[lacnog] Thomas Ptacek: Against DNSSEC

Carlos M. Martinez carlosm3011 en gmail.com
Lun Ene 25 18:43:23 BRST 2016 

El artículo aventura cosas que no son técnicas y son incorrectas
('government-controlled pki') y comete, a mi juicio intencionalmente,
errores de juicio del estilo 'como no resuelve el 100% de las cosas,
entonces no sirve para nada'.

Al tipo no le gusta DNSSEC, y está en todo su derecho. Lo que no está
bien es que trate de convencer de que como a el no le gusta, entonces es
una basura que no hay que desplegar, y peor, que como a el no le gusta,
entonces lo mejor es dejar el DNS como está.

Tomando un poquito de distancia, también hay un facilismo importante en
quejarse a posteriori de las cosas. Es re-fácil criticar con el diario
del lunes. Seguro que hay cosas para mejorar en DNSSEC (y en el 100% de
los protocolos y estándares técnicos), pero todos estos estándares y
protocolos son construcciones iterativas e incrementales.

El "perfecto enemigo de lo bueno" es uno de las principales cosas que
hay que evitar, porque conduce inevitablemente a la parálisis.

s2

C.


On 1/25/16 5:34 PM, Nicolas Antoniello wrote:
> Hola Fernando,
> 
> Concuerdo con vos en que hay que fomentar el espíritu crítico
> constructivo de la región (y subrayo constructivo).
> Lo que sucede es que en ocasiones polarizamos algo y volvemos ese
> espíritu destructivo; incluso mitificamos algo y lo volvemos
> "complicado" o "malo" (o "bueno") porque sí nomas...
> 
> En el caso de DNSSEC, creo que (dicho con la simplicidad que vos
> mencionaste lo de IPv6 como respuesta a la falta de direcciones IP) es
> el utilizar un mecanismo que nos permita minimamente confiar en que si
> entramos a la página de un banco (por la vía de la resolución del
> nombre) realmente estamos en la página de ese banco y no en una de
> phishing que alguien creó a tal fin (entre otros)... ahora bien, si esto
> se resuelve con DNSSEC o con otro protocolo, esta bien... lo que creo
> que no aporta es el criticar y decir que hemos y estamos gastando tiempo
> en "algo" en lugar de proponer las mejoras a ese "algo".
> Si lo que a alguien no le gusta es el nombre, que se lo cambien... pero
> por ello no va a ser un mejor protocolo.
> 
> Que hay que simplificar muchos aspectos de su operativa... seguro.
> Que seguramente las cosas se puedan hacer mejor... seguro, siempre se
> puede partiendo de la premisa que todo es perfectible.
> Que a mi me gusta más Pampita que Cristina Aguilera... seguro, pero a
> Cristina me la banco también.
> 
> Lo que no me gusta del artículo no es la discusión técnica, eso me
> encanta. Lo que no me gusta es buscar por la vía de falsos positivos y
> mitos desplumar algo que bien se puede tomar como lo que hay ahora y
> buscar mejorarlo tendiendo a algo que igualmente cumpla con la función
> para la que se diseñó pero sea más simple de operar y mantener que su
> versión anterior.
> 
> Saludos,
> Nico
> 
> 
> 
> 2016-01-25 17:08 GMT-03:00 Fernando Gont <fernando en gont.com.ar
> <mailto:fernando en gont.com.ar>>:
> 
>     Hola, Nicolas,
> 
>     On 01/25/2016 04:46 PM, Nicolas Antoniello wrote:
>     > En primer lugar, el párrafo inicial del artículo:
>     >
>     > "All secure crypto on the Internet assumes that the DNS lookup from
>     > names to IP addresses are insecure. Securing those DNS lookups therefore
>     > enables no meaningful security. DNSSEC does make some attacks against
>     > insecure sites harder. But it doesn’t make those attacks /infeasible/,
>     > so sites still need to adopt secure transports like TLS. With TLS
>     > properly configured, DNSSEC adds nothing."
>     >
>     > Sinceramente arrancar con un axioma y basar lo que sigue sobre el no
>     > parece una estrategia honesta... que sentido tiene comparar un mecanismo
>     > diseñado para asegurar la "confianza" en la traslación de un nombre a
>     > una dirección, con uno diseñado para asegurar un canal en el sentido de
>     > confidencialidad?
> 
>     El sentido que yo le encuentro es este, y lo comento con una analogia:
>     (IPv6) SEND, proporciona, entre otras cosas, la posibilidad de
>     autentificar el trafico de Neighbor Discovery ("el ARP de IPv6", para
>     quienes no esten en el tema.
> 
>     Hay algun otro mecanismo que provee esto? -- No.
>     Tiene sentido desplegar SEND? - No.
>     Por que? - Porque es terriblemente complejo (por mil otras cuestiones
>     mas), y porque la realidad, lo que vas a ganar haciendolo es casi nulo.
> 
> 
>     Nota: No defiendo (per se) la postura del autor. Lo que entiendo es su
>     modo de argumentar.
> 
> 
> 
>     > Y luego, puede que muchas de las cosas que se digan den para discusión o
>     > debate y seguramente dan para mejorar... pero el objetivo del artículo
>     > parece ser lo que dice al final: "no soportes DNSSEC" y "soporta lo que
>     > nosotros estamos proponiendo"... que dicho sea de paso, ni se menciona
>     > en el artículo.
>     > Decir que no andes en tal o cual auto porque es malo y que es mejor
>     > andar en uno que es bueno (pero no mencionarlo) es por definición inútil
>     > y no práctico.
> 
> 
>     Lo que personalmente me parece que es productivo es tener una discusión
>     tecnica al respecto. Si Ptacek posteo eso "de bueno" o porque Vixie le
>     robo la novia, me es irrelevante. Lo que me parece importante es que la
>     región discuta cuestiones técnicas... así sea si el eventual resultado
>     de la discusión fuera que el que posteo el articulo "fumo de la mala".
> 
> 
>     En ocasiones en la región se toman y adoptan tecnologías con argumentos
>     totalmente falaces. Como si el hecho de que esa tecnología estuviera
>     fabricada en el Norte (*) la hiciera buena.
> 
>     IPv6 es un ejemplo de eso. Uno vive escuchando boludeces al respecto, y
>     ve la gente festejando la adopción de IPv6 como si eso fuera "el triunfo
>     del bien".. Cuando la realidad es que estams ante un problema de escasez
>     de direcciones, y lo unico que tenemos sobre la mesa es IPv6 (un
>     protocolo que si tuvieramos que diseñarlo hoy en dia ni por p* lo
>     diseñariamos así). Yo continuo escuchando virtudes sobre el formato de
>     paquetes mas eficiente de IPv6, y sobre otras tantas cosas, y me dan
>     ganas de cortarme las venas con un Tramontina sin filo.
> 
>     Creo que hay que fomentar el espiritu critico en la región.
> 
>     (*) La tecnología esta hecha en el Norte... pero todo el Service Pack en
>     latinoamerica ;-) #LTA
> 
>     --
>     Fernando Gont
>     e-mail: fernando en gont.com.ar <mailto:fernando en gont.com.ar> ||
>     fgont en si6networks.com <mailto:fgont en si6networks.com>
>     PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
> 
> 
> 
>     _______________________________________________
>     LACNOG mailing list
>     LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>     https://mail.lacnic.net/mailman/listinfo/lacnog
>     Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> 
> 
> 
> 
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>

Más información sobre la lista de distribución LACNOG