Vlákno názorů k článku Doména .CZ v červnu jako první nasadí eliptické křivky (ECDSA) od Miroslav Šilhavý - Eliptické kurvy jsou asi správný směr (nevím o...
-
Eliptické kurvy jsou asi správný směr (nevím o jiném lepším). Asi se dá vycházet z premisy, že ten, kdo DNSSEC ověřuje, je technologicky "vepředu" a tedy nebude moc problémů s tím, že by někdo zastydl jen na možnosti ověřovat RSA. I v takovém případě bude asi rychlým hotfixem dočasné vypnutí ověřování.
Škoda, že nejde technicky zajistit souběh podpisů oběma algoritmy, tedy RSA i ECDSA a vyhodnotit skutečnou připravenost.
-
Ondřej CaletkaZlatý podporovatelVyhodnocování skutečné připravenosti ve skutečnosti probíhá už několik let, stačí k tomu testovací doména podepsaná nevalidním ECDSA podpisem. V laboratořích APNIC třeba taková měření dělají dlouhodobě pomocí reklamního systému od Google. Výsledky jsou zveřejněny.
Je zřejmé, že od prvního měření v roce 2014, kdy to bylo hodně špatné hlavně kvůli vypnuté podpoře ECDSA v RedHatích systémech se situace výrazně zlepšila. Sice pořád není na stejné úrovni jako podpora RSA, ale to asi nebude nikdy. Kdyby se mělo s každou změnou čekat, až se přizpůsobí celý Internet, nezměnilo by se nikdy nic.
-
Výsledky jsou zveřejněny.
Díky za odkaz.
Kdyby se mělo s každou změnou čekat, až se přizpůsobí celý Internet, nezměnilo by se nikdy nic.
Tahle změna asi nepřinese moc komplikací "čtenářům" internetu, nedráždí mě to nijak.
Jinak ale nejsem velký příznivce teze "nezměnilo by se nikdy nic" s nádechem něčeho negativního.
Jsou věci, které není potřeba měnit, protože změna nepřinese ve skutečnosti žádný prospěch. Srovnejte třeba vývoj v obchodech: před padesáti lety nebyly samoobsluhy. Pak přišly a začalo se krást. Pak se zostřovala opatření - v osmdesátých letech byla v obchodech zrcadla nad regály, vedoucí měl průzor ze zvýšeného místa, ... Pak přišly kamery. ... No a dnes jsme zase ustoupili a používáme ruční skenery a nakupujeme vůbec bez asistence prodavače...
Věřím, že ti, kteří vymýšleli zrcadla, kukaně vedoucích, kamery, čipování výrobků - všichni to viděli jako posun vpřed. Z jejich pohledu řešili problém a situaci partikulárně zlepšovali. Jen chyběl někdo, kdo by z odstupu zhodnotil, že to nemá smysl. S některými zlepšeními v IT mám podobný pocit. Sice dokážeme říct, že ECDSA vs RSA je posun vpřed (nezpochybňuji). Chybí mi ale zamýšlení se, jestli vůbec celá ta technologie naplňuje nějaký cíl, kolik stojí celkově (celosvětově?) a jestli ta cena není vyšší, než nějaké jednodušší opatření.
===
Zpět k ECDSA - proč ne, tohle nezpůsobí komplikace.
-
Není to týden, mluví se o tom minimálně rok a půl a jak je v článku napsáno, ECDSA je už teď nejpoužívanějším algoritmem na doménách vyšších řádů. Takže to není žádné překvapení a dávno se to používá, jen má CZ.NIC kvůli IANA zpoždění.
-
Joska (neregistrovaný)
Tam jsou uvedené dva důvody. Jedním je obecně menší rozšířenost podpory eliptických křivek na validátorech a také čekání na nový standard od IETF. Odkázaný dokument je z roku 2016, standard mezitím vznikl - do podoby RFC 7748. Tam se ale nehovoří o P-256 ECDSA, ke které aktuálně směřune CZ.NIC, ale o ED25519 - tedy je doporučována odlišná křivka. Z toho je jasné, že root zone směřuje někam jinam a nejspíš podobně na tom budou i další TLD.
-
"Eliptické kurvy jsou asi správný směr ..."
To rozhodne ano, zejmena kdyz pred jejich pouzivanim varuje sama NSA........to je pro me osobne to nejlepsi doporuceni o jejich neprustrelnosti, alias jak se sveho casu vyjadril Moxie Marlinspike (tvurce znameho Signal komunikatoru aka Axolotl sifrovaneho protokolu) "soudruzi z NSA se nas snazi vystrasit a odradit od pouzivani EC protoze zjistili ze jim ujel vlak" :o))))
BTW co je na EC tak kouzelneho a proc jsou tak dobre:
Elliptic Curves (explained) - Computerphile
https://www.youtube.com/watch?v=NF1pwjL9-DEA kdyz uz soudruzi z NSA neuspejou se "strasidelnou kampani" tak se aspon pokusi vnutit NISTu "svoji" backdoorovanou verzi EC:
Elliptic Curve Back Door - Computerphile
https://www.youtube.com/watch?v=nybVFJVXbww
(je vyhodne zapnout UK titulky)
