[LACNIC/Seguridad] [lacnog] Thomas Ptacek: Against DNSSEC

Fernando Gont fernando en gont.com.ar
Lun Ene 25 18:08:34 BRST 2016 

Hola, Nicolas,

On 01/25/2016 04:46 PM, Nicolas Antoniello wrote:
> En primer lugar, el párrafo inicial del artículo:
> 
> "All secure crypto on the Internet assumes that the DNS lookup from
> names to IP addresses are insecure. Securing those DNS lookups therefore
> enables no meaningful security. DNSSEC does make some attacks against
> insecure sites harder. But it doesn’t make those attacks /infeasible/,
> so sites still need to adopt secure transports like TLS. With TLS
> properly configured, DNSSEC adds nothing."
> 
> Sinceramente arrancar con un axioma y basar lo que sigue sobre el no
> parece una estrategia honesta... que sentido tiene comparar un mecanismo
> diseñado para asegurar la "confianza" en la traslación de un nombre a
> una dirección, con uno diseñado para asegurar un canal en el sentido de
> confidencialidad?

El sentido que yo le encuentro es este, y lo comento con una analogia:
(IPv6) SEND, proporciona, entre otras cosas, la posibilidad de
autentificar el trafico de Neighbor Discovery ("el ARP de IPv6", para
quienes no esten en el tema.

Hay algun otro mecanismo que provee esto? -- No.
Tiene sentido desplegar SEND? - No.
Por que? - Porque es terriblemente complejo (por mil otras cuestiones
mas), y porque la realidad, lo que vas a ganar haciendolo es casi nulo.


Nota: No defiendo (per se) la postura del autor. Lo que entiendo es su
modo de argumentar.



> Y luego, puede que muchas de las cosas que se digan den para discusión o
> debate y seguramente dan para mejorar... pero el objetivo del artículo
> parece ser lo que dice al final: "no soportes DNSSEC" y "soporta lo que
> nosotros estamos proponiendo"... que dicho sea de paso, ni se menciona
> en el artículo.
> Decir que no andes en tal o cual auto porque es malo y que es mejor
> andar en uno que es bueno (pero no mencionarlo) es por definición inútil
> y no práctico.


Lo que personalmente me parece que es productivo es tener una discusión
tecnica al respecto. Si Ptacek posteo eso "de bueno" o porque Vixie le
robo la novia, me es irrelevante. Lo que me parece importante es que la
región discuta cuestiones técnicas... así sea si el eventual resultado
de la discusión fuera que el que posteo el articulo "fumo de la mala".


En ocasiones en la región se toman y adoptan tecnologías con argumentos
totalmente falaces. Como si el hecho de que esa tecnología estuviera
fabricada en el Norte (*) la hiciera buena.

IPv6 es un ejemplo de eso. Uno vive escuchando boludeces al respecto, y
ve la gente festejando la adopción de IPv6 como si eso fuera "el triunfo
del bien".. Cuando la realidad es que estams ante un problema de escasez
de direcciones, y lo unico que tenemos sobre la mesa es IPv6 (un
protocolo que si tuvieramos que diseñarlo hoy en dia ni por p* lo
diseñariamos así). Yo continuo escuchando virtudes sobre el formato de
paquetes mas eficiente de IPv6, y sobre otras tantas cosas, y me dan
ganas de cortarme las venas con un Tramontina sin filo.

Creo que hay que fomentar el espiritu critico en la región.

(*) La tecnología esta hecha en el Norte... pero todo el Service Pack en
latinoamerica ;-) #LTA

-- 
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en si6networks.com
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1

Más información sobre la lista de distribución Seguridad