[Ietf-lac] parâmetros IFF do Autokey do NTP distribuidos via DNSSEC

Antonio M. Moreiras moreiras at nic.br
Thu Aug 8 13:19:43 BRT 2013


Eu não conhecia esse WG (DANE). Muito boa sugestão. Vou estudar os
documentos do grupo.

[]s
Moreiras.

On 08/08/13 11:51, Hugo Salgado wrote:
> Hola Antonio.
> Me parece una excelente idea. Pero recomendaría ponerlo dentro del
> trabajo de DANE. No conozco mucho de NTP ni Autokey, pero si se trata
> de la publicación de una llave formateada al estilo X.690, y el
> protocolo es TLS, entonces es justo lo que DANE permite hacer. En
> ese caso, bastaría con un registro en el DNS del estilo
> 
>   _563._tcp.ntp.example.com IN TLSA ( .... )
> 
> De todas formas sería necesario un documento explicando los detalles
> específicos de Autokey, al estilo de lo que se está haciendo con SMTP:
> 
>   https://tools.ietf.org/wg/dane/draft-ietf-dane-smtp/
> 
> Cuenta conmigo si necesitas ayuda de texto o revisión.
> 
> Saludos,
> 
> Hugo
> 
> 
> On 08/07/2013 09:00 PM, Antonio M. Moreiras wrote:
>> Eu não tenho certeza sobre a utilidade, ou viabilidade, dessa proposta.
>> Mas pensei em fazer isso há algum tempo, e gostaria que vocês comentassem.
>>
>> Alguns servidores NTP disponibilizam Autokey (RFC 5906). Resumidamente,
>> é uma tecnologia de segurança que pode ser usada opcionalmente pelos
>> clientes para garantir a autenticidade e integridade da informação
>> recebida dos servidores.
>>
>> Pessoalmente, acredito que configurar diversas fontes NTP é o suficiente
>> para garantir o funcionamento correto de um cliente, e inviabilizar um
>> possível ataque. Também acho que não há muita motivação para alguém
>> atacar a estrutura NTP, havendo outros alvos mais fáceis e
>> interessantes. No entanto, nem todos pensam assim, e há quem ache o
>> Autokey algo útil e desejável. Então, diversos servidores públicos
>> oferecem essa possibilidade, inclusive os servidores que o NIC.br
>> administra, no Brasil.
>>
>> Um dos passos para que o cliente configure a funcionalidade é que ele
>> recupere, com garantia de autenticidade e integridade, um arquivo
>> público contendo uma chave DSA no formato PEM. Uma forma de se fazer
>> isso é colocar essa informação num sítio https.
>>
>> Ao invés de usar um sítio https, me parece que se poderia colocá-la no
>> DNS dos respectivos servidores e recuperá-la com garantia de
>> autenticidade e integridade usando o DNSSEC. Isso facilitaria,
>> potencialmente, a configuração automática do Autokey, desde que o
>> software cliente seja alterado. Talvez se possa usar o campo TXT no
>> formato especificado na RFC 1464 para armazenar a informação. Talvez
>> algum outro campo.
>>
>> Embora eu não seja um forte defensor do Autokey, em si, acredito que
>> facilitar a configuração do NTP, em qualquer aspecto, pode ser benéfico,
>> de forma geral, e facilitar sua adoção.
>>
>> Existem mais possibilidades de configuração do Autokey do que técnicas
>> de transição no IPv6 (para quem não entendeu a piada, são muitas, uma
>> quantidade exagerada e assustadora). Há muitas possibilidades de
>> definição de grupos seguros e esquemas de identificação. Não tenho muita
>> certeza se alguém além do David Mills entende todas essas diferentes
>> possibilidades. Eu certamente não as conheço totalmente. A proposta não
>> abrangeria todos os métodos. Apenas um subset, que escolhemos por
>> considerarmos operacionalmente mais prático para uso na Internet.
>>
>> Alguém por aqui acha que isso seria útil?
>>
>> []s
>> Moreiras.



More information about the Ietf-lac mailing list