Slabinou vsech [prehanim jen malinko] velkych systemu s soukromymi/verejnymi klici je management tech verejnych klicu.
Z toho, co se ve clanku pise, jsem porozumel, ze jeden obtizny problem "jak zjistit, ze DNS informace jsou autenticke" jsem prevedl na druhy obtizny problem "jak zjistit, ze verejny klic je autenticky". Nejsem si vedom toho, ze druhy problem ma uspokojive obecne reseni.
Ja myslel, ze to resi certifikaty a system certifikacnich autorit. Za uspokojive reseni se povazuje to, ze se nakonec musi duverovat jen jedne nejvyssi certifikacni autorite. Nebo v cem ten problem vidite?
Jak DNSSEC řeší ověření autentičnosti klíče bude popsáno v pokračování. Jak už naznačil Michal Kara, jedná se o zřetězení klíčů, kdy vyšší doména umožňuje ověřit pravost klíče své podřízené. Klient pak musí mít k dispozici důvěryhodný klíč ke kořeni doménové hierarchie, kterým ověří cokoli (samozřejmě za předpokladu, že celá cesta mezi kořenem a ověřovanou doménou podporuje DNSSEC).
Na jednu stranu mate pravdu v tom, ze utoky na DNS nepatri k prilis castym a ze prosazeni takove technologie je nejiste...
Jsou tu ale veci se kterymi bych nesouhlasil:
- Spoofovat se da i na lokalni siti
- Moje predstava o strukture PKI (a zrejme i ta navrhovana) je takova: Kdyz zazadate o domenu, poslete soucasne s zadosti i vas verejny klic. Po prideleni domeny vam tento bude vracen podepsany. Takze zadny velky business pro CA v tom nevidim. Neni nutne slozite overovani totoznosti, pouze se musi zajistit aby verejny klic poslany registratorovi byl autenticky.
Jen tak na okraj: Vy snad znate nejakou jednoduchou moznost branit se proti spamu? IMHO je hlavni problem (krome toho, ze spameri casto pusobi v jinem state a pod jinou jurisdikci) to, ze velke mnozstvi spameru pusobi malou skodu velkemu mnozstvi lidi. Tedy i pokud mi prijde sto spamu, tak jsou v 99% od ruznych osob, takze by to bylo na 100 zalob...
K tomu PKI - již existující domény tímto způsobem obsloužit nemůžete. Ale o to tady asi nejde, záznamy by měly být podepisované spíše správcem DNS serveru (musel bych se podívat do těch návrhů, zda-li připouští i uživatelsky podepisované záznamy).
Odpovědi na žádosti DNS by v LANu spoofovat šly (pokud nemáte inteligentní huby). Jenže co by tím kdo získal? Když to bude zkoušet jen trochu častěji, tak dotyčného lze i nalézt a natošup vyhodit ze zaměstnání.
O business pro CA nemusí jít v první řadě. Pokud ale na každé platformě bude kvůli DNS software pro bezpečné ověřování podpisu vůči nějaké určité kořenové CA, pak se to pochopitelně může dané platformě hodit i pro jiné účely, na kterých se již vydělá.
Obecně pak nejsem proti tomu, aby se to realizovalo. Spíš mi šlo poukázat, že na DNS není ten problém tak horký.
Jednoduchá možnost proti spammu? Jistě. Nemít anonymní uživatele internetu (aspoň při posílání e-mailu). Když dnes mračno ISP dá přístup někomu a ani neví komu... Kdyby ta anonymita nebyla, tak by nevadily ani open-relay. Problém je v organizaci, ne v technických možnostech. Bezpečnost je vždycky věcí i organizačního zázemí, nejen technologií.
V podstatě pouze zaručuje ochranu proti útoku na NS se záznamy a proti útoku "muže uprostřed" po komunikační cestě ke klientovi, aby nedošlo k podsunutí.
Útoku na server se dá bránit jinak a útoky po komunikační cestě jsou spíše obskurní praxí, protože se pochopitelně většinou dá dodatečně zjistit, kde k podsunutí dochází a takovému carrier zničit pověst.
Jediný efekt podsunutí je, že vás někdo přesměruje na nějaký jiný server. Pokud je to bezpečnostně kritické, tak by uživatelé stejně měli používat zabezpečené klienty, nebo relace, pro spojení se serverem (obecně protějškem). Pokud to kritické není, tak to způsobí akorát nedostupnost originálního serveru, resp. vydávání se za nějaký jiný server (což může pošramotit reputé, ovšem správně někoho jiného, než je správce serveru).
Je-li pro vás konektivita kritická (např. pro firemní nastavení), tak si ovšem důležité adresy IP můžete zjistit předem a nastavit je jako statické, číselné a úplně systém DNS ignorovat. Pokud někdo úspěšně spoofuje v síti až na úrovni komunikace všech paketů IP, tak vás ovšem proti přesměrování neochrání ani DNSSEC, přitom je to útok na podobné úrovni jako spoofing komunikace DNS.
U DNS je podstatné, že jeho správa se provádí ručně - resp. každý správce si sám stanoví vhodná pravidla pro komunikaci se svým okolím, jak mu ověřeně má hlásit změny. Např. v ČR se změny v NS na národní úrovni (NIC.CZ) provádí až po papírových žádostech s notářsky ověřeným podpisem. Řada ISP vyžaduje potvrzení změn faxem atp. Čili nelze tvrdit, že by se u DNS nepočítalo s tím, že může dojít "k problémům". To tvrzení autora, že se nikde ve standardech RFC nepočítalo "s narušiteli" také zcela neodpovídá, ve skutečnosti je řada specifikací RFC, které se zabývají bezpečností.
Je ale pravda, že např. současnou úroveň spammu předpokládal málokdo. I spammu by se ale dalo i se současnými prostředky bránit, kdyby byla organizační a právní vůle. Možnost spammu a možnost útoku na integritu serverů nebo spoofingu IP spojení je ovšem kvalitativně zcela jiný útok. Bylo by možná zajímavé vědět o bezpečnostních incidentech, kvůli kterým někdo o DNSSEC vlastně uvažuje.
Oproti tomu vybudování jediné certifikační hierarchie napříč státy světa je technologicky, organizačně i právně náročný a drahý úkol. U jiné snahy IESG v oblasti bezpečného e-mailu (PIM) tato snaha zcela ztroskotala. IESG se skutečně snažila zavést bezpečný e-mail.
Dále aby to k něčemu bylo, tak by pro tento způsob ověření autenticity a integrity museli existovat implementovaní klienti DNS. Vzniká s tím navíc problém obnovování klíčů při vydávání nových atp. I pokud se to ujme (možná ano, možná ne, plošně se ujímá tak každá 10-30tá specifikace RFC), možná i z jiných důvodů než je ochrana záznamů DNS (někteří registrátoři DNS jsou zároveň certifikačními autoritami a mají zájem na rozvoji certifikačního businessu), tak přechod klientské báze na plné používání zabezpečeného DNS bude trvat 3-10 let.
Bezpečnost ovšem potřebujete již dnes, pokud ji potřebujete.
Existujici domeny - neni problem poslat klic a obdrzet ho podepsany pro domenu kterou jiz vlastnim...
Ad PKI: Ja to myslim tak, ze TLD administrator podepise verejny klic nameserveru+informaci ze nameserver je autoritativni pro danou domenu. A nameserver privatnim klicem od tohoto verejneho podepise zaznamy. Ale asi to pujde i jednoduseji...
Co bych tim ziskal? :-))) Treba: Presmerovani na falesny login do financniho systemu, heslo ucetni, prevodni prikaz na peknou sumicku na ucet ktery posleze vyberu. Treba. Pamatujte, ze nejvice a utoku pochazi zevnitr firmy (a hlave tech co napachaji nejvice skod). Navic - lide moc nemysli na budoucnost a delaji spoustu veci za ktere pak pykaji... Bohuzel.
Mohu vas ujistit, ze vzdy kdyz jsem OPRAVDU potreboval zjistit si kdo dotycny je, tak jsem si to zjistil. Pokud nepouzivate dobre stealth techniky (relaye bez logu), da se identita vystopovat.
Mate pravdepodobne na mysli povinny digitalni podpis pod dopisy... Tim ale moc nevyresite. Viz muj predchozi mail - stale se musi sehnat dost lidi, kteri dosvedci, ze dotycny rozeslal opravdu spam. I kdyz asi by to trochu pomohlo. Ale pravdepodobnost ze by se neco takoveho povedlo prosadit je asi stejna, jako ze spammeri prestanou spamovat v dusledku spatneho svedomi.
ČLÁNKY DO MAILU