[lacnog] Un posible protocolo más se suma a la lista del DNS

marcelo bagnulo braun marcelo en it.uc3m.es
Mie Dic 9 10:18:54 -03 2020


Hola,
Si, casi de acuerdo con todo lo que dices.

Sin embargo, creo que hay margen de mejora. Si los usarios pueden no 
mostrar la informacion de sus queries de DNS a nadie (ni a un resolver 
publico, ni al resovler de ISP) estarian mejor (no se si este es el 
problema de privacidad que es mas apremiante, pero...)

Obviamente, lo que podrian hacer lo usuarios, seria resovler 
directamente toda la query ellos mismos de forma iterativa, sin usar un 
resolver que les haga las busquedas.[1] Esto entiendo que el tiene el 
problema de la eficiencia, ya que se perderian las ventajas de los caches.
Algo como Oblivious DNS, puede mejorar en ese aspecto.

[1] La dificultad en esta frase es saber cuando se usa resolver como el 
verbo en español o resolver como el sustantivo en ingles :)


El 9/12/20 a las 14:08, Carlos M. Martinez escribió:
>
> Hola,
>
> Mi reacción inicial a esto (reconociendo que no hice aún una lectura 
> profunda del tema) es “estamos agregando partes móviles que en el 
> fondo son innecesarias, para resolver un potencial problema de imagen 
> de ciertos actores”.
>
> DoT y DoH son protocolos perfectamente buenos. Funcionan, cumplen con 
> su fin (cifrar las consultas). El problema, sobre todo con DoH, es 
> como ciertos actores, en particular Mozilla, lo manejaron. El problema 
> no es con los protocolos, sino con el manejo, me atrevo a decir 
> político, que se hizo de ellos.
>
> Cosas que Mozilla nunca debió haber hecho con DoH (siempre en mi 
> opinión, obviamente discutible):
>
>  *
>
>     habilitarlo por defecto enviando todo el tráfico a un punto único.
>     No importa que tan bien intencionado fue, no se bien en que
>     estaban pensando.
>
>  *
>
>     ser bastante sordos a cuando se les reclamó por este punto.
>
>  *
>
>     by-pasear la configuración de resolvers del sistema operativo.
>     Este punto para mí es clave, y representa francamente una traición
>     a la relación de confianza usuario-proveedor. Es el usuario quien
>     tiene que tener claro como controlar esta relación de confianza y
>     no es aceptable que esté enterrada bajo una pantalla que tiene
>     como título “Advanced Settings, you might void your warranty”
>
> Entonces, en vez de agregar *un proxy que divide en dos el rol del 
> recursivo* (oh Margot, como me alegro de no trabajar mas en 
> operaciones) lo que deberíamos hacer es lavar la imagen de DoT y DoH y 
> usarlos como fueron pensados. Si tienen debilidades, bueno, 
> fantástico, veamos como resolverlas.
>
> Salute,
>
> Carlos
>
> On 9 Dec 2020, at 9:40, Fernando Gont wrote:
>
>     Hola, Marcelo,
>
>     Tanto tiempo! (Un gusto leerte!). Entre lineas....
>
>     On 9/12/20 08:05, marcelo bagnulo braun wrote:
>
>         Pensando sobre esto, una posibilidad seria generar consultas
>         aleatorias para esconder las que son reales. El probelma claro
>         es que incrementas la carga del sistema artificialmente, pero
>         la privacidad tiene un coste, por lo que puede ser razonable.
>
>     Sin lugar adudas. Y también rotar el recursivo al cual envias el
>     query. Entonces no solo escondes los queries dentro de otros
>     randomizados, sino que aparte cada recursivo que utilizas recibe
>     solo un "subset" de los queries que haces.
>
>     De cualquier modo, yo soy de la idea que cosas tales como los
>     sistemas con los cuales te terminas comunicando, los patrones de
>     trafico, etc. (ni hablar lo del SNI de TLS, que entiendo que
>     estaba en vias de ser solucionado), terminan revelando tanto o mas
>     informacion que, si te interesa la privacidad, termina siendo
>     tanto necesario como mas conveniente utilizar una VPN pagada con
>     Bitcoin, y/o usarle la conexion a una tercera parte (cafeteria,
>     vecino, etc.) y/o conectar no-oficialmente un Raspberry Pi a
>     alguna red a la que tengas acceso, que estás cuestiones sobre
>     privacidad DNS.
>
>     Mi ejercicio mental con estas cuestiones es: "es esta tecnología
>     algo que yo usaria y de la cual podria depender en lugares como
>     'X', si estar haciendo 'Y' pudiera costarme la vida o la libertad?"
>
>     Esa "ejercicio" creo que ayuda a separar entre meros protocolos
>     que sirven como para jugar un poco con estas cuestiones, y
>     tecnologías que abordan el tema seriamente, y de las cuales se
>     puede depender.
>
>     Abrazo,
>     -- 
>     Fernando Gont
>     e-mail: fernando en gont.com.ar || fgont en si6networks.com
>     PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
>
>
>
>     _______________________________________________
>     LACNOG mailing list
>     LACNOG en lacnic.net
>     https://mail.lacnic.net/mailman/listinfo/lacnog
>     <https://mail.lacnic.net/mailman/listinfo/lacnog>
>     Cancelar suscripcion:
>     https://mail.lacnic.net/mailman/options/lacnog
>     <https://mail.lacnic.net/mailman/options/lacnog>
>



Más información sobre la lista de distribución LACNOG