[lacnog] [LACNIC/Seguridad] Thomas Ptacek: Against DNSSEC

[Fernando Gont]

Hola, Carlos,

On 01/25/2016 05:43 PM, Carlos M. Martinez wrote:
> El artículo aventura cosas que no son técnicas y son incorrectas
> ('government-controlled pki') y comete, a mi juicio intencionalmente,
> errores de juicio del estilo 'como no resuelve el 100% de las cosas,
> entonces no sirve para nada'.

FWIW, para mi el articulo es un trigger para discutir los temas.

Para mi, la mejor manera de probar que el articulo es incorrecto es
quotearla y discutir los argumentos tecnicos que hace.


Respecto de la cuestión de "como no resuelve el 100% de las cosas, no
sirve para nada", mi manera de lee eso es: "Es valido todo el esfuerzo
que toma para resolver lo poco que resuelve?".

Dicho de otro modo, viene un cliente al que uno le hace consultoria, y
te dice "che, tengo X dinero para hacer que mi red sea mas segura" (done
X es un valor limitado). - Seria en tal caso DNSSEC algo que uno
recomendaria implementar? Y, en tal caso, con que argumentos?

(FWIW, lo de arriba son preguntas, para que el grupo elabore, mas que
aseveraciones).



> Al tipo no le gusta DNSSEC, y está en todo su derecho. Lo que no está
> bien es que trate de convencer de que como a el no le gusta, entonces es
> una basura que no hay que desplegar, y peor, que como a el no le gusta,
> entonces lo mejor es dejar el DNS como está.

EL tema es que el tipo argumenta el porque no le gusta, y el "no o
despliegues" es la conclusión de dicha argumentacion.




> Tomando un poquito de distancia, también hay un facilismo importante en
> quejarse a posteriori de las cosas. Es re-fácil criticar con el diario
> del lunes. Seguro que hay cosas para mejorar en DNSSEC (y en el 100% de
> los protocolos y estándares técnicos), pero todos estos estándares y
> protocolos son construcciones iterativas e incrementales.
> 
> El "perfecto enemigo de lo bueno" es uno de las principales cosas que
> hay que evitar, porque conduce inevitablemente a la parálisis.

Hay *parte* de cierto en esto. En algunos casos, obviamente uno juega
con el diario del lunes y con al ventaja de la experiencia que se gano
en todos estos años.

Pero muchos de los desarrollos técnicos tienen origen en cuestiones
politicas, que en su momento ya se conocian.

Tomemos IPv6 por ejemplo. EN su momento se tenia la opcion de adoptar
CNLP, y no se la tomo por uestiones politicas. FIjate esto, por ejemplo:
<https://www.rfc-editor.org/rfc/rfc1669.txt>. Y la gente asi y todo
despues se pregunta porque IPv6 tardo/tarda en adoptarse.

Por otro lado, tambien creo que hay diferenciar entre la critica como
critica en si (diversion a costa de los que diseñaron algo) vs mirar esa
tecnologia hoy en dia, para ver si tiene sentido desplegarla, o para ver
como mejorarla.

Mofarse de alguien en si es tonto (el que no hace nada no se equivoca).
Pero también lo es negar problemas o negarse a solucionarlos o "ir a
muerte con algo" si un analisis de ese algo concluye que hoy en dia no
es bueno.

Por si vale la alcaracíon, yo *si* creo que, lamentablemente, no queda
otra que esplegar IPv6 (de ahi que crea que es bonito, que mejora cosas
mas alla de ar mas direcciones, y demas, es otra cosa). Y soy de algun
modo agnostico a DNSSEC.

-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492