Vlákno názorů k článku Dan Kaminsky a jeho útok na DNS servery od Petr - Lepsi nezli DNSSEC a navic nepotrebuje centralni autoritu...
-
Petr (neregistrovaný)Lepsi nezli DNSSEC a navic nepotrebuje centralni autoritu :-)
http://cr.yp.to/djbdns/forgery.html
Samozrejme, clovek musi prijmout Bernsteinovo videni sveta (coz je nekdy dost tezke). Ale myslenka je to velice elegantni. A resila by *zejmena* takove ty DNS-based utoky proti bankovnim strankam, protoze tam se clovek vetsinou prihlasuje pres bookmarky. -
Víte, ono přijmout djb vidění světa může taky znamenat, že budete mimo realitu. Ten návrh je podobně pitomý jako návrh ve zdejší diskuzi začít používat jenom IP adresy.
Možná by stálo za to místo papouškovaní mnoho let staré stránky začít přemýšlet nad tím, jestli se návrhy od djb stále ještě setkávají s realitou a praxí v ní. (Poradím vám - u většiny věcí je odpověď ne.) -
Jenom upřesňuji, že jako pitomý jsem označil návrh od djb, nikoli ten váš začít to používat. Zkuste si představit, jak by vypadaly všechny adresy, a jak by se to "perfektně" používalo... Vidím ten telefonický rozhovor, kdy druhé straně dáváte URL na své stránky. Nemluvě o tom, že by bylo potřeba přejmenovat všechny počítače při změně klíče (což je potřeba dělat). Ten návrh je naprosto mimo realitu.
A asi jsem odkaz na tu stránku v posledních dnech viděl příliš mnohokrát a vždy to bylo bez rozmyslu reálných konsekvencí tohoto návrhu. A už to na mě působí jako červený hadr. Omlouvám se za to papouškování, mohl jsem to napsat mírněji.
DNSSEC pokročil do verze DNSSECbis, námitky proti NSEC byly vyřešeny v NSEC3. Tj. je to něco na čem se pracuje. Zónu má podepsanou Švédsko, Bulharsko, Portoriko, je podepsaná reverzní zóna na RIPE. Česká doména se připojí během krátké chvíle. IANA testuje podepisování root zóny (a ostatních, které spravuje).
Bohužel podepsání root zóny není problém technický, ale politický. Snad se to povede v dohledné době vyřešit. Nicméně ani to není překážkou nasazení. -
Petr (neregistrovaný)Ano, problem nymu je problem srovnatelny s problemem distribuce klicu v jakekoliv jinem public key systemu. DNSSEC na tom nakonec nebude lepe.
Podepsana jmena (nymy) mohu nakonec dostat z tehoz mista, jako dneska dostavam certifikaty, ne? :-)
A ano, klice pro DNSSEC a podepisovani a sprava klicu, to je problem politicky. A z toho duvodu k tomu nakonec nedojde. Pokud se to za nejakych deset let nepovedlo, nepovede se to nikdy. -
Bohužel se toho o nym base security v podání djb dá zjistit ještě méně než o genocidě Arménů v Turecku... takže mě kdyžtak opravte... nicméně nepředpoklám, že by google měl speciální filtr na djb a jeho nym based security, takže hádám, že oba vycházíme z té jediné stránky s názvem forgery.html a případně občasných drobných zmínkách.
Pokud jsem djb správně pochopil, tak by se jednalo o to, že by doménové jméno nevypadalo 'www.root.cz', ale např. www.128309ADCA12A.root.cz (nebo jinak poskládané, ale pro ilustraci to doufám stačí). Tzn. když by bylo potřeba vyměnit klíč a doménové jméno znovu podepsat, tak by došlo k tomu, že by ta adresa najednou nebyla www.128309ADCA12A.root.cz ale www.9876AD9BEF.root.cz (opět jen příklad). Důsledky doufám vysvětlovat nemusím. To byla první námitka.
Druhá námitka je doufám očividná - bylo by to stejné jako návrh výše v diskuzi, aby se používaly IP adresy. Stejně nesrozumitelné. A to jak pro www, tak pro emailové adresy...
Ale možná vycházím ze špatného předpokladu. Pokud ano, tak by mě zajímalo, kde to djb popisuje detailněji.
Ad první odstavec) V DNSSECu je distribuce klíčů hierarchická stejně jako DNS. Na DNSSECu je pěkné právě to, že nemění model důvěry.
Ad druhý odstavec) Věřím, že certifikačním autoritám by se váš návrh moc líbil.
Ad třetí odstavec) Bohužel vaše věta o tom, že se to nepovedlo za deset let, je blábol pramenící pouze z vaší neznalosti problematiky.
Mé doporučení zní - vyřaďte djb z vašeho soukromého panteonu a nad jeho návrhy zkuste přemýšlet.
