[Ietf-lac] IETF 88 - Fortaleceremos al Internet

Gabriel Montenegro g.e.montenegro at hotmail.com
Sun Nov 10 21:50:42 BRST 2013


[Clarificación: no soy un experto en tcpcrypt.]

Efectivamente, tcpcrypt no es una propuesta reciente. Ver USENIX Security
2010 en http://tcpcrypt.org/docs.php

Es más, los investigadores ya lo veían como un proyecto pasado sin mayor
interés, hasta semanas recientes en que se ha vuelto a echar un vistazo a
todas las posibilidades que podría traer opportunistic encryption.

Y no, tcpcrypto no depende de ningún PKI, pues es justamente lo que puede
impedir un despliegue masivo de esta tecnología. Usa public keys para
negociar llaves simétricas, pero la autentificación de la conexión es algo
ortogonal que se *puede* (pero que no se *tiene*) que hacer a nivel
aplicación, y a ese nivel, se puede autentificar con cualquier método
aceptable. Si bien es independiente de la capa de enciframiento que provee
tcpcrypt en cuanto a mecanismos, hay un binding, por supuesto.

El objetivo de tcpcrypt es permitir "opportunistic encryption". El término
"opportunistic" se está abusando mucho últimamente.  En el IETF se usa
muchas veces para indicar enciframiento sin autentificación (que tiene
muchos problemas). Sin embargo el término originalmente significaba algo más
como poder establecer enciframiento entre nodos de la manera más agil
posible. Usualmente esto implica que no se puede depender de certificados
atados a un PKI, pero no necesariamente implica que no se pueda autentificar
la sesión.

También hay propuestas muy interesantes a nivel TLS (ver presentación de TLS
1.3 por Eric Rescorla) y a nivel protocolos de aplicación (ver presentación
de QUIC por Jim Roskind en tsvarea).

Gabriel

-----Original Message-----
From: Fernando Gont [mailto:fgont at si6networks.com] 
Sent: Sunday, November 10, 2013 1:34
To: Gabriel Montenegro; 'Zuniga, Juan Carlos'; ietf-lac at lacnog.org
Subject: Re: [Ietf-lac] IETF 88 - Fortaleceremos al Internet

On 11/10/2013 12:01 AM, Gabriel Montenegro wrote:
> El tema se trató en el tsvarea en donde Andrea Bittau dio una charla sobre
> tcpcrypt: 
> http://www.ietf.org/proceedings/88/slides/slides-88-tsvarea-5.pdf

Hace algunos años tcpcrypt se habia presentado en tcpm, pero la idea no
"camino".

Sin conocer los detalles de la misma: depende del uso de certificados, o
que?

Abrazo,
-- 
Fernando Gont
SI6 Networks
e-mail: fgont at si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492







More information about the Ietf-lac mailing list