[lacnog] Thomas Ptacek: Against DNSSEC

Nicolas Antoniello nantoniello en gmail.com
Lun Ene 25 18:34:50 BRST 2016


Hola Fernando,

Concuerdo con vos en que hay que fomentar el espíritu crítico constructivo
de la región (y subrayo constructivo).
Lo que sucede es que en ocasiones polarizamos algo y volvemos ese espíritu
destructivo; incluso mitificamos algo y lo volvemos "complicado" o "malo"
(o "bueno") porque sí nomas...

En el caso de DNSSEC, creo que (dicho con la simplicidad que vos
mencionaste lo de IPv6 como respuesta a la falta de direcciones IP) es el
utilizar un mecanismo que nos permita minimamente confiar en que si
entramos a la página de un banco (por la vía de la resolución del nombre)
realmente estamos en la página de ese banco y no en una de phishing que
alguien creó a tal fin (entre otros)... ahora bien, si esto se resuelve con
DNSSEC o con otro protocolo, esta bien... lo que creo que no aporta es el
criticar y decir que hemos y estamos gastando tiempo en "algo" en lugar de
proponer las mejoras a ese "algo".
Si lo que a alguien no le gusta es el nombre, que se lo cambien... pero por
ello no va a ser un mejor protocolo.

Que hay que simplificar muchos aspectos de su operativa... seguro.
Que seguramente las cosas se puedan hacer mejor... seguro, siempre se puede
partiendo de la premisa que todo es perfectible.
Que a mi me gusta más Pampita que Cristina Aguilera... seguro, pero a
Cristina me la banco también.

Lo que no me gusta del artículo no es la discusión técnica, eso me encanta.
Lo que no me gusta es buscar por la vía de falsos positivos y mitos
desplumar algo que bien se puede tomar como lo que hay ahora y buscar
mejorarlo tendiendo a algo que igualmente cumpla con la función para la que
se diseñó pero sea más simple de operar y mantener que su versión anterior.

Saludos,
Nico



2016-01-25 17:08 GMT-03:00 Fernando Gont <fernando en gont.com.ar>:

> Hola, Nicolas,
>
> On 01/25/2016 04:46 PM, Nicolas Antoniello wrote:
> > En primer lugar, el párrafo inicial del artículo:
> >
> > "All secure crypto on the Internet assumes that the DNS lookup from
> > names to IP addresses are insecure. Securing those DNS lookups therefore
> > enables no meaningful security. DNSSEC does make some attacks against
> > insecure sites harder. But it doesn’t make those attacks /infeasible/,
> > so sites still need to adopt secure transports like TLS. With TLS
> > properly configured, DNSSEC adds nothing."
> >
> > Sinceramente arrancar con un axioma y basar lo que sigue sobre el no
> > parece una estrategia honesta... que sentido tiene comparar un mecanismo
> > diseñado para asegurar la "confianza" en la traslación de un nombre a
> > una dirección, con uno diseñado para asegurar un canal en el sentido de
> > confidencialidad?
>
> El sentido que yo le encuentro es este, y lo comento con una analogia:
> (IPv6) SEND, proporciona, entre otras cosas, la posibilidad de
> autentificar el trafico de Neighbor Discovery ("el ARP de IPv6", para
> quienes no esten en el tema.
>
> Hay algun otro mecanismo que provee esto? -- No.
> Tiene sentido desplegar SEND? - No.
> Por que? - Porque es terriblemente complejo (por mil otras cuestiones
> mas), y porque la realidad, lo que vas a ganar haciendolo es casi nulo.
>
>
> Nota: No defiendo (per se) la postura del autor. Lo que entiendo es su
> modo de argumentar.
>
>
>
> > Y luego, puede que muchas de las cosas que se digan den para discusión o
> > debate y seguramente dan para mejorar... pero el objetivo del artículo
> > parece ser lo que dice al final: "no soportes DNSSEC" y "soporta lo que
> > nosotros estamos proponiendo"... que dicho sea de paso, ni se menciona
> > en el artículo.
> > Decir que no andes en tal o cual auto porque es malo y que es mejor
> > andar en uno que es bueno (pero no mencionarlo) es por definición inútil
> > y no práctico.
>
>
> Lo que personalmente me parece que es productivo es tener una discusión
> tecnica al respecto. Si Ptacek posteo eso "de bueno" o porque Vixie le
> robo la novia, me es irrelevante. Lo que me parece importante es que la
> región discuta cuestiones técnicas... así sea si el eventual resultado
> de la discusión fuera que el que posteo el articulo "fumo de la mala".
>
>
> En ocasiones en la región se toman y adoptan tecnologías con argumentos
> totalmente falaces. Como si el hecho de que esa tecnología estuviera
> fabricada en el Norte (*) la hiciera buena.
>
> IPv6 es un ejemplo de eso. Uno vive escuchando boludeces al respecto, y
> ve la gente festejando la adopción de IPv6 como si eso fuera "el triunfo
> del bien".. Cuando la realidad es que estams ante un problema de escasez
> de direcciones, y lo unico que tenemos sobre la mesa es IPv6 (un
> protocolo que si tuvieramos que diseñarlo hoy en dia ni por p* lo
> diseñariamos así). Yo continuo escuchando virtudes sobre el formato de
> paquetes mas eficiente de IPv6, y sobre otras tantas cosas, y me dan
> ganas de cortarme las venas con un Tramontina sin filo.
>
> Creo que hay que fomentar el espiritu critico en la región.
>
> (*) La tecnología esta hecha en el Norte... pero todo el Service Pack en
> latinoamerica ;-) #LTA
>
> --
> Fernando Gont
> e-mail: fernando en gont.com.ar || fgont en si6networks.com
> PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
>
>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20160125/23f8c1d0/attachment.html>


Más información sobre la lista de distribución LACNOG