Vlákno názorů k článku Velká část e-mailů putuje internetem nešifrovaně. Kdo to změní? od j - Sok!, protokol kterej se pouziva 30+let se pouziva...

Sok!, protokol kterej se pouziva 30+let se pouziva porad stejne ...

Mno hlavne se se z IPv6 sifrovani vyhodilo.

Sok! DHCP komunikuje nesifrovane!

Neblaboli. Sam jsem chtel napsat neco podobneho. Vsichni vedi, ze email je nesifrovany a obecne nebezpecna forma komunikace. Komu to vadi muze uz davno pouzit jine kanaly, nebo sifrovat alespon obsah na urovni vysilajici klient - prijimajici klient.
Zablokovat zcela soucasnou komunikaci emailem nepovazuji za dobry napad.

IPv6 šifrování nevyhodilo. V původním návrhu bylo povinný, teď je možnost je vypnout. Ale když se rozhodneš komunikovat šifrovaně, máš to šifrovaný.

DHCP komunikuje lokálně v LAN. Tam je menší riziko třeba MITM. A pokud není nastavena síť, nedostaneš čas (NTP) ani IP adresu (protože nemáš handshake s výměnou klíčů).

Navíc, pokud jdeš do IPv6, tak se zařízení by default konfiguruje samo a dostává jenom prefix a adresu DNS... Takže pokud opustíš svět IPv4, nemusí ti nešifrovaný DHCP vůbec vadit.

Prave to ze tam bylo (a uz neni) povine by zajistilo to, ze mas "garantovano", ze protistrana sifrovat umi. Vzdy. To uz neplati. Tudiz at uz chces nebo nechces musis pocitat s tim, ze protistrana sifrovat neumi. Navic je ti pak urite jestli nad tim bezi telnet, mail, web, dns, ...

DHCP je zarnej priklad naprosto nezabezpeceny komunikace, jak ty vis, ze to co ti odpovedelo je dhcp ktery ti odpovedet ma? Specielne kdyz si nekdo doma pusti wifi v bridge ... tak si klidanko kdokoli muze presmerovat jeho veskerej provoz pres svuj router ... ani si nevsimne. (leukoplast v podobe managementu ve switchi pomijim, to doma lidi nemaj a i kdyby meli nezvladnou to nastavit). Ne ze by na tom teda RA bylo lip ...

A (pro nektery tupce jako je trebas nekola) VELKY prekvapko ... UPLNE PRESNE STEJNE FUNGUJE SMTP. Proste hromada endpointu sifrovat neumi, protoze sifrovani je volitelny rozsireni protokolu, stejne jako spousta jinych veci (sem zvedav, jak ze svyho klienta posles mail na "vomáčka@ ...").

Ne. Dřív to bylo tak, že jsi šifrovat prostě musel, ať chceš nebo ne. Teď to je tak, že pokud nechceš šifrovat, můžeš to vypnout, ale pokud chce být zařízení kompatibilní, tak to podporovat musí.

Můžeš popsat, jak chceš šifrovat DNS? Sednu do vlaku, zapnu NTB... Hele, nemám certifikát dopravce ŠílenáLokoška, můžu akorát koukat z okna na protihlukový stěny. A bylo by fajn, kdybys vysvětlil, jak chceš bez spojení a bez certifikátu ověřit, že handshake na WiFi probíhá s tím pravým APčkem...

Já to nešifrovaný DNS řeším tak, že mimo domácí síť se připojím a jedu šifrovaně. Útočník získá maximálně metadata. A když potřebuju něco důvěrnějšího, tak VPN tunel do domácí sítě, nebo počkám až budu doma a hotovo.

Tak si to probuh precti, sifrovani bylo povinou soucasti implementace IPv6 stacku, ale NIKDY nebylo povine pouzivany. Jenze prostistrana to musela umet, takze se dalo pouzit kdykoli.

Nasledne bylo sifrovani z IPv6 jako povina cast vyhozeno, s argumentaci, ze vsemozny pidikrabky na to nemaj vykon. Tudiz aktualni stav je takovej, ze sifrovani zarizeni podporovat vubec nemusi.

Kdyz budes sifrovat na ip vrstve, tak je tu uplne uprd.ele jestli nad tim bezi dns nebo cokoli jinyho. A klidne si muzes (sifrovane) komunikovat se svym domacim dns, nemusis pouzivat ten, kterej ti nekdo nekde predhodi.

Overit APcko v pripade, ze pouzijes kerberos je trivialne primitivni. A jestli se pripojuju venku na ulici k frantovi nebo pepovi, v tom jaksi uz nevidim zadnej rozdil.