Názory k článku Mobilní operátoři nasazují DNSSEC
-
Možná by bylo vhodné vést debatu na technické argumentační úrovni. Urážení oponentů ještě do kvality debaty nikdy nic dobrého nepřineslo.
Pokud by operátor tvrdil, že DNSSEC, tak je velmi jednoduché (pro středně technicky zdatného uživatele) toto tvrzení ověřit. Nemám pocit, že by pro operátory bylo výhodnější takto cíleně lhát, než prostě říct nějakou větu o ochraně internetu, kterou operátoři už dnes používají pro argumentaci nasazení block listů.
-
> V PKI se totiž ověření konkrétního certifikátu provádí na základě důvěry
> k jediné CA, která má vše pod kontrolou.Jenže vy neověřujete konkrétní certifikát, ale "důvěru" ke konkrétnímu webu. V tu chvíli už ověření děláte vůči libovolné CA, které důvěřuje výrobce vašeho prohlížeče, vašeho operačního systému, atp.
Se zbytek s Vámi souhlasím, nicméně jste vyjmenoval všechny subjekty, kterým musíte důvěřovat již dnes. A já bych do toho seznamu doplnil ještě registrátora domény example.com.
Je jasné, že s příchodem nových technologií přijdou i nové útoky, které budou zaměřené na jiné cíle, nicméně pro tuhle chvíli se dá říct jen: "PKI's dead, baby. PKI's dead."
-
> Pokud banka používá pro komunikaci pouze https s důvěryhodným
> certifikátem, tak není problém.No, to se mi ulevilo...
http://it.slashdot.org/story/11/12/08/1341224/another-dutch-ca-hacked
( http://webwereld.nl/nieuws/108815/weer-certificatenleverancier-overheid-gehackt.html ) -
Pokud někdo zlomí RSA, tak se z toho opravdu .... všichni, ale hádám, že do té doby už bude kořenový klíč odrotovaný na nějakou eliptickou křivku nebo něco lepšího. A pokud dojde k průlomu na kvantovém políčku, tak nás už nezachrání vůbec nic.
A co se týče útoku na infrastrukturu, tak jedno vajíčko v DNSSEC košíku se hlídá o dost líp, než stovky PKI pukavců, které jsou si všechny rovny. A bohužel do bezpečnostní omelety stačí rozklepnou jen jeden pukavec...
-
Jednoduše, pokud to někoho opravdu trápí, tak použije jiný validující volně dostupný resolver. V článku jsou minimálně dva zmíněny (CZ.NIC a DNS-OARC).
Ale řekl bych, že kdo chce psa bít, vždy si hůl najde.
Zatímco já jsem názoru, že je na místě pochválit místní Vodafone a Telefónicu O2, že DNSSEC nasadili, tak jste si našel zástupný argument, proč je to vlastně špatně, i když to s DNSSECem vůbec nesouvisí.
-
MilanK (neregistrovaný)
Obecně podporuji zvýšování bezpečnosti na Internetu, bez kryprografie nebude možné v budoucnu fungovat. Ale nechápu, proč CZ.NIC tolik prosazuje DNSSEC a teď tu lavinu nasazování validujících rekurzivních nameserverů u velkých operátorů? Útoky založené na uhádnutí DNS transakce (portu, ID) už jsou v dnešní době prakticky špatně proveditelné, takže z mého pohledu 95% útočníků bude stejně umístěno mezi validujícím nameserverem a zákazníkem. A v takovém místě si zfalšují nejen validaci, ale i IP adresy při následné komunikaci...
Prosazujte veřejně DNSSEC, až jím budou podepsány údaje, které skutečně pozvednou úroveň zabezpečení internetové komunikace (jako jsou zmiňované TLS certifikáty pro HTTP/SMTP) a až bude možné validaci provádět na koncových počítačích zákazníků. Chápu, že se nějak začít musí a že je dobré rozšiřovat DNSSEC "mezi odborníky", ale proč mást veřejnost falešným pocitem bezpečnosti? Ani validující nameservery VF/O2, ani podpis zóny České spořitelny přeci phishing v podstatě neovlivní.
-
Myslím, že už jsem to napsal výše. A nemám pocit, že zrovna vám to musím polopaticky vysvětlovat. CA v PKI jsou všechny stejně důvěryhodné (z pohledu uživatele). A jak ukazuje již několik kauz za poslední rok (až dva), tak všechny CA nejsou chráněny stejně "dobře" (nebo "špatně"). Bohužel (pro PKI i pro uživatele) stačí rozlomit tu nejslaběji chráněnou CA a je to stejné jako byste rozlouskl Verisign (umm, vlastně teď už Symantec).
Model PKI prostě selhal, je potřeba se zvednout ze země, oprášit se a jít dál.
-
MilanK (neregistrovaný)
Ono se na ten "PKI" model DNSSEC dá vlastně nahlížet i tak, že je ještě méně důvěryhodnější, než klasické PKI. V PKI se totiž ověření konkrétního certifikátu provádí na základě důvěry k jediné CA, která má vše pod kontrolou. U DNSSEC musíte důvěřovat minimálně třem subjektům - pro www.example.com musíte důvěřovat:
- provozovatelům kořenové zóny
- provozovatelům zóny .com
- (provozovatelům zóny example.com, ale ti se nepočítají, s těmi chcete komunikovat)
- provozovatelům Vašeho validujícího nameserveru.Ano, postupy vytváření a správy klíčů v DNSSEC, které mj. publikoval CZ.NIC, vypadají mnohem více důvěryhodné, než průměrná nebo "nejhorší" PKI CA, ale to nestačí...
-
x (neregistrovaný)
Jednoduse nepouzijete, protoze v dalsim kroku, vam v ramci vasi bezpecnosti vas ISP znemozni se dotazovat jinych nez jeho DNS a pro jistotu mu to velmi brzo nekdo posveti zakonem - vcetne prikazu vsechny dotazy logovat.
Zatimco ja tvrdim, ze DSNSEC nema smysl pokud si odpovedi nevaliduje klient a ze naopak zavadi pomerne vysoke riziko zneuziti, tak vy tvrdite (naprosto nepodlozene) opak.
On je totiz zasadni rozdil mezi podepsanim domeny a nasazenim validace na serverech pro klienty. Je to naprosto totez, jako kdyz vam provider rekne, ze si mail neodeslete jinak nez pres jeho smtp - je to preci pro vasi bezpecnost dobre, ne?
-
petr_p (neregistrovaný)
Nedůvěřuji. U Telefónicy za to primárně mohla nespolehlivost jejich serverů, ale ve výsledku mám vlastní rekurzivní servery. Nasazení validace u ISP přináší poskytovateli další záminku, proč odpověď nevrátit (schová se za neplatný podpis) nebo, jak píšu dříve, ISP si skrze kecy o validaci vycvičí uživatele, že jeho servery poskytují zaručeně pravé údaje, což nakonec nebude vůbec pravda, protože právě poslední článek cesty doménového záznamu bude nechráněn.
-
šarik (neregistrovaný)
Nějak jsem nepochopil technologii popsanou v článku, tak mi prosím promiňte. Z těch stránek, na které chodím má DNSSEC jen Lupa.cz. Ani má banka ho nemá. Je vůbec nějaký důvod, aby tuto technologii nasadili všichni provozovatelé stránek? Nebo je to čistě jenom na dobrovolnosti, když se na tom pracuje 10 let a nikdo to nepoužívá?
-
petr_p (neregistrovaný)
Samotné nasazení DNSSECu nic. Naroubování PKI do DNS již ano. Z pokusů cpát do DNS veřejné klíče SSH nebo X.509 TLS mi běhá mráz po zádech.
Proč domény v cz. drží prvenství v užití DNSSECu? Protože drtivá většina domén je podepsána regristrátorem. Tudíž platný podpis na záznamu v DNS neříká vůbec nic o správnosti záznamu, pouze o původu zóny. A teď přijde registrant a uloží do DNS klíče ke svým TLS službám s představou, jak jsou teď jeho zákazníci chráněni.
A aby toho nebylo málo, tak přijdou ISP, že budou DNSSEC ověřovat za své zákazníky. Takže webový klient uživatele si ze serveru poskytovatele stáhne HTTPS certifikát a ten bez ptaní použije, protože (jak píšete) uživatel svému poskytovateli věří.
Vadí mi jak, všichni říkají, že Internet bude od teď bezpečnější místo a jak se předhánějí v masáži svých zákazníků, ale ve výsledku bude „bezpečnost“ držet pár registrátorů a pár ISP. Tedy přesně ti, proti kterým současný systém PKI cílí (dráty nejsou bezpečné, ale klient a server se dokáží vzájemně autentizovat).
-
stačí rozlomit tu nejslaběji chráněnou CA a je to stejné jako byste rozlouskl Verisign (umm, vlastně teď už Symantec).
Zcela evidentní nepravda. Já si můžu VYBRAT, kterým CA věřím. Nemusím věřit vůbec žádné. Můžu toto udělat s PKI DNSSec? Těžko, že?
Model PKI neselhal, selhali nekompetentní lidé, kteří spravují konkrétní CA. Při automobilové nehodě taky nebudete tvrdit, že selhal model osobní automobilové dopravy, většinou je to chyba řidiče.
-
petr_p (neregistrovaný)
Ale má společného s cenzurou. Samotná Telefónica pomocí svých rekurzivních serverů vědomě svádí své zákazníky na zcestí, když jim vrací falešné odpovědi na doménová jména, která jsou podle jedné firmy z Britských ostrovů nevhodná. Proto také veškerá podpora DNSsecu končí na serverech Telefónicy a, což v článku není explicitně zmíněno, aby zákazník mohl využít proklamované podpory DNSsecu poskytovatelem, musí mu bezbřeze důvěřovat. Pokud ale poskytovatel odpovědi falšuje, tak se mu věřit nedá a zákazník si musí podpisy ověřovat sám, což pak ale činí celou službu poskytovatele naprosto zbytečnou.
ČLÁNKY DO MAILU