[О блоге]
[наверх]
[пред]
[2018-09-22 22:56:44+03:00]
[b7a67b471e52f84871addc21f4a9f0c640465d3e]
Темы: [dns][hate]
CIF5: DNSSEC доклад и Фил Кулин. Бойкотирую DiPHOST
Это доклад на середину которого я попал когда пришёл. Мне дико не
понравился докладчик и что он говорил. Очень задел. Высмеивал DNSCurve,
DNSCrypt.
Говорил что они не продуманы -- мол типа нет ротации ключей, а что же
будет если потерять master ключ? Фил, а что будет если потерять мастер
ключ УЦ, PGP, SSH? Вообще задаёшься вопросом ЧТО ты аутентифицируешь?
DNSCrypt аутентифицируется публичным ключом сервера -- ты реально
доверяешь только конкретно заданному resolver-у. Фил это высмеивает и
намекает на то, что единственный правильный способ (продуманный, как он
говорит), это доверять УЦ какому-нибудь. То есть, DNSSEC реально не
позволяет делать доверие к какому-то серверу авторитарному, мол и не
надо -- надо доверять дядям которые прослушают тебя, ибо PKI не защищает
от атак уровня государств. То есть, рабочий в плане аутентификации
вариант в виде DNSCrypt/DNSCurve он высмеивает, не предлагая в замен
ничего такое же по силе. Кстати, ротация подключей в DNSCrypt всё же
есть.
Высмеивал тот факт, что в DNSCurve (как и DNSCrypt) криптоалгоритмы
намертво вшиты в протокол. Любой криптограф бы реально обрадовался этому
если вопрос касается безопасности: уничтожает огромный вектор атак на
downgrade алгоритмов. Сколько проблем в куче протоколов существовало и
существует связанных с этим долбанным согласованием алгоритмов? Фил,
посмотри на современные протоколы и удивись как модно стало их упрощать,
делать простыми и надёжными.
Докладчик явно даже не пытался задаться вопросом а почему Бернштейн так
сделал свой DNSCurve? Фил, будучи руководителем хостинга, не слышал про
TCP fast open, TLS session resumption (о которых сказал Леонид
Евдокимов), но при этом называет творение Бернштейна как DNS-курва. По
моему это гнило и низко, уж точно не такому неучу судить Бернштейна.
Хотя бы задался бы вопросом почему эти две системы так сделаны и
удивился бы, что в отличии от него, не все доверяют PKI, не все хотят
защищаться от Васька-соседа, есть те, кто хочет *реально* защищаться.
Фил умудрился спороть при этом то что DNSCurve это имитация
безопасности. DNSCurve имитация, а DNSSEC, видимо, нет! Даже написав это
у меня улыбка от несуразности.
Много раз он повторял что DNSCrypt не взлетел, при этом показывая доли
процента внедрения DNSSEC. То есть, DNSSEC который так активно пиарится,
присутствует на всех хостингах (ну много где), всё-равно нихера не
взлетает. Последний человек который задавал вопрос мне понравился: он в
открытую спросил вот почему это всё сделали таким говном? Ну добавили бы
ротацию ключей в DNSCurve и всё -- вот этот чувак правильно мыслит!
Ну а DiPHOST, о котором не раз слышал, принципиально бойкотирую (хотя...
вряд ли я где с ним мог бы встретиться) из-за неуча-руководителя
продажного (как же он любит PKI!), опускающегося до завистливых низостей
в виде почти матерных неуважительных обзывательств к тому, кто сделал
просто, эффективно, безопасно, рабоче и бесплатно и быстро, в отличии от
комитетов.
[оставить комментарий]