DNS4EU – jak bardzo europejski jest europejski system DNS?

DNS4EU ma być europejską odpowiedzią na dominację amerykańskich gigantów w kluczowej warstwie internetu – systemie nazw domen. Projekt wspierany przez ENISA i Komisję Europejską obiecywał większe bezpieczeństwo, prywatność i cyfrową suwerenność. Ale analiza techniczna pokazuje, że „europejskość” tego rozwiązania może być bardziej deklaratywna niż rzeczywista.

Zacznijmy od podstaw. DNS (Domain Name System) to usługa, bez której żadna strona internetowa nie działa – to on tłumaczy adresy, które wpisujemy w przeglądarce, na adresy IP rozumiane przez maszyny. Projekt DNS4EU, finansowany ze środków Unii Europejskiej, miał być „bezpiecznym, zgodnym z RODO i odpornym” systemem DNS. Celem było stworzenie infrastruktury, która nie tylko chroni użytkowników, ale także uniezależnia kontynent od usługodawców spoza UE.

Na papierze wszystko wygląda dobrze. Główne serwery nazw (NS), na których oparty jest serwis joindns4.eu, rzeczywiście są obsługiwane przez europejską firmę – ClouDNS – a ich adresy IP należą do operatorów zlokalizowanych na terenie UE. W tej kategorii: punkt dla Europy.

Hosting? USA mówi „hello”

Sprawy komplikują się przy hostingu strony internetowej. Domeną joindns4.eu zarządza Cloudflare – amerykańska korporacja znana z globalnej infrastruktury CDN (Content Delivery Network). I chociaż fizyczna lokalizacja węzłów może być w Europie, to podmiotem przetwarzającym dane pozostaje firma spoza UE. W kontekście unijnego rozporządzenia o ochronie danych osobowych (RODO) i cyfrowej suwerenności to poważny zgrzyt.

Jeszcze gorzej wygląda sprawa poczty. Serwery obsługujące komunikację e-mail dla domeny to… dobrze znane adresy Google’a. Czyli znowu USA, z całym pakietem kwestii prawnych, jakie się z tym wiążą.

Routing, czyli którędy płyną dane

Najbardziej interesujący fragment całej analizy to jednak kwestia routingu. Choć adresy IP przypisane do serwerów DNS są zarejestrowane na firmę z Czech (czyli wewnątrz UE), to ścieżka, którą płyną pakiety danych, prowadzi przez Wielką Brytanię – a więc kraj już poza strukturami UE i członka sojuszu wywiadowczego Five Eyes. Nie tylko aspekt geograficzny jest tu istotny, ale też fakt, że część węzłów sieciowych należy do podmiotów, które mogą podlegać innym standardom prywatności i nadzoru.

Dla uproszczenia: wyobraźmy sobie, że wysyłamy list do sąsiada w Warszawie, ale nasza przesyłka leci przez Londyn, gdzie ktoś może ją otworzyć i przeczytać. Technicznie poprawne, ale nie do końca zgodne z ideą „europejskości”.

DNS4EU – szlachetna idea z kulejącym wykonaniem?

Czy DNS4EU to zły projekt? Absolutnie nie. Sama próba stworzenia niezależnej infrastruktury DNS to krok w dobrą stronę. Ale obecna konfiguracja przypomina raczej wersję beta niż dojrzałe, w pełni suwerenne rozwiązanie. Wykorzystanie amerykańskich dostawców usług hostingowych i e-mail, a także routing przez kraje spoza UE, podważa pierwotne założenia projektu.

Na marginesie pozostaje jeszcze kwestia odporności na ataki – autor oryginalnej analizy zauważa, że brak rozproszenia (tzw. anycast) i pojedyncze punkty styku w sieci to potencjalne ryzyko awarii lub ataku DDoS. Trudno nie odnieść wrażenia, że projekt powstał z dużą dozą idealizmu, ale niekoniecznie z pełną inżynierską precyzją.

Refleksja na koniec

Czy Unia Europejska nie ma zasobów, by uruchomić serwis DNS, który byłby w pełni kontrolowany przez podmioty z UE, dostępny w ramach rozproszonej infrastruktury i bez zależności od firm zza oceanu? Technologicznie – zdecydowanie tak. Problem leży raczej w braku konsekwencji, czasem także w wygodzie i oszczędnościach. Łatwiej i taniej podłączyć gotowy serwis niż budować go od zera.

Jeśli jednak mamy mówić o cyfrowej suwerenności poważnie, może warto czasem zainwestować więcej?