoks
  • kui lisad oma Matrixi serveri kõrvale oma Jitsi serveri, siis saad kergesti teha oma privaatse sõnumi-, koostöö ja videokõnelahenduse
  • levinumal serveril (synapse) olemas on LDAP-i integratsioon (ei pea eri süsteemides haldama erinevaid kasutajate andmekogusid)
Kliendid:

  • levinuim ja parima funktsionaalsusega klient on Element - saadaval töölauarakendusena Windowsi, OS X ja Linuxi jaoks, mobiilirakendusena Androidi (Google Play ja F-Droid rakendusepoest) ja iOS jaoks ning veebirakendusena (brauseripõhisena)
  • ka Nheko ja FluffyChat on üsna täieliku funktsionaalsusega
  • lisaks Quaternion, NeoChat ja Fractal on aktiivselt arendamisel
  • erinevad kliendid on kasutajaliidese loomisel läinud erinevat teed ning tasub võrrelda, mis tundub sulle sobivaim
  • tervikuna on eesti keelde tõlgitud Element, Nheko ja FluffyChat
Sõnumisillad:

  • Matrix on algusest peale kavandatud avatud lahendusena ning olemas on sõnumisillad muude suhtlussüsteemidega
  • Element (endine New Vector) ehk firma, kes enamus Matrixi arendustöid on teinud, on valmistanud sõnumisillad IRC, Slack'i, Gitteri ja Rocket Chat'i jaoks
  • laiem arendajate kogukond on teinud lahendused Signal'i, Telegram'i, WhatsApp'i, XMPP, Mattermost'i, Discord'i, Facebook Messenger'i, SMS'i, e-kirjade ja paljude muude süsteemide liidestamiseks
Kasutus:

  • Matrixit on arendatud kuus aastat ning alates 2019. aastast võib öelda, et lahendus on produktsioonikindel
  • eelmine aasta nägi Matrixi kasutuselevõtmist mitmetes Euroopa riigisüsteemides (enamus Prantsusmaa riigiasutusi toimib nüüdseks ühtses Matrixi võrgus, Bundeswehr kolis kõik igapäevase 4/NR suhtluse Matrixisse) ja paarikümnes ülikoolis (Saksamaal, Rootsis, Hollandis) ning suurtes vaba tarkvara projektides (KDE ja Mozilla on üle kolinud ja Fedora, SUSE ning Gnome parasjagu testivad seda võimalust)
  • artikli kasutamise ajal on Matrixi võrgus 60000 serverit 27 miljoni kasutajaga
Turvalisus ja privaatsus:

  • Matrixi krüptograafia aluseks on Double Ratchet-protokoll, mille põhjal on tehtud libolm teek ning selle laiendus megolm
  • sama krüptoprotokolli kasutavad ka Signal, Whatsapp, Wire, kuid me ei saa eeldada, et kõikjal on sama teostus
  • Double Ratchet on põhjalikult auditeeritud ning loetakse turvaliseks
  • lisaks elementaarsele ühenduse krüptimisele võimaldab Matrixi spetsifikatsioon kasutada läbivat krüptimist (E2EE ehk end-to-end encryption) ja see tähendab, et ka serveri haldaja ei saa lugeda seda mis teavet osapooled vahetavad (näiteks Element'is loodud uued kahe osapoole vestlused kasutavad alati läbivat krüptimist ning rühmavestluste puhul saab seda alati sisse lülitada)
  • kui läbiv krüptimine on vestluse puhul kasutusele võetud, siis sellest loobuda enam ei saa
  • korra suletud kasutajakontot ei saa enam kasutusele võtta ega samasse serverisse uut sama kasutajat luua
  • lisaks krüptimisele võimaldavad Matrixi kliendid (Element, Nheko, FlyffyChat) ka osapooli verifitseerida - see tähendab, et kasutaja tuvastab kõik oma seadmed ja märgib nad usaldusväärseks (selleks on kasutusel mitu eri meetodit, kuid kõige lihtsam on ikoonikomplekti võrdlemine kahes eri seadmes), samamoodi kaks osapoolt saavad välises kanalis kokku, tuvastavad üksteist ning märgivad üksteist tunnustatuks (samaga tunnustades ka üksteise seadmeid)
  • kliendid kuvavad krüptimata ja verifitseerimata ühendusi selgelt eristatava ikooniga
  • Matrix+Jitsi kombinatsiooni kasutamisel videokõnedeks ei ole hetkel läbiv krüptimine kasutusel (puhtalt Jitsi kõnede puhul on see juba võimalik)
  • sinu Matrixi koduserverisse on võimalik konto juurde salvestada sinu e-posti aadressi ning see võimaldab vajadusel taastada ligipääsu kontole, kuid seda ei pea tegema (aga siis taga, et sul salasõna, salafraas ja salavõti kindlasti alles on)
  • Matrixi võrgus on võimalik kasutada isikutuvastusserverit - sisestades oma kasutajakonto juurde e-posti aadressi ja telefoninumbri saavad teised kasutajad sind nende alusel leida (kuid see ei ole kohustuslik) ning kui sa seda ka teed, siis hoitakse andmeid isikutuvastusserveris räsitud kujul ning otsingutes võrreldakse räsisid
  • sinu Matrixi koduserver logib metateavet ning osa metateavet on salvestatud ka andmebaasis - kui sa kasutad välist teenusepakkujat, siis pead arvestama nende kasutustingimustega, kuid oma serveri puhul saad ise määrata logide säilitamise aja
Muud olulised asjaolud:

  • esineda võid päris nime või aliase all, lisada võid tunnuspildi või avatari, telefoninumbri ja e-posti aadressi kasutamine pole kohustuslik
  • vestlused võivad olle kahevahelised või rühmavestlused ehk jututoad
  • jututubadest saab moodustada kogukondi
  • sõnumeid saab muuta ja kustutada (kustutamine on nagu e-kirjade puhul - propageerumine üle serverite pole garanteeritud, kuid üldiselt see toimib)
  • serverist saab seadistada sõnumite automaatset kustutamist
  • toimivad lugemisteatised ja kirjutamisteatised
  • olemas on tavapärane vestlusrakenduste tudi-mudi, nagu reageerimised, kleepsupakid ja vilkuvad gif'id
  • enamus kliente võimaldavad kontakte ja jututubasid sildistada ja grupeerida
  • osa kliente toetavad serveripoolset otsingut ja urlide eelvaadet (näiteks Element)
Õiguslikud seosed:

  • Matrixi juured ulatuvad Iisraeli-USA taustaga firmasse Amdocs, kuid alates 2017. aastast tegutstakse eraldi organisatsioonina Euroopa jurisdiktsioonis ning seosed Amdocsiga puuduvad
  • alates 2018. aastast vastutab standardi haldamise ja arendamise eest The Matrix.org Foundation
  • kõik Matrix.org ja suur enamus Element Ltd loodud teekidest, serveri- ja klienditarkvarast ning sildadest on avaldatud vaba tarkvara litsentside all
  • tänaseks päevaks on Matrix muutumas oluliseks kiviks Euroopa riikide digitaalse suveräänsuse vundamendis
Lähitulevik:

  • lisandub SSO ehk autentimine süsteemide-ülese konto alusel (näiteks võid üsna varsti oma Google-kontoga logida mõnda Matrixi serverisse, kus see on lubatud)
  • selle aasta FOSDEM toimub Matrix+Jitsi platvormil virtuaalse üritusena 8500'le ḱasutajale
  • seni demotud serverivaba ehk P2P Matrix saab produktsioonisobilikuks
Hetkel on Matrixi klientides puudu:

  • võimalus ühes pruukida ühes kliendis mitut kasutajakontot (Nheko ja Mirage oskavad seda mingis mõttes)
  • kasutaja poolt määrata sõnumite kustutamise aega (spetsifikatsioonis on see võimalus olemas)
  • luua ja saata salvestatud helisõnumeid
  • sõnumilogi salvestamine failina (nagu IRC võimaldab)

Parim Matrixi klient Riot on nüüd Element

Matrixi põhiarendajate seltskond otsustas senise firmanime New Vector, põhitoote Riot (Riot.im) ning majutusteenuse Modular asemele kasutusele võtta uue nime Element. Pikem selgitus on nende ajaveebis. Uued rakendused ja paigalduspakid ilmuvad ilmselt lähipäevil.

Võrgu ja protokolli nimeks jääb ikka Matrix ning asja olemust see ei muuda - tegemist on parima läbivalt krüptitud, hajutatud ja födereeritud vabal tarkvaral põhineva suhtlusvõrguga. Teiste klientide nimed sellest ei muutu (Fractal, Spectral, Quaternion, Nheko, Nio, Ditto, FluffyChat jne) ning kõikidel kasutajatel peaks kõik töötama nagu seni.

Upgrading Riot Web to Riot Desktop in Debian, Ubuntu, Mint and other deb-based distos

New Riot.im app was released yesterday and it's name has changed.

When running standard upgrade from command-line you see:
$ apt update && apt upgrade
The following packages have been kept back:
riot-web

When you see what is upgradable you'll notice:
$ apt list --upgradable
riot-web/stable,stable 1.6.0 amd64 [upgradable from: 1.5.15]

The solution to get upgrade done is simple:
$ apt install riot-desktop
The following packages will be REMOVED:
riot-web
The following NEW packages will be installed:
libsqlcipher0 riot-desktop

Latest release of Riot is feature-heavy and among others makes verification a lot more simple and end-to-end encryption enabled by default for all new non-public conversations.

Riot is a good client for Matrix - an open network for secure, decentralized communication.