Vlákno názorů k článku Mobilní operátoři nasazují DNSSEC od Ondřej Surý - Nic takového netvrdím, a bylo by vhodné, abyste...
-
> V PKI se totiž ověření konkrétního certifikátu provádí na základě důvěry
> k jediné CA, která má vše pod kontrolou.Jenže vy neověřujete konkrétní certifikát, ale "důvěru" ke konkrétnímu webu. V tu chvíli už ověření děláte vůči libovolné CA, které důvěřuje výrobce vašeho prohlížeče, vašeho operačního systému, atp.
Se zbytek s Vámi souhlasím, nicméně jste vyjmenoval všechny subjekty, kterým musíte důvěřovat již dnes. A já bych do toho seznamu doplnil ještě registrátora domény example.com.
Je jasné, že s příchodem nových technologií přijdou i nové útoky, které budou zaměřené na jiné cíle, nicméně pro tuhle chvíli se dá říct jen: "PKI's dead, baby. PKI's dead."
-
> Pokud banka používá pro komunikaci pouze https s důvěryhodným
> certifikátem, tak není problém.No, to se mi ulevilo...
http://it.slashdot.org/story/11/12/08/1341224/another-dutch-ca-hacked
( http://webwereld.nl/nieuws/108815/weer-certificatenleverancier-overheid-gehackt.html ) -
Pokud někdo zlomí RSA, tak se z toho opravdu .... všichni, ale hádám, že do té doby už bude kořenový klíč odrotovaný na nějakou eliptickou křivku nebo něco lepšího. A pokud dojde k průlomu na kvantovém políčku, tak nás už nezachrání vůbec nic.
A co se týče útoku na infrastrukturu, tak jedno vajíčko v DNSSEC košíku se hlídá o dost líp, než stovky PKI pukavců, které jsou si všechny rovny. A bohužel do bezpečnostní omelety stačí rozklepnou jen jeden pukavec...
-
Myslím, že už jsem to napsal výše. A nemám pocit, že zrovna vám to musím polopaticky vysvětlovat. CA v PKI jsou všechny stejně důvěryhodné (z pohledu uživatele). A jak ukazuje již několik kauz za poslední rok (až dva), tak všechny CA nejsou chráněny stejně "dobře" (nebo "špatně"). Bohužel (pro PKI i pro uživatele) stačí rozlomit tu nejslaběji chráněnou CA a je to stejné jako byste rozlouskl Verisign (umm, vlastně teď už Symantec).
Model PKI prostě selhal, je potřeba se zvednout ze země, oprášit se a jít dál.
-
MilanK (neregistrovaný)
Ono se na ten "PKI" model DNSSEC dá vlastně nahlížet i tak, že je ještě méně důvěryhodnější, než klasické PKI. V PKI se totiž ověření konkrétního certifikátu provádí na základě důvěry k jediné CA, která má vše pod kontrolou. U DNSSEC musíte důvěřovat minimálně třem subjektům - pro www.example.com musíte důvěřovat:
- provozovatelům kořenové zóny
- provozovatelům zóny .com
- (provozovatelům zóny example.com, ale ti se nepočítají, s těmi chcete komunikovat)
- provozovatelům Vašeho validujícího nameserveru.Ano, postupy vytváření a správy klíčů v DNSSEC, které mj. publikoval CZ.NIC, vypadají mnohem více důvěryhodné, než průměrná nebo "nejhorší" PKI CA, ale to nestačí...
-
šarik (neregistrovaný)
Nějak jsem nepochopil technologii popsanou v článku, tak mi prosím promiňte. Z těch stránek, na které chodím má DNSSEC jen Lupa.cz. Ani má banka ho nemá. Je vůbec nějaký důvod, aby tuto technologii nasadili všichni provozovatelé stránek? Nebo je to čistě jenom na dobrovolnosti, když se na tom pracuje 10 let a nikdo to nepoužívá?
-
stačí rozlomit tu nejslaběji chráněnou CA a je to stejné jako byste rozlouskl Verisign (umm, vlastně teď už Symantec).
Zcela evidentní nepravda. Já si můžu VYBRAT, kterým CA věřím. Nemusím věřit vůbec žádné. Můžu toto udělat s PKI DNSSec? Těžko, že?
Model PKI neselhal, selhali nekompetentní lidé, kteří spravují konkrétní CA. Při automobilové nehodě taky nebudete tvrdit, že selhal model osobní automobilové dopravy, většinou je to chyba řidiče.
ČLÁNKY DO MAILU