Názory k článku
IANA pořizuje nové notebooky pro podepisování kořenové zóny
-
-
jeniceek (neregistrovaný)
Čistě hypoteticky to nemusí být WiFi a nemusí fungovat v režimu klient, stačí nějaký čip, umožňující docela pomalou bezdrátovou komunikaci, což při dnešním stupni integrace půjde schovat klidně do nějakého dalšího čipu a na krátkou vzdálenost jako anténa poslouží cesta někde nenápadně na desce.
Vzhledem k tomu, že cílem nejspíše bude odcizit šifrovací klíč (na ten mají stejně nějakou čipovou kartu, dle jejich GITu) nebo podvrhnout veřejný klíč v okamžiku jeho vložení do TLD.
Myslím že současné provedení DNSSEC, kdy to celé spoléhá na lidi je koncepčně špatné a mnohem lepší by bylo implementovat nějaký algoritmus, založený na blockchainu a nějakém algoritmu pro distribuovanou důvěru. To samé lze ovšem říci i o chain-of-trust v současné podobě SSL, pouze je to byznys, kterého se nikdo nechce vzdát. Nedělám si iluze, že když nějaká autorita dostane příkazem podepsat certifikát někomu jinému, že to neudělá. -
Filip JirsákStříbrný podporovatelTakže schovaný WiFi čip byl vlastně nebyl WiFi čip.
Jinak je hezké, jak tu všichni řeší, aby se něco nedostalo ven – jenže absence těch bezdrátových zařízení a disků má přesně opačný účel, totiž aby se nic nedostalo dovnitř. Protože privátní klíče jsou stejně uložené v HSM, k těm se ty notebooky nedostanou. Účelem té ochrany je to, aby se v okamžiku podepisování nepodepsalo něco jiného, než se podepsat má.
-
e (neregistrovaný)
Je tam ethernetovy port. Se pise v clanku. Neni jedno jjestli je to metalicke nebo bezdratove? Kdyz uz je rec o te konektivite. To o te absenci wifi se mi zda uplne na hlavu, v momente kdy je tam ethernet port. Jirsak tedy rika ze pres metaliku se nic nedostane dovnitr a bezdratove jo. Chocholousek?
-
Filip JirsákStříbrný podporovatel
Aby vám fungoval ethernetový port, musíte do něj zapojit ethernetový kabel.
-
e (neregistrovaný)
No fiha, Jirsakovi konecne doslo, ze kabel ma strcit do portu jinak to nepojede. No nepovidej. A aby fungovala wifina musis napajet wifi cip napetim a navazat spojeni, tos taky nevedel? Je to na stejny urovni jako strcit kabel do ethernet portu. Jakoze jirsak narazi na to ze kabel jde videt a wifi cip v provozu identifikujeme hure jo? Ale jdi ty brepto. Navic jsou tam 4 USBcka do kterych muze dat kdo chce co chce kdy chce . Nejaka bezpecnost... sere pes. Ale na ceremonii dobry .. :)
-
Filip JirsákStříbrný podporovatel
Zkuste si někdy ethernetový kabel prohlédnout pořádně. Budete překvapen, ale takový kabel nemá jeden konec, má konce dva. S WiFi spojením je to stejné – pokud chcete přes WiFi přenášet nějaká data, musíte navázat spojení mezi dvěma body. Řešit tajný WiFi čip je hezké, ale pořád nějak zapomínáte na to, že musíte mít v dosahu WiFi signálu druhé WiFi zařízení, se kterým ten WiFi čip bude schopen komunikovat.
Navic jsou tam 4 USBcka do kterych muze dat kdo chce co chce kdy chce.
Právě že během ceremonie rotace klíčů nemůže. -
Ale vždyť se tam algoritmus na distribuovanou důvěru používá - Shamir Secret Sharing. Je zapotřebí alespoň <n> držitelů karet, aby HSM vůbec fungovalo. Přidáváním náhodných lidí nebo buzzwordů míru důvěry opravdu nezvýšíte.
A upřimně - kdyby ty sady ZSK prostě podepisoval jen ICANN, tak by se na tom modelu důvěry nezměnilo vůbec nic. Ten důležitý obsah (zóna) se stejně generuje jinde a podepisuje až pomocí ZSK.
